Pouco depois do lançamento do Huawei Mate 30, o primeiro dispositivo da Huawei a chegar ao mercado sem os serviços da Google, começaram também a surgir opções para os utilizadores instalarem os mesmo novamente. Um dos métodos envolvia o uso da aplicação conhecida como “LZPlay”, uma app chinesa que estaria a ser utilizada para instalar os serviços da Google nos equipamentos.
No entanto, esta aplicação estaria a utilizar alguns “truques” para tentar contornar as limitações sobre a instalação dos serviços da Google num equipamento não autorizado para tal, com uma versão não licenciada do Android por parte da Google – como acontece com o Mate 30 da Huawei.
No entanto, foi recentemente descoberto que a aplicação em questão estaria a utilizar um conjunto de APIs secretas existentes dentro do próprio sistema fornecido pela Huawei, e que em casos normais não deviam ser acessíveis pelos utilizadores regulares.
A aplicação começou por levantar suspeitas sobre John Wu, responsável pela criação da popular aplicação de root Magisk. Segundo o mesmo, a aplicação explorava um conjunto de APIs não documentadas da Huawei, com vista a instalar os vários serviços da Google no sistema com permissões administrativas.
Estas APIs estão ocultas dentro do sistema da Huawei que é fornecido com o Mate 30, e basicamente permitem que sejam instaladas apps externas dentro das partições do sistema, o que lhes garante permissões administrativas e mais avançadas do que as apps que são normalmente instaladas pela Play Store e similares.
A API não documentada da Huawei, apelidada de “MDM”, possui como objetivo o uso em ambientes empresariais, permitindo o controlo de funcionalidades do sistema por administradores. No entanto, a sua utilização requer a confirmação explicita da Huawei, e validação da empresa para o uso das mesmas – ou seja, quem quiser utilizar estas APIs “ocultas”, necessita de obter autorização explicita da Huawei para tal.
É aqui que entra a aplicação “LZPlay”. Esta aplicação estaria a utilizar um certificado especial da Huawei, fornecido pela empresa e que permitia o uso destas APIs para instalação de apps na partição do sistema, com privilégios administrativos.
Ou seja, a Huawei teve de autorizar os criadores da app “LZPlay”a fazerem uso destas APIs, com a devida justificação do seu objetivo final e em como seriam utilizadas. Portanto, a empresa teria total conhecimento sobre como o LZPlay poderia ser aproveitado para instalar os serviços da Google nos equipamentos que não os suportavam inicialmente.
Poucas horas depois desta informação ter sido revelado, o site que estaria a fornecer acesso à aplicação LZPlay também deixou de se encontrar disponível, impedindo assim a instalação dos serviços da Google nos equipamentos da Huawei.
Estas APIs podem não ser um backdoor como o que o governo dos EUA afirmam ser o ponto central para o bloqueio de negócios da empresa no pais, mas é sem duvida um ponto de questões e dúvidas que se levantam sobre o facto de a Huawei permitir o seu uso para uma aplicação que teria como objetivo instalar exatamente os serviços da Google nos equipamentos. Além disso, pode também ser explorada para permitir qualquer outro programador a criar apps que se instalem na partição de sistema, apesar de ainda ser necessário um rigoroso processo de validação da fabricante e a obtenção de um certificado especial para fazer uso do sistema.
Nenhum comentário
Seja o primeiro!