Vor wenigen Tagen haben einige Webseiten eine chinesische App empfohlen, welche auf Knopfdruck die Google-Dienste zum Beispiel auf das neue Huawei Mate 30 bringt. Wir erwähnten dazu, dass die Sicherheit nicht gewährleistet werden kann, da weder der Betreiber der bis dato in Europa unbekannten Webseite bekannt ist, noch irgendwelche anderen Details bzgl. Sicherheit geklärt werden konnten. Nun stellt sich heraus, dass eventuell Vorsicht geboten ist.
Gleich mehrere internationale Kollegen und App-Entwickler posteten Beiträge vor wenigen Stunden, die auf jeden Fall unser Gehör finden sollten. Denn ein klares Problem der unbekannten App ist, dass Nutzer ihr volle Administratorrechte gewähren müssen. Offensichtlich kann diese App umgehen, dass man eigentlich ein Gerät „öffnen“ muss, um die Google-Dienste vollständig integrieren zu können.
Deutliche Warnungen wegen zu krasser Administratorrechte
Ron Amadeo von Arstechnica warnt zum Beispiel so: „Es ist nicht nur eine Administrator-App, sondern auch eine von Huawei optimierte Super-Administrator-App, mit der System-Apps installiert werden können. Es ist eine Sache, eine einmalige Installation von Software durchzuführen, aber dies gibt die volle Kontrolle über Ihr Telefon für immer an einen unbekannten Dritten weiter.“
Das klingt nicht gerade danach, dass diese App empfohlen oder installiert werden sollte. Hintergrund: Huawei darf die Mate 30-Serie zunächst nicht mit den Google-Diensten ausliefern, deshalb tun sich erste Alternativen auf, wie Nutzer die Google-Dienste inoffiziell nachinstallieren können.
Update 2: Kaum ist aufgeflogen, welche Hintertüren Huawei ermöglichte, damit die Google-Dienste installiert werden können, gehen diese Türen zu. Keine Google-Apps über LZPlay mehr, auch Google Pay ist mangels positivem SafetyNet-Status nicht mehr verwendbar.
Huawei Mate 30: Inoffizielle Quellen für Google-Dienste abgeschaltet
Update: Nun scheint zumindest klar zu sein, dass sich Huawei wohl eine versteckte Hintertür eingebaut hat, um die Installation der Google-Dienste über den erwähnten Service „LZPlay“ anbieten zu können Das beweisen Signaturen in der App.
Zu diesem Zeitpunkt ist es ziemlich offensichtlich, dass Huawei diese „LZPlay“ -App gut kennt und ihre Existenz ausdrücklich zulässt. Der Entwickler dieser App muss sich dieser undokumentierten APIs irgendwie bewusst sein, die rechtlichen Vereinbarungen unterzeichnen, mehrere Phasen der Überprüfung durchlaufen und schließlich die App von Huawei signieren lassen. Der einzige Zweck der App besteht darin, Google Services auf einem nicht lizenzierten Gerät zu installieren.
/Update
Wonder why it is possible for the new Huawei devices to install a "random" 3rd party app and gain Google Play Service with a single tap? I dug deeper and found something… let's say "interesting". Expect more details coming soon.
Bottom line: DO NOT BUY AND USE HUAWEI DEVICES
— John Wu (@topjohnwu) October 1, 2019
The app that can be used to install GAPPS on Huawei devices is https://t.co/lzMhlyoskX , and its AndroidManifest.xml has some suspicious "Huawei" specific permission. pic.twitter.com/qV3VKQeGe2
— maple3142 (@maple3142) October 1, 2019