Ein Entwickler nutzt offenbar ein MDM-Tool, um das Google Services Framework ohne Root-Rechte einzurichten. Der Vorgang dauert nur wenige Minuten und benötigt kaum Vorkenntnisse. Das MDM-Tool kann aber auch als Einfallstor für Malware missbraucht werden.
Einem chinesischen Entwickler ist es offenbar doch gelungen, die Google Play Services und damit auch den Play Store auf einem Huawei Mate 30 zu installieren, ohne dass der Bootloader entsperrt werden muss. Der Vorgang soll weniger als zehn Minuten dauern und auch von technisch weniger versierten Nutzern durchzuführen sein, wie 9to5Google berichtet. Caschys Blog weist indes auf mögliche Sicherheitsrisiken dieses Verfahrens hin.
Das Huawei Mate 30 und auch das Mate 30 Pro sind Opfer das Handelsstreits zwischen den USA und China. Aufgrund der gegen Huawei verhängten Sanktionen darf Google seine Dienste nicht für die neuen Huawei-Smartphones lizenzieren. Es fehlen also jegliche Google-Apps und Dienste – allen voran der Play Store, um Apps von Google und anderen Anbietern zu beziehen.
Grundsätzlich gibt es zwar die Hintertür „Sideloading“, die allerdings zur Folge hat, dass sich Nutzer mit ihren Apps bei Websites mit APKMirror eindecken müssen. Dort müssen sie zudem jegliche App-Updates manuell herunterladen und installieren, da die automatische Updatefunktion über den Play Store bereitgestellt wird, der sich wiederum nicht per Sideloading installieren lässt. Für die Installation des Play Store werden die Play Services benötigt, die wiederum Root-Rechte und damit die von Huawei nicht vorgesehene Entsperrung des Bootloaders voraussetzen.
Für dieses Dilemma hat nun offenbar ein chinesischer Entwickler eine Lösung gefunden, die er auf seiner Website lzplay.net anbietet. Dort lässt sich ein Installer (apprelease.apk) für das Google Services Framework herunterladen und installieren. Danach werden weitere benötigte Dateien und Frameworks eingerichtet, inklusive Play Store. Eine Anmeldung beim Google-Marktplatz funktioniert aber offenbar erst nach einem Neustart des Smartphones. Anschließend soll der Play Store jedoch wie gewohnt zur Verfügung stehen, was der Entwickler auch in einem Video zeigt.
Allerdings wird für die Installation des Google Services Framework eine Hintertür verwendet, und zwar ein Mobile-Device-Management-Tool, das dem Framework die benötigten Berechtigungen auf Systemebene verschafft. Eigentlich sind solche Werkzeuge nur zum Einsatz in vertrauenswürdigen Umgebungen wie Unternehmen gedacht. Mit der Nutzung des Tools überträgt man dieses Vertrauen nun auf einen unbekannten Entwickler, der nicht als vertrauenswürdige Quelle bezeichnet werden kann.
Grundsätzlich wäre es möglich, zusammen mit dem Google Services Framework weitere Anwendungen oder Funktionen einzurichten, die beispielsweise eine vollständige Kontrolle des Smartphones aus der Ferne erlauben. Eine solche Software könnte völlig unbemerkt eingeschleust und unsichtbar für den Nutzer eingerichtet werden. Ob man unter diesem Umständen seinem Smartphone noch persönliche Daten oder gar eine Banking-App anvertrauen kann, muss aber wohl jeder für sich entscheiden.