#Huawei

เรื่องนี้น่าสนใจ #Huawei มี API ลับที่สามารถตั้งให้ user app เสมือนเป็น system app ได้ จึงเป็นเป็นสาเหตุที่ทำให้ Mate 30 series สามารถลง Google Mobile Services (#GMS) ได้เองทั้งๆ ที่ไม่ได้ unlock bootloader หรือ root

https://twitter.com/topjohnwu/status/1178968617997586432

John Wu on Twitter

“Here you go guys, give it a read 😉 https://t.co/kGQeEZ7hcQ”

Twitter

เรื่อง #Huawei Mate 30 series ยังมีคนที่ไม่เข้าใจความเสี่ยงอยู่อีกมาก จริงๆ เป็นมือถือรุ่นที่อยากใช้มากเพราะเรื่องกล้อง ปัจจุบันก็ใช้ Mate 10 Pro อยู่ และสมัครเป็น Huawei Developer ไว้แล้วด้วย

แต่เรื่อง lzplay ปัญหามันลึกกว่านั้น เนื่องจาก lzplay ใช้ API ลับของ Huawei ในการตั้งให้ app ใดๆ ที่อยู่ในส่วนของ user app มีศักดิ์ศรีเสมือน system app ซึ่งในกรณีนี้คือการตั้ง GMS ใน user app ให้เหมือนว่ามี GMS อยู่ใน system app และที่บอกว่าเป็น API ลับก็เพราะ API นี้ไม่ได้อยู่ใน SDK document ใดๆ ที่เปิดเผยให้นักพัฒนารู้ แล้ว lzplay รู้ได้ยังไงว่ามี API นี้ซ่อนอยู่ ไปเอาวิธีใช้ API นี้มาจากไหน ที่สำคัญกว่านั้นคือ API นี้อยู่ในหมวด MDM ที่ใช้จัดการกับระบบ enterprise ซึ่งจะใช้ได้คือฝั่ง Huawei ต้องยินยอมให้ใช้ ไม่ใช่แค่รู้ชื่อ API แล้วใครๆ ก็ใช้ได้ ดังนั้นแปลว่า Huawei รู้อยู่แก่ใจว่า lzplay ใช้ API ลับ

สิ่งที่มันน่ากลัวคือ API ลับตัวนี้เปรียบได้กับ backdoor เลย เพราะไม่มีการเปิดเผย ไม่มีในเอกสารใดๆ ทั้งภาษาจีนและภาษาอังกฤษ และ app อย่าง lzplay ก็แอบมาติดตั้งอะไรลงไปแล้ว set ให้เป็น system app ได้ (ซึ่งจะมี app อื่นๆ ใช้ API นี้อีกหรือเปล่าก็ไม่รู้) ตรงนี้เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญ และร้ายแรงมาก