Cyberthreat.id – Harapan pengguna smartphone Huawei, terutama Mate 30 atau Mate 30 Pro yang baru dirilis bulan lalu, untuk bisa menggunakan aplikasi buatan Google harus kandas.

Google menutup peluang itu meski Mate 30 sendiri menggunakan sistem operasi Andriod terbuka. Tak ada lagi Google Play, Gmail, Google, atau Google Maps dan lain-lain.

Seperti diketahui, pemerintah Amerika Serikat telah melarang pemerintah federal dan perusahaan-perusahaan AS untuk bekerja sama dengan Huawei. Pemerintah melarang pemakaian perangkat-perangkat Huawei karena dianggap berisiko terhadap keamanan nasional. Namun, Huawei berkali-kali membantah tudingan perusahaan berafiliasi dengan intelijen China.

Sejak keluar surat perintah Presiden Donald Trump yang memasukkan Huawei dalam daftar hitam perusahaan, Google adalah perusahaan pertama yang memutus bisnis. Artinya pada produk terbaru Huawei tidak akan diberi lisensi untuk memakai aplikasi-aplikasi Google.

Setelah Mate 30 dan Mate 30 Pro dikenalkan pertama kalinya di Munich, Jerman pada 19 September lalu, muncul pertanyaan: bagaimana menginstal Google Play dan aplikasi Google lain?

Tak butuh lama, seseorang kemudian menemukan cara menginstalnya. Adalah Damien Wilde, penulis di 9to5google.com menerbitkan cara menginstal, lengkap dengan videonya.

Ini kedengarannya bagus, bukan?

“Bagi mereka yang terbiasa dengan perangkat Android China, menumpang Google Mobile Services bukanlah hal yang asing. Sangat umum bagi OEM China untuk merilis ‘GMS Installers’ sehingga orang yang bepergian ke luar negeri dapat menginstal GSM secara manual,” tulis John Wu, peneliti keamanan dunia maya lewat artikel Huawei’s Undocumented APIs—A Backdoor to Reinstall Google Services yang diunggah di blog Medium, Selasa (1 Oktober 2019).

Namun, dari John Wu pula kabar buruk itu datang. John Wu juga kaget mengapa GMS dapat mudah diinstal di Mate 30: apakah Google menyelundupkan stub (metode rintisan pengembangan perangkat lunak yang berupa sepotong kode dan bisa dipakai untuk beberapa fungsi pemrograman)?

John Wu pun banyak bertanya di komunitas XDA-Developers untuk detail hal itu. “Jawabannya mengejutkan saya sekali lagi: tidak ada stub yang ditemukan dalam sistem!” kata dia.

“Ini berarti ada keajaiban di aplikasi LZPlay (yang dipakai untuk menginstal GMS).

Ia pun penasaran dan menyelidiki lagi.

“Saya akhirnya menemukan dokumentasi pengembang untuk ‘Huawei Security Authorization SDK’. Singkatnya, Huawei memiliki seperangkat API (application programming interface/antarmuka pemrograman aplikasi) untuk manajemen perangkat seluler (MDM) yang sering dipakai di perusahaan untuk mengelola perangkat karyawan,” tulis John Wu.

Untuk Android standar, kata dia, memiliki Device Administration dan Android Enterprise APIs. “Untungnya, referensi API lengkap ‘Huawee Security Authorization SDK’ tersedia untuk umum, sehingga kita dapat membandingkan fitur-fitur antara Android Standar dan Huawei,” tulis dia.

John Wu mengatakan, Huawei memiliki MPD APIs yang tidak berdokumen yang memungkinkan aplikasi untuk menginstal aplikasi sistem dan menginstal aplikasi yang tidak dapat diakses.

“Ini trik terkenal di kalangan penggemar Android untuk ‘mem-flash aplikasi ke dalam sistem’ guna melepaskan hak istimewa sistem untuk beberapa aplikasi tertentu,” kata dia. Namun, dalam kasus ini, kata dia, ada yang berbeda karena: (a) bootloader dikunci dan Android Verified Boot diberlakukan, (b) Huawei memformat partisi sistem/vendor/produk mereka sebagai EROFS, sistem file terkompresi read-only.

“Itu berarti kerangka kerja sistem di sistem operasi Huawei memiliki ‘back door’ (pintu belakang) yang memungkinkan aplikasi diizinkan untuk menandai beberapa aplikasi pengguna sebagai aplikasi sistem meski kenyataannya bahwa itu sebenarnya tidak ada di setiap partisi read-only.”

Menurut dokumentasi lengkap dalam bahasa China, pengembang/perusahaan, kata John Wu, pihak ketiga diharuskan menandatangani perjanjian hukum dan mengirimkannya ke Huawei untuk mendapatkan akses ke SDK.

Untuk setiap proyek, pengembang harus mengirimkan permintaan daftar izin yang ingin diberikan. Selain itu, biner APK untuk setiap rilis harus diunggah ke Huawei untuk pemeriksaan lebih lanjut, yang akhirnya dapat ditandatangani dengan kunci khusus Huawei.

“Pada titik ini, sangat jelas bahwa Huawei sangat menyadari aplikasi LZPlay ini, dan secara eksplisit memungkinkan keberadaannya,” tulis John Wu.

“Pengembang aplikasi ini entah bagaimana harus menyadari API tidak berdokumen ini, menandatangani perjanjian hukum, melalui beberapa tahap tinjauan, dan akhirnya memiliki aplikasi yang ditandatangani oleh Huawei.”

“Satu-satunya tujuan aplikasi ini adalah untuk menginstal Google Services pada perangkat yang tidak berlisensi,” John Wu menambahkan.

“Dan, kedengarannya sangat samar bagi saya, tetapi saya bukan pengacara sehingga saya sama sekali tidak tahu legalitasnya.”

Jika itu legal, kata John Wu, backdoor  tersebut seharusnya tidak pernah ada dari sudut pandang keamanan. Karena ini rentan terhadap perusakan.

Di sisi lain, aplikasi LZPay dikaburkan/dienkripsi oleh QiHoo Jiagu—perusahaan spesialisasi aplikasi seluler asal China.

Bagian yang lebih menarik terletak pada citra sistem Huawei, kata dia. “Mungkin ada lebih banyak permata tersembunyi, lebih banyak izin yang tidak terpikirkan untuk ditemukan, siapa tahu?” ia menambahkan.

API tidak berdokumen ini bukan jenis “memata-matai” dari pintu belakang, tapi itu dilindungi di balik verifikasi ketat di pihak Huawei dan membutuhkan interaksi pengguna untuk memungkinkan izin diberikan.

“Hanya Huawei yang tahu maksud untuk membuat API semacam itu dan mengizinkan LZPlay,” tulis John Wu.

Aplikasi LZPlay kini telah menghilang setelah John Wu menerbitkan artikelnya.

Google enggan berkomentar soal ini, tulis Bloomberg. Sementara, Huawei mengatakan dalam sebuah pernyataan melalui email, bahwa mereka tidak memiliki keterlibatan apa pun dengan LZPlay.