Android ohne Google: GrapheneOS attackiert neue Banking-API-Alternative

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
116.655
In der Android-Community ist eine Debatte über Sicherheitsstandards und App-Kompatibilität auf Geräten ohne Google-Dienste entbrannt. Im Zentrum steht ein Konflikt zwischen den Entwicklern des Projekts GrapheneOS und mehreren europäischen Smartphone-Anbietern, darunter Volla, Murena und Iodé. Auslöser ist eine geplante technische Alternative zu Googles Integritätsprüfung für Android-Geräte.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Es ist eine absolute Seuche und jede Klitsche will inzwischen ihren Dreck an ein Konto der zwei US Gatekeeper binden. Die Stores sind weit schlimmer als das alte Monopol von MS auf dem PC.
 
Vorschlag von GrapheneOS ist Unsinn. Wenn das Gerät so zertifiziert wird, darf es nicht mehr verändert werden, da es sonst die Zertifizierung verliert. Heißt die APIs, welche u.a. zertifiziert wurden, müssen für alle Ewigkeit so bleiben und da die API vom OS bereitgestellt werden, darf sich das OS nicht ändern. Jede neue OS-Version müsste in Verbindung mit dem Gerät nur zertifiziert werden, Glückwunsch.
 
Ehrlich gesagt kann ich die Thematik nicht so wirklich nachvollziehen.
Ich habe ein LOS ohne gapps/microg auf meinem Smartphone und die fehlenden Playservices waren noch nie ein Problem für Bankingapps. Das Problem war immer nur "root" und selbst da gibt es Lösungen.

Beispiele:

- VR/PSD Banking App geht (sogar mit erkanntem root!)
- Paypal geht (mit erkanntem root, NFC Zahlungen werden dann aber blockiert. ohne (erkanntem) root geht alles)
- SecureGO (läuft ohne root bzw. "nicht sichtbarem root")
- DigitalesBezahlen (genau gleich)
- Kreditkarten App gerade gezogen - ebenfalls genau gleich. Ohne root oder nicht sichtbarem root läufts.

Ich hatte bisher noch keine App aus dem Finanzsektor, die stur auf die Play Integritry API bestand. DM dagegen ist so dämlich seit längerem wirklich google Dienste zu erzwingen, was halt zur Folge hatte, dass ich da fast nichts mehr kaufe.

EDIT:
GrapheneOS hat hier eine Liste von Apps bereitgestellt.
Banking-Apps oder Anwendungen mit sensiblen Daten verweigern häufig den Dienst
Zum Vergrößern anklicken....
ist defacto einfach falsch - zum Glück.

grapheneos.org

GrapheneOS attestation compatibility guide

Guide on using remote attestation in a way that's compatible with GrapheneOS.
grapheneos.org grapheneos.org

1773226696943.png
 
Zuletzt bearbeitet:
Die Initiative finde ich gut, aber auch die Kritik ist indirekt berechtigt.

Generell Frage ich mich schon sehr lange warum man selbst als Besitzer nicht Admin (root) sein darf und warum das Erlangen dieser Rechte böse sein soll?

Insbesondere Google hat bewiesen dass der Play Store und Android genug Malware hat, trotz "Sicherheit".

Es wurde ja oben schon geschrieben ein Browser wird nicht geprüft...

Sollen einfach alle Dienste verpflichtend über eine Webpage angeboten werden, dann kann man auf alle Apps verzichten.
 
Shutterfly schrieb:
Vorschlag von GrapheneOS ist Unsinn. Wenn das Gerät so zertifiziert wird, darf es nicht mehr verändert werden, da es sonst die Zertifizierung verliert. Heißt die APIs, welche u.a. zertifiziert wurden, müssen für alle Ewigkeit so bleiben und da die API vom OS bereitgestellt werden, darf sich das OS nicht ändern. Jede neue OS-Version müsste in Verbindung mit dem Gerät nur zertifiziert werden, Glückwunsch.
Zum Vergrößern anklicken....
Du hsst das attestation model von GOS nicht verstanden. Es ist möglich nach Veränderung zu reattestieren. Wird jetzt schon bei z.B. updates gemacht, wenn man denn will. Dauert 2m.
 
"Als mögliche Lösung schlägt GrapheneOS einen anderen Ansatz vor. Statt proprietärer oder zentral gesteuerter Attestationssysteme sollten Banken und staatliche Stellen konkrete technische Sicherheitsstandards definieren. Geräte könnten dann unabhängig zertifiziert werden, sofern sie diese Anforderungen erfüllen. Ein solches Modell würde es auch kleineren Projekten ermöglichen, ihre Systeme offiziell prüfen zu lassen."

Geht's bei dem was Banken (aber auch games wie Pokemon Go wegen GPS cheating) fordern, denn wirklich um technische Sicherheitsstandards?
Dachte eher an Softwareintegrität. Also z.
B. keine App darf Rootrechte haben (jailbreak) etc.
Das klingt für mich schon nach etwas was man leider nur zentralisiert zuverlässig umsetzen kann...
Beitrag automatisch zusammengeführt:

Bigdog71 schrieb:
Sollen einfach alle Dienste verpflichtend über eine Webpage angeboten werden, dann kann man auf alle Apps verzichten.
Zum Vergrößern anklicken....
Mh, nein. 2FA und Banking möchte ich auf dem Phone nicht per Browser machen.
Vielleicht ist diese Denkweise altmodisch aber es fühlt sich weniger sicher an.
Beitrag automatisch zusammengeführt:

Mr.Mito schrieb:
GrapheneOS hat hier eine Liste von Apps bereitgestellt
Zum Vergrößern anklicken....
Echt jetzt, "with link to provide feedback"?...
also implizit fordern dass der Web-Mob Unternehmen dazu zwingt die Sicherheit zu reduzieren. Na toll, sehr sympathisch...
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh