Hey, bitte registriere dich, um alle Funktionen nutzen zu können!

Mach's gut, CyanogenMod. Hallo LineageOS. ♥ Unsere Community freut sich auf die neue Ära.

Wie soll ich meine Frage im LineageOS Forum posten?


Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
LineageOS for MicroG - Samsung S9+
#11
Ich habe mal einen Artikel rausgesucht von einem Menschen der das Problem MicroG gut beschreibt (leider nur auf Englisch) und MicroG gut findet. Da sind auch Links zu den Stellungnahmen vom LOS-Team drin.
Der Artikel ist allerdings von 2016! Und da war SE-Linux noch nicht so stark eingebaut in Android!

Ja, ich denke das Konzept "Your data is your data" wird damit ad absurdum geführt!

Aber genau das ist doch die Funktionsweise von MicroG!?!?:
MicroG (der GMScore) bekommt von den Apps diejenigen Daten (zur Weiterleitung an Google) die diese eigentlich an Google senden wollten! Und zwar OBWOHL die Apps eine umfangreiche Identitätsprüfung der "Google Play Dienste" machen. Das heisst, die Apps kriegt das überhaupt nicht mit, daß sie garnicht mit den "Google Play Dienste" sprechen sondern mit "MicroG"!

Und genauso kann das jede andere App machen die die entsprechende Berechtigung erhält.

https://blogs.fsfe.org/larma/2016/microg...-security/






Google Pixel 3 mit LOS17.1
Antworten
#12
(11.09.2020, 21:04)llluuuzzziii schrieb: https://blogs.fsfe.org/larma/2016/microg...-security/

Ich kenne das eine oder andere Argument gegen das microG-Project nebst Bedenken gegen Signatur-Spoofing. Nur - andersteilige Ansichten werden zu wir zu Allem finden.

Interessant finde ich in dem o. g. Artikel vom 6. Mai 2016 die Absätze ab „The CyanogenMod story“

Übersetzung aus dem Englischen von @linsam schrieb:Die meisten CM-Entwickler, die argumentierten, dass dies ein großes Sicherheitsproblem ist, konnten nicht sagen, warum oder ein konkretes Angriffsszenario angeben, und wenn ja, war dies der oben erläuterte Mythos.
...
Ich habe keine Ahnung, warum genau das CM-Team die Spoofing-Funktion nicht gerne einbaut, aber es scheint, dass es nicht möglich ist, mit ihnen zu argumentieren. Obwohl sie die Sicherheit als Grund nennen, können sie nicht beweisen, dass der Patch ein relevantes Sicherheitsrisiko birgt. Lustigerweise versuchten sie öffentlich, eine Stellungnahme von Googles Android-Sicherheitsingenieur Nick Kralewitsch für die erste Version des Patches zu bekommen, aber er antwortete nie (zumindest nicht öffentlich).

Dass das LineageOS Team als Nachfolger von CyanogenMod ebenso wenig rede-und antwort-freundlich ist und ihr eigenes Kommunikationssüppchen kreieren, ist uns ja von anderer Stelle her bekannt.
Antworten
#13
Hallo,
vielen Dank für eure Antworten!
Ich werde auch ein bisschen schlauer... Smile
Ein paar neue Fragen habe ich aber doch.

- MicroG bietet ja ein paar Vorteile (GCM etc.). Kann es aber auch sein, dass manche Apps (Bei mir insb. relevant: Microsoft Outlook und Microsoft Teams) ohne MicroG gar nicht laufen, mit MicroG aber laufen? Unabhängig davon, ob z.B. PUSH-Nachrichten funktionieren.

- Wenn eine andere App ähnliche Berechtigungen wie MicroG haben möchte (Signature Spoofing), müsste ich das erst erlauben, oder? Oder ist Singature Spoofing in LOS for MicroG generell für alle Apps einfach so möglich?

- Warum braucht MicroG Zugriff auf die Kontakte, warum müssen die an Google gesendet werden?

Vielen Danke auch für den verlinkten Artikel! Interessant finde ich auch die Aussage: "If you have the Google Play Services or microG installed, it is no longer possible to imitate Play Services" ...für andere Apps.
Damit ist diese Sicherheitslücke durch MicroG eingetlich direkt wieder geschlossen!?

Vielen dank an euch und viele Grüße!
Antworten
#14
(12.09.2020, 07:40)kalleblomquist schrieb: Kann es aber auch sein, dass manche Apps (Bei mir insb. relevant: Microsoft Outlook und Microsoft Teams) ohne MicroG gar nicht laufen, mit MicroG aber laufen? Unabhängig davon, ob z.B. PUSH-Nachrichten funktionieren.

@kalleblomquist, was hält Dich ab, ein LineageOS-for-microG zu installieren und die von Dir bevorzugten Apps zu installieren und die Szenarien selbst auszuprobieren? 

Probieren geht über Studieren. Durch Ausprobieren erfährt man am besten, ob etwas funktioniert oder nicht. Nichts ist besser, als etwas in der Praxis zu erproben, als es sich theoretisch abzuleiten.

Wenn Dir LineageOS-for-microG nicht zusgat, dann tauscht Du es einfach gegen ein anderes Custom ROM aus, denn es gibt ja nicht nur LineageOS Forks für das S9plus.


(12.09.2020, 07:40)kalleblomquist schrieb: Wenn eine andere App ähnliche Berechtigungen wie MicroG haben möchte (Signature Spoofing), müsste ich das erst erlauben, oder? Oder ist Singature Spoofing in LOS for MicroG generell für alle Apps einfach so möglich?

Richtig, Erstgenanntes ist zutreffend.


(12.09.2020, 07:40)kalleblomquist schrieb: Warum braucht MicroG Zugriff auf die Kontakte, warum müssen die an Google gesendet werden?

MiicroG ist ein Open-Source-Ersatz der Google-Play-Dienste. Alle Verbindungen, die microG zum Google-Server herstellt, erfolgen anonym.
Antworten
#15
Letztlich hängt die Bewertung von MicroG ja ab von der eigenen Definition von privacy (also Vertraulichkeit/Privatheit) und integrity (also der Übereinstimmung von äusserer Erscheinung und tatsächlichem Inhalt) und wie dauerhaft dies gewährleistet wird (safety/security ...).
Und da kann herrlich stundenlang drüber diskutiert werden. ;o)
Ausgangspunkt war aber "Your data is your data!".
Streng genommen ist schon diese Aussage Blödsinn, weil auch geklaute Daten ja immernoch meine Daten sind. Im weiteren Sinn meint das jedoch "der User bestimmt wer die Daten bekommt". Und dazu ist eben Integrität zwingend notwendig, die eben genau durch Signatur Spoofing unterlaufen wird. Unabhängig davon, daß vorher eine Berechtigungsabfrage stattfindet. Denn auch MIT Berechtigungsabfrage wird kein User sich den Code einer App vorher angucken (also rein faktisch überprüfen ob die anfragende App dazu wirklich berechtigt ist).
Und der Unterschied zu root ist genau dieser Fakt, daß eben auch root die Integrität eines laufenden Betriebssystems nicht verändern kann, wenn Signature Spoofing nicht eingeschaltet ist.
Und das anscheinend noch keine App gebaut wurde die das zum Nachteil des Users ausnutzt, ist lediglich eine These! Weil Apps die das "zum Vorteil" ausnutzen gibt es ja (nämlich MicroG ;o)

Aber zu kalle
1. Outlook läuft auch ohne MicroG (und auch ohne GApps)
2. Push-Nachrichten (GCM (bzw jetzt FCM) läuft nur MIT MicroG/GApps)



Google Pixel 3 mit LOS17.1
Antworten



Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  [LineageOS] Sasmung S 5 Bootloop Neuinstallation mit Lineageos frozy 1 69 Vor 8 Stunden
Letzter Beitrag: reset
  App als Dauerhafte Anzeige bei LineageOS 14.1 guentherfb 7 793 22.08.2020, 22:20
Letzter Beitrag: llluuuzzziii
  Allgemeine Fragen zu LineageOS und geeignetem Smartphone MaMu0420 2 744 11.07.2020, 18:55
Letzter Beitrag: linsam
  [ROM] DivestOS Mobil basierend auf LineageOS linsam 3 985 23.06.2020, 11:01
Letzter Beitrag: gogol
  [LineageOS] In LineageOS integrierter Analysedienst CMStats linsam 3 923 20.06.2020, 16:01
Letzter Beitrag: llluuuzzziii

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste