GrapheneOS auf Pixel 6a - viele Verbindungen zu Google bei Systemstart via Intent Filter Verification Service

Kalleplopp · 15. Oktober 2022 um 20:43

Hi,

vielleicht könnt ihr mir auf die Sprünge helfen.

Ich habe GrapheneOS vor ein paar Tagen auf meinem Pixel 6a installiert und nun via Netguard festgestellt, dass die System-App „Intent Filter Verification Service“ bei jedem Neustart des Handys Verbindungen zu vielen, vielen Google-Adressen und Google-Maps-Adressen in verschiedenen Ländern aufbaut. Zum Beispiel zu google. com, google. at, google. bg, maps.google. ad, maps.google. ca etc.

Dies sind nur Beispiele, es werden weitaus mehr Google-Adressen kontaktiert, außerdem weitere Maps-Dienste wie maps.apple. com, maps.yandex. com etc. Insgesamt geschätzt mehr als 100. Und das bei jedem Systemstart.

Welche Daten dabei übertragen werden, weiß ich leider nicht. Da der Service aber wohl eine Art Sicherheitsfeature ist, dass Links verifiziert, die standardmäßig durch Apps geöffnet werden, werden hoffentlich nur Daten empfangen (soweit ich es verstanden habe, siehe auch hier: https://grapheneos.org/usage#app-link-verification).

Das erklärt für mich aber nicht die Massen an Verbindungen beim Systemstart, zumal ich keine App ausfindig machen konnte, die die entsprechenden Links standardmäßig öffnen sollte.

Ich habe dem Intent Filter Verification Service erstmal die Netzwerk-Berechtigung entzogen, das hat geholfen.

Aber habt ihr eine Idee, warum der Service diese vielen Verbindungen aufbaut oder wie ich herausfinden kann, warum dies passiert? (Wenn ich es richtig verstehe, wäre die Frage hier konkret: Für welche App sollen diese ganzen Links verifiziert werden? Oder etwa für’s Betriebssystem?)

Und:
Ist dies ein Sicherheitsproblem?
Haben andere vielleicht ähnliche Erfahrungen mit GrapheneOS und dem Pixel 6a?
Und ist es problematisch, wenn ich dem Intent Filter Verification Service einfach die Netzwerk-Berechtigung entziehe?

Über Rückmeldungen hierzu würde ich mich sehr freuen.

Noch als Info: Auf meinem Pixel 6 (nicht 6a) mit GrapheneOS, ähnlicher Konfiguration und quasi gleichen installierten Apps, tritt dies nicht auf.

Vielen Dank und viele Grüße

kuketzblog · 15. Oktober 2022 um 21:36

Bist du dir sicher, dass es sich um Verbindungen handelt, die auch tatsächlich aufgebaut werden? Oder sind das eventuell lediglich DNS-Anfragen, die von NetGuard protokolliert werden?

o0ps · 15. Oktober 2022 um 21:44

Bei mir werden ebenso derartige Anfragen gestartet. Hier ein Auszug aus pi-hole.

Kalleplopp · 16. Oktober 2022 um 04:47

Guten Morgen,

vielen Dank für die Rückmeldungen!

@o0ps Ja, so auch bei mir. Nutzt du GrapheneOS auch auf einem Pixel 6a?

Ich bin nicht sicher, ob es sich tatsächlich um Verbindungen oder lediglich um DNS-Anfragen handelt. Wie könnte ich das denn rausfinden? Und wären DNS-Anfragen dieser Art denn normal/unproblematisch? Z.B. auf dem Pixel 6 habe ich sie ja nicht.

Ich habe die Verbindungen bzw. Anfragen zuerst in Blokada bemerkt und dann via Netguard geschaut, welche App dafür verantwortlich ist. So bin ich dann zum Intent Filter Verification Service gekommen.

Danke euch und viele Grüße!

o0ps · 16. Oktober 2022 um 06:53

Nutzt du auf dem Pixel 6 auch GrapheneOS? Denn auf meinem Pixel 6 gibt es diese DNS-Abfragen.

Kalleplopp · 16. Oktober 2022 um 07:52

Guten Morgen,

ja, da habe ich auch GrapheneOS installiert. Aber nicht diese Anfragen.

Wenn ich es richtig verstehe, müsste doch irgendeine App „sagen“, dass sie dafür verantwortlich sei, die entsprechenden Links zu öffnen und der genannte Service autorisiert die Links dann, indem er die Anfragen sendet, oder?
Könnte man dann nicht irgendwie herausfinden, um welche App es sich dabei handelt?

Viele Grüße

o0ps · 16. Oktober 2022 um 12:04

Ich habe auch noch ein 4a rumfliegen, welches ich später mal neu aufsetzen werde. Mal sehen wie es sich verhält. Ist ja merkwürdig, dass es bei einem Gerät ist und beim anderen nicht.

Kalleplopp · 16. Oktober 2022 um 12:26

Danke euch!
Bei meinem 4a hatte ich es früher auch nicht. Das hätte ich gemerkt, denke ich.

Viele Grüße

kuketzblog · 16. Oktober 2022 um 12:37

Falls du eine Fritz!Box (oder etwas anderes) in deinem Netzwerk hast, könntest du den Netzwerkverkehr mitschneiden. Verschlüsselte Verbindungen könntest du zwar nicht einsehen, aber immerhin in Erfahrung bringen, ob abgesehen von DNS, noch weitere Verbindungen initiiert werden.

Auf dem 4a habe ich solche Verbindungen jedenfalls bisher nicht feststellen können.

Hast du eventuell Google Maps installiert oder eine andere Navi-App/Kartenapp? Die könntest du auch mal deaktivieren und anschließend prüfen, ob sich das Verhalten ändert.

Kalleplopp · 16. Oktober 2022 um 12:54

Vielen Dank!

Bei der Fritzbox muss ich mich mal schlau machen, hier läuft aber eine.

Ich habe als Naviapp nur OsmAnd installiert, das hatte ich testweise schon mal deaktiviert, leider ohne Änderung.

Könnte man denn vielleicht irgendwie nachvollziehen, für welche App hier die Links geprüft werden?

Vielen Dank und viele Grüße

Kalleplopp · 16. Oktober 2022 um 13:35

Ich habe jetzt mal alle Apps, die ich selbst installiert habe, deaktiviert.
Die Abfragen finden trotzdem statt, es scheint also irgendwie mit dem System zusammen zu hängen.

Viele Grüße

kleinehackse · 16. Oktober 2022 um 14:37

Ich betreibe ein Pixel 4a mit GrapheneOs. Nach dem einspielen des letzen Updates ist mir dieselbe lange Liste an Anfragen aufgefallen. Vielleicht war sie aber auch schon vorher da.

gosch · 16. Oktober 2022 um 14:46

Auch ich kann das Beobachtete bestätigen, Pixel 6a mit GrapheneOS (Blokada5 als Blocker und VPN)
Da das 6a als auch Graphene neu für mich sind, habe ich mich noch nicht eingehender damit beschäftigen können. Hatte mich nur gewundert wenn nach einem Neustart eine Internetverbindung aufgemacht wurde und die Anfragen in Blokada nur so sprudelten.

Kalleplopp · 16. Oktober 2022 um 15:40

Danke auch euch!

Sind diese Verbindungen denn wohl problematisch?
Und ist es problenatisch, dem Intent Filter Verification Service einfach die Netzwerkberechtigungen zu entziehen?

Ich habe den Internetverkehr jetzt mal in der Fritzbox mitgeschnitten - mit dem, was mir danach in Wireshark angezeigt wird, kann ich aber leider nichts anfangen…

Viele Grüße!

Hano · 17. Oktober 2022 um 07:21

Seit ca. einem Monat habe ich das Gleiche auf meinem Pixel 4a festgestellt: Netguard benennt „Intent Filter Verification Service“ und listet lauter google-Domains auf, die von Netguard geblockt wurden.

Alawari · 17. Oktober 2022 um 07:46

Hallo ihr,

ich kann das bestätigen. Mein Pixel 4a wählt neuerdings nach dem Neustart auch diese Google-Adressen an. Hatte das in AdGuard Home bemerkt, dachte aber, dass liegt an der Molly App. Hatte diese nämlich genau davor zu Testzwecken installiert und sie daraufhin wieder entfernt. Jetzt hab ich das nochmal getestet und er fragt wieder diese Seiten an.

Schon immer, seit ich GrapheneOS drauf habe, wählte er nach dem Neustart einmal eine Google-Adresse an, aber nie die ganze Reihe…

kuketzblog · 17. Oktober 2022 um 08:10

Vielen Dank für eure Beobachtungen. Das scheint mir eine neue Enwicklung zu sein. Deaktivieren/Unterdrücken lässt sich das wie folgt:

If you don’t want automatic app link verification, you can disable the Network permission added by GrapheneOS for the Intent Filter Verification Service system app. In the future, we may provide a way to disable verification directly instead of stopping it from working. It will make heavily throttled attempts to verify a domain after the check failed which won’t negatively impact battery life due to the conservative JobScheduler-based implementation.

Es sieht auch nicht DNS-Requests aus, sondern nach Verbindungen, die tatsächlich intiiert werden:

These network requests by the Intent Filter Verification Service to verify app associations with domains are commonly confused for network requests made by the apps. It’s simply an HTTPS GET request without identifying information and doesn’t offer a communication channel with the app. Redirects won’t be followed so there will be a single request for each attempt to verify a domain.

Kalleplopp · 17. Oktober 2022 um 09:06

Vielen Dank für die ganzen Rückmeldungen! Ich bin ja schonmal ganz froh, dass das Problem nicht nur bei mir auftritt.

Ist es denn unproblematisch, den Service einfach entsprechend zu blockieren?
Ich verstehe noch nicht ganz:

Können die entsprechenden Links dann einfach nicht mehr durch Apps geöffnet werden?
Oder werden die Links dann vorher nicht mehr durch’s System autorisiert und dadurch entseht eine Sicherheitslücke?

Zur Info: Im GrapheneOS-Forum hatte ich das Problem auch angebracht, bin dort aber auch noch nicht weiterhekommen:
https://discuss.grapheneos.org/d/1300-app-link-verification

Danke euch und viele Grüße

gosch · 17. Oktober 2022 um 10:08

Testen?! Ich dreh dem Dienst den Saft ab und beobachte eine Weile. Wenn das hier noch ein paar tun, sehen wir ja in ein paar Tagen ob es Nachteile gibt.

Naja wenn ich mir Screenshot von @Alawari anschaue und das mit meinen Beobachtungen vergleiche, dann ist die Wahrscheinlichkeit google maps mit der japanischen Adresse aufzurufen doch sehr … gering Die Anfragen wirken doch sehr exotisch.

Ohne ein tieferes Verständnis zu haben, das hieße für mich im Umkehrschluss das quasi alle Links vorher autorisiert werden müssten, was ja per se unmöglich und völlig unsinnig ist.

Kalleplopp · 17. Oktober 2022 um 11:03

Hi,
danke dir!

Ich bin ein bisschen weiter.
Bei mir scheint es doch an OsmAnd zu liegen.

Wenn man in den App-Infos auf „Stabdardmäßig öffnen“ klickt, sieht es wie folgt aus:

Wenn man dort auf „+ Link“ klickt, sind die ganzen Links zu finden.

Bei meinem Pixel 6, auf dem die Abfragen nicht stattfinden, sieht es in den App-Infos von OsmAnd wie im folgenden Post aus (ich kann hier nur ein Bild pro Post hochladen).

Wie ich das auch beim oberen Handy erreichen kann, habe ich noch nicht herausgefunden. Hat da jemand eine Idee?

Viele Grüße