GrapheneOS auf Pixel 6a - viele Verbindungen zu Google bei Systemstart via Intent Filter Verification Service

Ich habe OsmAnd deinstalliert, die Anfragen sind weg (deaktivieren hat nicht gereicht).
Das ist aber leider keine Dauerlösung.

Ich kann Euch die App „Organic Maps“ empfehlen. Finde ich deutlich besser als Osmand.

Organic Maps gibt’s u.a. bei F-Droid.

Vielen Dank für den Tipp!
Auch bei der App werden in den App-Infos allerdings die ganzen Links gelistet.

Ich habe jetzt OsmAnd wieder installiert. Bisher bleiben die Abfragen aus. :thinking:

Mal abwarten.

Viele Grüße

Kurzes Statusupdate.
Ich hatte nach Hinweis hier der App „Intent Filter Verification Service“ das Internet abgedreht und seitdem (ca. zwei Wo) keine Anfragen mehr im Log von Blokada. Nebenwirkungen konnte ich bisher auch keine beobachten.

1 „Gefällt mir“

Ich kann euch sagen woher diese Anfragen kommen. Das passiert bei allen Apps, die Code für point of interests von osmand nutzen:

https://github.com/osmandapp/OsmAnd/blob/master/OsmAnd-java/src/test/java/net/osmand/util/GeoPointParserUtilTest.java

Ich hatte genau das gleiche Problem, hab für die Inbetriebnahme meines China Handys extra nen dedicated router mit openwrt aufgesetzt, damit ich da dns und traffic analysieren kann. Hab mehrere Apps probiert, die osmand Zeugs nutzen.
Das ist ein komplettes privacy nightmare, da hier die GeoDaten an Hinz und Kunz rausgepustet werden um Infos zu Point of Interests abzurufen.

Heißt für mich man muss wirklich jede App auch in F-Droid genau prüfen:-)

P.S. Auch die Organic Map und Navit hatte die Anfragen zur Folge. Ich hab mir jetzt Here We Go drauf, die schickt nur an die eigene Domain und Oflline geht damit gut.

Danke für den Link, aber ich bekomme leider so überhaupt nicht den Zusammenhang zwischen dem geschilderten Problem und dem github Eintrag hin. Ich kann den zwar lesen, aber nicht interpretieren.

@gosch Der Link von @Darkmode hat nichts mit dem realen Betrieb zu tun. Das sind Test-Klassen, die für automatisierte Tests ausgeführt werden. JUnit ist ein sehr bekanntes Tool für genau diesen Zweck.

Jede Methode mit @Test ist eine Test-Methode. Sobald der Entwickler (oder das Build-Tool) diese Tests startet, steht am Ende immer ein erwartetes Ergebnis dem aktuellen Ergebnis gegenüber. Der erste Test testGeoPointUrlDecode() in der verlinkten Java-Klasse zeigt das recht gut. Die Entwickler haben an einer anderen Stelle die Methode parse geschrieben, die aus einer Zeichenkette bestimmte Dinge ersetzt.

Der Test prüft nun folgendes: Wenn die Zeichenkette geo:0,0?q=86HJV99P%2B29 an die parse-Methode übergeben wird, ist dann das Ergebnis immer noch 86HJV99P+29? Wenn ja, dann ist der Test bestanden, falls nein, dann schlägt der Test fehl.

Also die Kurzfassung: Die URLs kommen nicht aus dieser Klasse bzw. grundsätzlich nicht aus
OsmAnd/OsmAnd-java/src/test/**. Wenn, dann würde ich unter OsmAnd/OsmAnd-java/src/main/** schauen.

Ja das ist nur die Testklasse, auf die schnelle habe ich den eigentlichen Code nicht gefunden, in der Realität ruft OSMAND noch viel mehr URLs auf als in der Testklasse drin stehen, aber bei den Aufrufen gehts genau um das was im Testcode drin ist, nämlich Infos zu POIs zu dem aktuellen Standort.

Ich bin jetzt dazu übergegangen eigene Builds zu erzeugen, damit ich die volle Kontrolle habe. Normales LineageOS nutzt keine Signaturen, so dass man den Bootloader nicht locken kann, dazu sind es userdebug builds, die immer adb aktiviert haben. Bei GrapheneOs ist das anders, aber auch da ist nicht alles optimal.

Von osmand oder von Lineage oder von graphene?

Die zweite Satzhälfte habe ich nicht verstanden. Magst Du das näher erklären? Vielleicht in einem neuen Thread, da es vermutlich das Thema hier verläßt. (Oder ich verschiebe das.)

1 „Gefällt mir“

Hab nochmal wegen osmand nachgeschaut:

https://github.com/osmandapp/OsmAnd/blob/master/OsmAnd/AndroidManifest.xml

https://github.com/osmandapp/OsmAnd/blob/master/OsmAnd-java/src/main/java/net/osmand/util/GeoPointParserUtil.java

Dort sind die URLs, die osmand für Point Of Interest Suche nutzt ,gelistet.

P.S.: Bezüglich boot signaturen. Mit Signaturen kann man den boot prozess absichern. Somit ist ausgeschlossen, dass jemand das System manipulieren kann. E.g. jemand hat physikalischen Zugriff auf das Smartphone und nutzt adb um da einen keylogger zu sideloaden, oder ne eigene firmware draufzuflashen, e.g. gleiches lineageos mit backdoor. Jetzt startest du das manipulierte Gerät unlockst es, jetzt hatte der Angreifer auch zugriff auf die vorher verschlüsselten Daten.

Entweder wurde dann „Online POI Suche“ oder das POI-Overlay in der Karte aktiviert. Standardmäßig ist beides in der F-Droid Variante deaktiviert. Möglich wäre auch, dass sich die Playstore-Variante (ggf. in Kombination mit Playservices) anders verhält. Um ganz sicher zu gehen, kann man die Berechtigung „Internet“ entziehen.

Also ich hab die OsmAnd aus F-Droid gezogen und gestartet sonst nix, das gleiche ist auch bei zwei anderen Karten Apps aus F-Droid der Fall, die auch osm code nutzen. Und das auf ner frischen LineageOS Install. Ich hab jetzt nicht nachgeschaut, ob sich das in OsmAnd ausschalten lässt bzw. od da POI Infos per default an sind.

Das bezweifle ich, weil ich die POI-Suche auch nicht verändert habe und es ist zu differenzieren:

Man kann im Kartenausschnitt links oben auf das Symbol (Welt / Auto / Fahrrad / Fußgänger / Omnibus) klicken und bekommt dann:

ein Dialogfenster ("Anzeigen" aufklappen!) mit etlichen Einträgen

Die POI-relevanten Einträge sind (ich denke, nichts verändert zu haben) der

  • Zweite „POI-Overlay …“ und
  • Dritte „Punktbeschriftungen (POI, Favoriten)“.

Je nachdem, was man für einen Kartenbezug auswählt, sind sie anders vorgegeben:

Option               Welt  Auto  Fahrrad Fußgänger Omnibus
----------------------------------------------------------
POI-Overlay …         ON    OFF    OFF      OFF      OFF
Punktbeschriftungen   OFF   OFF    OFF      OFF      OFF

Da nun zu Hause Google gesperrt ist, sollte ich keine POIs sehen?
Sehe ich aber und vermute, sie wurden bei irgendeinem Internetbesuch außerhalb des eigenen LANs eingetragen.
OsmAnd ist ja besonders stark in seinen Offline-Fähigkeiten.

Die beiden Punkte sind (für alle Profile) standardmäßig deaktiviert. Getestet habe ich das, indem ich die App in das Arbeitsprofil kopiert, in allen Dialogen „Überspringen“ ausgewählt habe und direkt zur Karten-Konfiguration gegangen bin. Möglich wäre, dass diese Einstellungen in früheren Versionen standardmäßig aktiviert war. In der aktuellen Version sind diese Punkte allerdings deaktiviert.