Mit der Hypatia-Scann App (F-Droid Store ) gescannt und möglicherweise den Fund priv-app auf einem Pixel mit GrapheneOS, der im Artikel erwähnt wird.
(Im Scanner system scannen einstellen).Und vorher Datenbank update.
Anscheinend sind die Images von GrapheneOS doch betroffen.Aber wie ist das möglich wenn es doch anscheinen nur über die Verizone Sim aktiviert wird.
Hat GrapheneOS die Images nicht davon bereinigt ?
Bei scans in den letzten Monaten gab es keinen Fund.
Die Frage die daraus z.B resuliert ist, seit wann kann Hypatia das erkennen ? Da könnte wohl divestos mehr zu sagen.
Oder kann es anders aufs System gekommen sein ?
Bild vom Fund im Anhang.
Wie solll man damit jetzt umgehen ? Erst mal alle so lassen ? Oder ist es nicht so schlimm ?
Dabei handelt es sich nicht um die im Artikel genannte „Showcase.apk“ (zuerst mit .pkg Endung im Artikel genannt).
Wenn du innerhalb des Threads, des im Artikel verlinkten GrapheneOS Beitrags, auf Mastodon hochscrollst, findest du diese Aussage: „GrapheneOS has been omitting these carrier apps since around 2015.“.
Auf Deutsch: GrapheneOS lässt diese Mobilfunkanbieter Apps schon seit ca. 2015 weg.
Schlussfolgernd befindet sich diese App nicht in deinen GrapheneOS-Image - und damit auch nicht im /system Verzeichnis, oder dessen Unterverzeichnissen.
Was Hypatia da erkennt? Keine Ahnung, da Ich nicht gegenteste, sehr wahrscheinlich jedoch einen false-positive.
„Potential match“ klingt auch eher nach fehleranfälliger Heuristik, als nach bekannter Schadsoftware.
Was irritiert ist, das im Bericht was von priv-app (von heise ) zu lesem ist:
Dritter Abschnitt:
Tatsächlich lassen sich weiterhin von Googles offiziellen Servern Firmware-Images für die Pixel-Geräte herunterladen, die im product.img das Verzeichnis priv-app mit dem genannten Showcase.pkg enthalten, wie heise online anhand des [Images von Android 14.0 für das Pixel 8 überprüfen konnte.
„priv-app“ ist der Name des Unterverzeichnisses der /system-Partition, in der sich vorinstallierte, privilegierte Apps befinden - so z.B. die „Backup & Restore confirmation“ App, bei der Hypatia angesprungen ist.
Das Systemimage wird während des Startvorgangs des Geräts verifiziert. Wenn du beim installieren von GrapheneOS den Webinstaller verwendet hast oder die Anleitung durchgegangen bist, ist da eine Kompromittierung hinterher ausgeschlossen.
Es wird also ziemlich sicher ein normaler, originaler Bestandteil von GrapheneOS sein, der nicht einfach ohne weiteres hinzugefügt worden sein könnte.
Steht doch alles was man wissen muss im GrapheneOS Mastodon- oder Twitter-Thread drin. Und nein, es wird nicht mit GrapheneOS ausgeliefert. Das ganze Problem wird von den Medien völlig übertrieben und zeigt, wie einfach einer vom anderen abschreibt und kaum noch jemand von den Journalisten Ahnung von der Materie hat.
Du kannst dich gerne an den Hypatia Dev wenden, warum bei dir etwas angezeigt wird. Der kennt sich auch mit GrapheneOS aus, hat verschiedene Kommunikationswege und ist auch in Foren wie PrivacyGuides unterwegs und gibt gerne Auskunft bei Fragen.
Edit: @Astolfo sorry, hab auf den falschen Kommentar geantwortet und kann das irgendwie nicht mehr ändern. Die Antwort war für @aen gedacht.
Welches Image wurde da genau geladen, dies lässt sich nicht herauslesen, aber ich vermute mal stark, das Verizon Image
Wie @Chief1945 schon schrieb, es geht teilweise einfach nur noch um Klicks und Geldmacherei - Ahnung von einfachsten technischen Dingen, haben die wenigsten der Schreiberlinge
Aktuelles GrapheneOS Image für Pixel 6a.
Es scheint eine System Datei zu sein und wie schon von Astolfo in der ersten Antwort erwähnt hat , und wenn das Sys nicht gescannt wird (also normaler Scan) kommt auch keine Meldung.
Ich hatte Ende 2021 ein Google Pixel 4a hier in Deutschland gekauft und CalyxOS darauf installiert.
Ende 2023 hatte ich ein Google Pixel 6a hier in Deutschland gekauft und nacheinander GrapheneOS, IodéOS und CalyxOS darauf installiert.
Von allen diesen Geräten und ROMs, inkl. der jeweiligen Google Stock-ROMs habe ich noch die Listen der vorinstallierten Systemapps, *.apk vorliegen, per ADB extrahiert.
Eine „Showcase.apk“ war bei keinem dieser ROMs mit dabei. Es ist möglich, dass diese App ausschließlich oder hauptsächlich auf Geräten ausgeliefert wurde, die für Verizon vorkonfektioniert wurden. Das beträfe dann Geräte für den US Markt. Es ist üblich, dass Telekomfirmen bei Handys, die sie „umsonst“ an ihre Vertragskunden ausliefern nicht nur eine SIM-Sperre einbauen, sondern auch eigene Systemapps mitliefern für ein „besonderes Nutzererlebnis“.