Pixel-Smartphones: Auf Wunsch Verizons mit Fernwartungssoftware ausgeliefert

Hallo,

Habe den Artikel gelesen:

https://www.heise.de/news/Pixel-Smartphones-mit-heimlicher-aber-inaktiver-Fernwartung-ausgeliefert-9836726.html?

Pixel mit GraphenOS !

Mit der Hypatia-Scann App (F-Droid Store ) gescannt und möglicherweise den Fund priv-app auf einem Pixel mit GrapheneOS, der im Artikel erwähnt wird.

(Im Scanner system scannen einstellen).Und vorher Datenbank update.

Anscheinend sind die Images von GrapheneOS doch betroffen.Aber wie ist das möglich wenn es doch anscheinen nur über die Verizone Sim aktiviert wird.
Hat GrapheneOS die Images nicht davon bereinigt ?

Bei scans in den letzten Monaten gab es keinen Fund.

Die Frage die daraus z.B resuliert ist, seit wann kann Hypatia das erkennen ? Da könnte wohl divestos mehr zu sagen.

Oder kann es anders aufs System gekommen sein ?

Bild vom Fund im Anhang.

Wie solll man damit jetzt umgehen ? Erst mal alle so lassen ? Oder ist es nicht so schlimm ?

Dabei handelt es sich nicht um die im Artikel genannte „Showcase.apk“ (zuerst mit .pkg Endung im Artikel genannt).

Wenn du innerhalb des Threads, des im Artikel verlinkten GrapheneOS Beitrags, auf Mastodon hochscrollst, findest du diese Aussage: „GrapheneOS has been omitting these carrier apps since around 2015.“.
Auf Deutsch: GrapheneOS lässt diese Mobilfunkanbieter Apps schon seit ca. 2015 weg.
Schlussfolgernd befindet sich diese App nicht in deinen GrapheneOS-Image - und damit auch nicht im /system Verzeichnis, oder dessen Unterverzeichnissen.

Was Hypatia da erkennt? Keine Ahnung, da Ich nicht gegenteste, sehr wahrscheinlich jedoch einen false-positive.
„Potential match“ klingt auch eher nach fehleranfälliger Heuristik, als nach bekannter Schadsoftware.

2 „Gefällt mir“

Was irritiert ist, das im Bericht was von priv-app (von heise ) zu lesem ist:

Dritter Abschnitt:

Tatsächlich lassen sich weiterhin von Googles offiziellen Servern Firmware-Images für die Pixel-Geräte herunterladen, die im product.img das Verzeichnis priv-app mit dem genannten Showcase.pkg enthalten, wie heise online anhand des [Images von Android 14.0 für das Pixel 8 überprüfen konnte.

„priv-app“ ist der Name des Unterverzeichnisses der /system-Partition, in der sich vorinstallierte, privilegierte Apps befinden - so z.B. die „Backup & Restore confirmation“ App, bei der Hypatia angesprungen ist.

Das Systemimage wird während des Startvorgangs des Geräts verifiziert. Wenn du beim installieren von GrapheneOS den Webinstaller verwendet hast oder die Anleitung durchgegangen bist, ist da eine Kompromittierung hinterher ausgeschlossen.
Es wird also ziemlich sicher ein normaler, originaler Bestandteil von GrapheneOS sein, der nicht einfach ohne weiteres hinzugefügt worden sein könnte.

ich habe mein aktuelles GOS eben mit Hypatia testen lassen und es ist sauber

Steht doch alles was man wissen muss im GrapheneOS Mastodon- oder Twitter-Thread drin. Und nein, es wird nicht mit GrapheneOS ausgeliefert. Das ganze Problem wird von den Medien völlig übertrieben und zeigt, wie einfach einer vom anderen abschreibt und kaum noch jemand von den Journalisten Ahnung von der Materie hat.

Du kannst dich gerne an den Hypatia Dev wenden, warum bei dir etwas angezeigt wird. Der kennt sich auch mit GrapheneOS aus, hat verschiedene Kommunikationswege und ist auch in Foren wie PrivacyGuides unterwegs und gibt gerne Auskunft bei Fragen.

Edit: @Astolfo sorry, hab auf den falschen Kommentar geantwortet und kann das irgendwie nicht mehr ändern. Die Antwort war für @aen gedacht.

4 „Gefällt mir“

Interessant das du kein Fund hast

Könnte an 3 Dingen liegen:

  1. /system Partition wird nicht mitgescannt (muss extra angewählt werden)
  2. Erweiterte Datenbank wird eventuell nicht verwendet (falls du sie aktiviert hast)
  3. Ein anderes Pixel Modell wird verwendet (eventuell unterscheidet sich hier etwas)
  1. wurde mit gescannt
  2. wurde nicht verwendet
  3. 7a
1 „Gefällt mir“
  1. sys wurde mit gescannt
  2. keine erweiterte Datenbank
  3. Google Pixel 6a
  4. ohne sys scan kein Fund
1 „Gefällt mir“

Welches Image wurde da genau geladen, dies lässt sich nicht herauslesen, aber ich vermute mal stark, das Verizon Image :slight_smile:

Wie @Chief1945 schon schrieb, es geht teilweise einfach nur noch um Klicks und Geldmacherei - Ahnung von einfachsten technischen Dingen, haben die wenigsten der Schreiberlinge :confused:

EDIT:

Es wurde wohl das Images von Android 14.0 für das Pixel 8a geladen…

Hallo,

Aktuelles GrapheneOS Image für Pixel 6a.
Es scheint eine System Datei zu sein und wie schon von Astolfo in der ersten Antwort erwähnt hat , und wenn das Sys nicht gescannt wird (also normaler Scan) kommt auch keine Meldung.

Es kommt auch keine Meldung wenn das /system gescannt wird.

Zudem:
Ab hier kann alles nachgelesen und verstanden werden um was es geht.
https://discuss.grapheneos.org/d/14984-is-grapheneos-an-answer-to-recent-wired-headline-about-showcaseapk

Seit gestern das Uptate Billd 2024082200 installiert wurde findet Hypatia in beiden Scaneinstellingen nichts mehr. ! ?

Ich hatte Ende 2021 ein Google Pixel 4a hier in Deutschland gekauft und CalyxOS darauf installiert.
Ende 2023 hatte ich ein Google Pixel 6a hier in Deutschland gekauft und nacheinander GrapheneOS, IodéOS und CalyxOS darauf installiert.
Von allen diesen Geräten und ROMs, inkl. der jeweiligen Google Stock-ROMs habe ich noch die Listen der vorinstallierten Systemapps, *.apk vorliegen, per ADB extrahiert.
Eine „Showcase.apk“ war bei keinem dieser ROMs mit dabei. Es ist möglich, dass diese App ausschließlich oder hauptsächlich auf Geräten ausgeliefert wurde, die für Verizon vorkonfektioniert wurden. Das beträfe dann Geräte für den US Markt. Es ist üblich, dass Telekomfirmen bei Handys, die sie „umsonst“ an ihre Vertragskunden ausliefern nicht nur eine SIM-Sperre einbauen, sondern auch eigene Systemapps mitliefern für ein „besonderes Nutzererlebnis“.