Mein größtes Problem wäre die Google Authenticator-App. Die Zwei-Faktor-Authentifizierung läuft darüber. Wenn die nicht mehr funktioniert, müsste ich auf Alternativen ausweichen und hoffen, dass die Anbieter sie unterstützen. Ansonsten müsste man ein altes Smartphone mit nicht-modifizierter Firmware verwenden. So ein etwas veraltetes Betriebssystem würden sie dann als vertrauenswürdiger ansehen. Wenn die Hersteller es nicht mehr tun, müsste noch viel mehr von Google aktualisiert werden.
Das ist doch was völlig anders. Bei dem hier bietet Google eine API an die von anderen genutzt werden kann und nicht muss. Da gehts auch mehr um Integrität und nicht um Sicherheit wie Patch-Level oder so was.
The Play Integrity API helps you check that interactions and server requests are coming from your genuine app binary running on a genuine Android device.
When your app or game is used on an Android device with the Google Play Store and powered by Google Play services, the Play Integrity API provides a response that helps you determine whether you’re interacting with the following:
- Genuine app binary: Determine whether you’re interacting with your unmodified binary that Google Play recognizes.
- Genuine Play install: Determine whether the current user account is licensed, which means that the user installed or paid for your app or game on Google Play.
- Genuine Android device: Determine whether your app is running on a genuine Android device powered by Google Play services (or a genuine instance of Google Play Games for PC).
https://developer.android.com/google/play/integrity/overview
Keine Ahnung wie man da Kartellrechtlich was machen sollte.
Selbst wenn würde das nicht helfen.
Och, da gibts doch viele alternativen.
Lohnt sich immer. Einfach die Apps die so was machen/brauchen entsorgen.
Diese Entwicklung gefällt mir nicht.
Warum macht man es Leuten so verdammt schwer Modifikationen an ihren Geräten und den Apps die darauf laufen vorzunehmen?
Wie soll man denn überprüfen ob sich Anwendungen an den Datenschutz halten und nur das tun was man von ihnen verlangt wenn man ihnen nicht auf die Finger gucken kann?
Binäre Komponenten, Rootchecks, Bootloaderprüfungen, Obfuscation im Code. Das is mir langsam zu viel Blackbox und das wird nicht eingedämmt sondern auch noch vorangetrieben.
Hab auch nur 'ne Handvoll Apps aus dem Play Store.
Die ÖPNV-Geschichten könnte ich auch im Browser abwickeln.
Ein Problem wären für mich allerdings die 2FA-Apps für’s Online-Banking. „Entsorgen“ wäre für mich da keine Lösung.
Mehr als abwarten kann man aktuell nicht tun. Ich denke nicht, dass viele Apps auf MEETS_STRONG_INTEGRITY setzen werden, sondern niedriger, um einen Kompromiss zwischen Kompatibilität und Sicherheit zu erreichen. Langfristig sehe ich persönlich keine Chance die Zertifizierungen auf Custom-ROMs auszuweiten. Zum einen „gehören“ die Google-Play-Dienste nunmal Google und zum anderen ist kein App-Entwickler „verpflichtet“ auf MEETS_STRONG_INTEGRITY zu prüfen.
Wenn überhaupt, dann könnten am ehesten die von „XDA Developers“ eine technische Lösung finden, da es schon mal eine Zeit lang funktionierte und ich nicht ausschließen würde, dass es zukünftig wieder funktioniert:
NOTE: Strong verdict is impossible to pass on unlocked bootloader devices, there are few devices and „exploits“ which will allow you to pass it, but, in normal conditions, this verdict will be green only if you are using stock ROM and locked bootloader. The old posts talking about Strong pass was an „exploit“ in Google servers, obviously, now it’s patched.
Für mich persönlich spielt das Thema keine große Rolle. Die einzigen Apps, die in Frage kommen würden, sind die im Arbeitsprofil, wenn sie überhaupt auf MEETS_STRONG_INTEGRITY umstellen (wovon ich aktuell nicht ausgehe).
Betroffene Apps könnte man auch gut auf ein anderes Smartphone mit Stock-ROM auslagern. Für 2FA-Online-Banking vermutlich auch keine schlechte Idee, falls es zu Verlust/Diebstahl kommt und man unterbrechungsfrei Online-Banking machen möchte bzw. muss.
3 „Gefällt mir“
Läuft alles über ein und dasselbe OpenSource-Protokoll. Installiere einfach Aegis und freu dich wie alles dennoch (und diesmal ohne Tracking) läuft!
Danke für den Tipp
Es fängt ja ehrlich gesagt schon beim Play Store-Monopol an. Der Otto Normalverbraucher ist nicht in der Lage, .apks manuell aus dem Internet zu laden. Vielleicht besteht hier die Möglichkeit, rechtlich zu erzwingen, dass Google weitere App Stores (z.B. F-Droid) zzgl. zum Play Store mit Stock Android anbieten muss - ähnlich dem Fall der freien Browserwahl bei Microsoft Windows - , damit dieses auf Google zugeschnitte Ökosystem aufgebrochen wird.
Im besten Fall würde es dem ein- oder anderem Unternehmen die Augen öffnen, dass Alternativen bestehen, und nicht alles über den Play Store abgewickelt werden muss. Ich würde dir dann zustimmen, dass die Play Integrity API ein optionaler Service in einem optionalen App store ist. Mometan ist halt alles aus einem (Google-)Guss, und vermutlich sehen auch die Unternehmen - neben den Usern - wenig Handlungsspielraum.
Rechtlich kann ich das nicht genauer bewerten.
Wobei? Der API-Diskussion wohl nicht, vielleicht aber einer breiteren Nutzer-Akzeptanz.
Weitere App-Stores (bzw. letzlich nur einen weiteren App-Store) kennen die OttoUser schon: Samsung Galaxy Store(, Sony Select (zu kleine Marke deshalb in Klammern), Huawei AppGallery (kein Android App-Store mehr, nachdem Huawei kein zertifiziertes Android mehr bekommen hatte, haben sie ja das eigene, sehr an Android angelehnte Betriebssystem „Harmony OS“ entwickelt; deshalb in Klammern)). Außerdem kennen viele OttoUser noch den Amazon App-Store, wissen aber nicht, dass „FireOS“ einfach nur ein unzertifiziertes Android ist.
1 „Gefällt mir“
Ich hab bisher nur eine App die nachweislich auf Strong Integrity setzt, nämlich das Spiel Ingress.
Bei den Banking Apps und den GesundheitsApps vermute ich eher Custom Checks auf Root, kann den verunstalteten Quellcode aber nicht lesen.
Schwierige Sache ohne dediziertes „sauberes“ Gerät da ThirdParty App weniger Funktionen haben als die Originale, sofern sie existieren.
Da ist das mit Alternativen Stores dann auch nicht zielführend.