image

GrapheneOS haalt uit naar Google en Authy wegens API-blokkade

woensdag 31 juli 2024, 10:28 door Redactie, 17 reacties

De makers van GrapheneOS hebben op X uitgehaald naar Google en 2FA-applicatie Authy omdat ze het platform blokkeren. GrapheneOS is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. Google laat GrapheneOS geen gebruikmaken van de Play Integrity API, waarmee app-ontwikkelaars kunnen controleren dat hun app op een 'genuine' Androidtoestel draait. Zo wordt gecontroleerd of het toestel niet is geroot.

"We willen gebruikers van alternatieve besturingssystemen niet straffen, maar er is op dit moment geen andere optie. Play Integrity heeft geen manier om te raden of een alternatief besturingssysteem het Android-beveiligingsmodel ondermijnt. Als het geen officieel besturingssysteem is, moeten we ervan uitgaan dat het fout is", aldus Googles Shawn Wilden op X.

2FA-applicatie Authy maakt gebruik van Play Integrity. Doordat deze interface niet beschikbaar is voor GrapheneOS kunnen gebruikers van het platform geen gebruik van Authy maken. "Authy's antwoord over hun gebruik van de Play Integrity API laat zien dat hun dienst zeer onveilig is en afhankelijk is van client-side validatie. Play Integrity is zeer onveilig en eenvoudig te omzeilen, dus het is spijtig dat Authy stelt dat hun security ervan afhankelijk is", aldus de makers van GrapheneOS op X. Ze stellen verder dat het eenvoudig is voor Authy om de 2FA-app voor GrapheneOS te laten werken.

Daarnaast hekelen de makers ook Google. "We gaan Google geen veto geven over wat we mogen doen in GrapheneOS", zo merken ze op. "Googles gedrag op de mobiele markt is zeer anti-competitief." Volgens de makers verbiedt Google mensen om een groeiend aantal apps en diensten op een veiliger besturingssysteem te gebruiken, waarbij ze het over GrapheneOS hebben. De makers stellen dat Google het gebruik van de Play Integrity API door GrapheneOS kan toestaan of ze zullen juridische stappen nemen. Inmiddels is GrapheneOS naar eigen zeggen met toezichthouders in gesprek.

Reacties (17)
31-07-2024, 12:38 door Anoniem
Iemand die echt voor privacy opkomt. Eerst al gegevens van Celebrite lekken, dan blijkt GrapheneOS letterlijk het enige systeem dat niet te kraken is, en nu dus in gesprek met toezichthouders.

Als je op Tweakers.net klaagt dat banken hun eigen NFC implementaties voor mobiel betalen massaal laten vallen in ruil voor Google Pay, dan wordt je schaapachtig aangekeken en moet je maar een pinpas gebruiken.

Ik vind het prettig dat nu een partij met enige relevantie begint te steigeren.
31-07-2024, 12:42 door Anoniem
Ik gebruik Authy al een tijdje op GrapheneOS, ik moet wel een paar meldingen wegklikken dat het niet ondersteund wordt etc. maar tot nu toe kan ik het nog gewoon gebruiken zonder google framework.
Ik ben wel benieuwd welke alternatieven er zijn.
31-07-2024, 12:42 door Anoniem
Nou werkt Authy nog wel op mijn pixel met Graphene (codes worden tenminste nog gegenereerd ), maar ik ga nu maar eens kijken of het te exporteren valt. Gelukkig zijn het maar een paar codes voor werk.
Oorspronkelijk deed ik alles in Bitwarden, maar omdat alles op 1 manager zetten het punt van 2FA een beetje misloopt én omdat ik werk en privé een beetje wou scheiden, deed ik het met Authy.
Nu toch maar weer terug naar Bitwarden, de vault zit immers ook achter een hardware-key dus het zal niet veel kwaad kunnen.
31-07-2024, 13:04 door Anoniem
Overgaan op Aptoide, kun je ook nog Blokada installeren,
dat niet via de Google Webshop is te krijgen.

Helemaal gaan wegsturen van propriety-owned-FREEMIUM-slavernij.
Maar het zal voor de onnozele gebruiker niet meevallen om die stap te maken.

Dag Big Tech, enough is enough. free as free in free beer.

#laufer
31-07-2024, 14:44 door Anoniem
Er zit maar 1 ding op: een vrije appstore voor ieder merk mobiel.
Waarmee je apps kan downloaden en/of kopen voor iOS, Android, Graphene/OS en elk ander OS.
En wanneer de markt dit niet zelf kan opzetten moet de overheid (EU) een handje helpen met een wet of wat.
31-07-2024, 14:46 door Valheru
Door Anoniem:
Als je op Tweakers.net klaagt dat banken hun eigen NFC implementaties voor mobiel betalen massaal laten vallen in ruil voor Google Pay, dan wordt je schaapachtig aangekeken en moet je maar een pinpas gebruiken.

Ik vind het prettig dat nu een partij met enige relevantie begint te steigeren.

Precies, ik baalde ook dat ING mij opeens naar Google Wallet toe dwong met mijn nieuwe telefoon, op telefoon kan ik tenminste nog controle uitoefenen over wanneer NFC aanstaat en wanneer niet, op mijn bankpas kan ik dat totaal niet en sinds vorig jaar bied ING ook niet meer de optie om het nog uit te zetten op je bankpas.
Nu moet ik dus mijn pas al in een beschermhoesje bewaren om die veilig te houden en word mijn betalingsverkeer met Google gedeeld als ik via mijn telefoon wil blijven betalen...
31-07-2024, 15:33 door Anoniem
Door Anoniem: Iemand die echt voor privacy opkomt. Eerst al gegevens van Celebrite lekken, dan blijkt GrapheneOS letterlijk het enige systeem dat niet te kraken is, en nu dus in gesprek met toezichthouders.

Als je op Tweakers.net klaagt dat banken hun eigen NFC implementaties voor mobiel betalen massaal laten vallen in ruil voor Google Pay, dan wordt je schaapachtig aangekeken en moet je maar een pinpas gebruiken.

Ik vind het prettig dat nu een partij met enige relevantie begint te steigeren.

Helemaal eens. En ook Apple heeft van die vreemde randvoorwaarden om hun eigen diensten te bevorderen. Als ik op IOS bijvoorbeeld mijn bank app wil gebruiken om mee te betalen moet ik mijn toestel eerst verplicht aan iCloud koppelen. ik wil graag met de NFC in mijn toestel betalen, maar wil er net als jij niet meer data voor met een extra partij delen... Dat de bank al mijn transacties heeft en bewaart vind ik wel genoeg.
31-07-2024, 16:58 door Anoniem
Als men zelf, of een organisatie GrapheneOS wil ondersteunen kan dat oa. met een simpele bankoverschrijving (SEPA/EU)
https://grapheneos.org/donate
Het gaat hier om vrijwillige donaties aangezien ze een non-profit zijn.
31-07-2024, 19:06 door Anoniem

We willen gebruikers van alternatieve besturingssystemen niet straffen, maar er is op dit moment geen andere optie. Play Integrity heeft geen manier om te raden of een alternatief besturingssysteem het Android-beveiligingsmodel ondermijnt. Als het geen officieel besturingssysteem is, moeten we ervan uitgaan dat het fout is", aldus Googles Shawn Wilden op X.

Definieer officeel besturingssysteem meneer Wilden.

Gebruik zelf geen Authy en geen GrapheneOS, maar vind dit wel een vreemde ontwikkeling. Mijn telefoon, mijn beslissing welk OS erop draait en mijn beslissing welke apps.

Free als in free as a bird.
31-07-2024, 21:48 door Anoniem
Merk het op mijn Huawei smartphone dat heel veel apps niet werken als er geen Google aanwezig is. Nu MicroG erop gezet en nu werken de apps wel. Google heeft teveel macht. Tijd voor een onafhankelijke store.
01-08-2024, 00:56 door Anoniem
Door Anoniem: Merk het op mijn Huawei smartphone dat heel veel apps niet werken als er geen Google aanwezig is. Nu MicroG erop gezet en nu werken de apps wel. Google heeft teveel macht. Tijd voor een onafhankelijke store.
De F-Droid repository is een goed begin, en via hun app kunt u veel andere app repositories bekijken, u kunt zelfs F-Droid buiten hun eigen app sluiten als men dat liever heeft, al is het een goede repo.
IzzyOnDroid en The Guardian Project zijn een paar voorbeelden van beschikbare repo's, evenals FUTO en meer.
Deze hebben geen API, dus geen ellende met vendor lock-in e.d.
01-08-2024, 08:47 door Bitje-scheef
Nu MicroG erop gezet en nu werken de apps wel. Google heeft teveel macht. Tijd voor een onafhankelijke store.

Eens. Echter een onafhankelijke store brengt ook weer bepaalde zaken met zich mee.

- Wie controleert de aangeboden apps op security.
- Wie is verantwoordelijk voor het functioneren
- etc.
01-08-2024, 09:50 door majortom - Bijgewerkt: 01-08-2024, 09:50
"We willen gebruikers van alternatieve besturingssystemen niet straffen, maar er is op dit moment geen andere optie. Play Integrity heeft geen manier om te raden of een alternatief besturingssysteem het Android-beveiligingsmodel ondermijnt. Als het geen officieel besturingssysteem is, moeten we ervan uitgaan dat het fout is", aldus Googles Shawn Wilden op X.
Dus het beveiligingsmodel is afhankelijk van het OS van de client? Volgens mij geldt nog steeds het principe: "never trust the client", ook niet met deze "beveiliging". Services die dit model nodig hebben voor hun beveiliging hebben gewoon hun zaakjes niet op orde en zou je niet moeten willen gebruiken. Het is wachten tot er een key uitlekt waardoor andere besturingssystemen zich kunnen voordoen als Google's Android oid.

Overigens is het natuurlijk precies de bedoeling van Google om alternatieve OS-en uit te bannen in tegenstelling tot wat deze clown beweert.
01-08-2024, 10:18 door Anoniem
Door Bitje-scheef:
Nu MicroG erop gezet en nu werken de apps wel. Google heeft teveel macht. Tijd voor een onafhankelijke store.

Eens. Echter een onafhankelijke store brengt ook weer bepaalde zaken met zich mee.

- Wie controleert de aangeboden apps op security.
- Wie is verantwoordelijk voor het functioneren
- etc.

https://f-droid.org/en/docs/Security_Model/
01-08-2024, 10:39 door Anoniem
Door Valheru:
Door Anoniem:
Als je op Tweakers.net klaagt dat banken hun eigen NFC implementaties voor mobiel betalen massaal laten vallen in ruil voor Google Pay, dan wordt je schaapachtig aangekeken en moet je maar een pinpas gebruiken.

Ik vind het prettig dat nu een partij met enige relevantie begint te steigeren.

Precies, ik baalde ook dat ING mij opeens naar Google Wallet toe dwong met mijn nieuwe telefoon, op telefoon kan ik tenminste nog controle uitoefenen over wanneer NFC aanstaat en wanneer niet, op mijn bankpas kan ik dat totaal niet en sinds vorig jaar bied ING ook niet meer de optie om het nog uit te zetten op je bankpas.
Nu moet ik dus mijn pas al in een beschermhoesje bewaren om die veilig te houden en word mijn betalingsverkeer met Google gedeeld als ik via mijn telefoon wil blijven betalen...

Je kan hem ook gewoon samen met een paar andere pasjes meenemen, dan werkt het ook niet.
01-08-2024, 14:06 door Anoniem
Zo wordt gecontroleerd of het toestel niet is geroot.
Alsof rooten iets slecht is? Zoals bloatware verwijderen, je SoC van power limits afhalen voor betere prestaties, of via apps als Lucky Patcher allerlei advertentie daemons uitschakelen. Ze zijn weer eens lekker schijnheilig bij Google, want oh oh oh je zou maar eens iets doen op je eigen toestel. Als men een product koopt is het van hun en niet nog steeds van de fabrikant. Meteen maar dat hele Play framework eruit gooien lijkt me de beste optie. /rant
02-08-2024, 18:21 door Anoniem
Door Anoniem:
Zo wordt gecontroleerd of het toestel niet is geroot.
Alsof rooten iets slecht is? Zoals bloatware verwijderen, je SoC van power limits afhalen voor betere prestaties, of via apps als Lucky Patcher allerlei advertentie daemons uitschakelen. Ze zijn weer eens lekker schijnheilig bij Google, want oh oh oh je zou maar eens iets doen op je eigen toestel. Als men een product koopt is het van hun en niet nog steeds van de fabrikant. Meteen maar dat hele Play framework eruit gooien lijkt me de beste optie. /rant
Dus Graphese OS for the world...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.