image

GrapheneOS hekelt berichtgeving over Showcase-app op Pixel-telefoons

vrijdag 16 augustus 2024, 09:36 door Redactie, 23 reacties

De makers van GrapheneOS hekelen de berichtgeving van Wired over de standaard geïnstalleerde Showcase-app op veel Pixel-telefoons, waardoor een man-in-the-middle (mitm)-aanval mogelijk is en aanvallers in het ergste geval telefoons kunnen overnemen. De app staat standaard uitgeschakeld en om die in te schakelen moet een aanvaller over fysieke toegang beschikken, zo liet securitybedrijf iVerify gisteren weten.

De Showcase-app is door een externe partij voor telecomprovider Verizon ontwikkeld en wordt sinds 2017 standaard op Pixel-telefoons geïnstalleerd. Via de app is het mogelijk om Pixel-telefoons in een demonstratiemodus te zetten. De Showcase-app blijkt via het onbeveiligde http een configuratiebestand te downloaden. Een mitm-aanvaller kan dit bestand manipuleren en zo code op systeemniveau uitvoeren om de telefoon over te nemen.

Volgens GrapheneOS wordt er ten onrechte door iVerify gesuggereerd dat het hier om een ernstig beveiligingsprobleem gaat. Het securitybedrijf wil op deze manier de eigen beveiligingsoplossingen pushen, aldus GrapheneOS op X en Mastodon. Dit is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons dat zich vooral op security en privacy richt.

De Showcase-app is niet aanwezig op GrapheneOS. Ook andere telecomprovider-apps die standaard op Pixel-telefoons aanwezig zijn ontbreken op het besturingssysteem. GrapheneOS waarschuwde jaren geleden al voor de aanwezigheid van dergelijke apps op Pixel-telefoons. De ontwikkelaars hekelen de manier waarop Wired over de Showcase-app bericht en vinden dat het medium het artikel moet intrekken. "Er zijn echte remote code execution kwetsbaarheden die in Android en iOS worden verholpen, maar ze pushen dit."

De makers van GrapheneOS stellen ook dat de 'misinformatie' voor schade kan zorgen, omdat het mensen zou aanmoedigen minder veilige Androidtelefoons te gebruiken. "Niet-Pixels missen basale beveiligingseigenschappen. Deze apps zijn op geen enkele manier Pixel-specifiek." Daarbij wijst GrapheneOS erop dat het zelf een veiligere oplossing biedt. Google heeft laten weten de Showcase-app uit voorzorg via een update van Pixel-telefoons te zullen verwijderen.

Image

Reacties (23)
16-08-2024, 09:51 door Anoniem
Kern van het probleem is natuurlijk dat er meuk aanwezig is waar niemand om gevraagd heeft, lek of niet.
Maar ja, het wordt geaccepteerd. Mensen zijn en blijven dom.
16-08-2024, 12:15 door Anoniem
Door Anoniem: Kern van het probleem is natuurlijk dat er meuk aanwezig is waar niemand om gevraagd heeft, lek of niet.
Maar ja, het wordt geaccepteerd. Mensen zijn en blijven dom.
Ja heel dom van mij dat ik een telefoon gekocht heb zonder eerst het hele OS na te kijken op dingen die er niet op zouden moeten staan. En ook nadat ik een telefoon gekocht heb, was ik te lui om een jarenlange studie te ondergaan om voldoende verstand van zaken te hebben om dat te kunnen doen.
16-08-2024, 13:54 door Anoniem
Heel goed dat GrapheneOS dit heeft bijgelicht!
16-08-2024, 13:55 door Anoniem
nog een reden waarom bloatware (in dit geval van provider Verizon, maar kan net zo goed een van de 120 andere in europa opererende telco's zijn) niet erg handig zijn op een smart device.
16-08-2024, 14:57 door Anoniem
Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
16-08-2024, 15:44 door Anoniem
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Dat valt mij ook vaak op. Dat ze zwaar overdreven reageren, om daarna nog even te benadrukken hoe geweldig hun OS wel niet is.
16-08-2024, 16:08 door Anoniem
Iets met de pot die de ketel zwart noemt.
Suggestief een half gezegde door de lezer laten aannvullen, gaat inderdaad het best als je context verkracht.
Toch creatief, als het onderwerp sowieso al missende context was.
16-08-2024, 17:52 door Anoniem
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Dat valt mij ook vaak op. Dat ze zwaar overdreven reageren, om daarna nog even te benadrukken hoe geweldig hun OS wel niet is.
Nope.
Ze hadden het nieuws uit Wired hadden kunnen gebruiken om GrapheneOS te promoten (aangezien de exploit hier niet inzat) maar ze hebben het juist blootgelegd.
Ze berichtten alleen op veiligheid en ze vertelden gewoon de feiten, sinds wanneer is daar iets mis mee?
Juist bedrijven zoals Apple verkopen voortdurend "privacy" om hun eigen producten te verkopen, maar daar hoor je niemand over juist terwijl het vaak de halve waarheid is.
Daarnaast kent uw conclusie geen bron van bewijs.
16-08-2024, 18:17 door Anoniem
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Die donaties gaan naar het project en haar ontwikkelaars, die steken er vele werkuren in.
Als het om geld gaat kunt u beter kijken naar de praktijken Microsoft, Apple, Google, etc.
Die jatten allemaal metadata van haar gebruikers alvorens deze te verkopen, waarschijnlijk ook de uwe.
GrapheneOS probeert die ellende te voorkomen met het kleine beetje geld dat ze krijgen via vrijwillige donaties.
Zij zijn dat kleine beetje bescherming waarvan maar heel weinig over is in de digitale wereld van vandaag, zij en heel veel andere non-profit projecten en vrije software zijn de laatste grens tussen u, als volk en de inhalige techindustrie van vandaag.
Het is net zoiets als Greenpeace beschuldigen.
Uw beschuldigingen jegens GrapheneOS slaan als een tang op een varken.
Vraag me af of mensen (in het algemeen) die met dit soort commentaren op komen dagen niet voor de AIVD werken ofzo, want het is totale onzin, wie heeft daar nou belang bij behalve hen?
16-08-2024, 18:37 door Anoniem
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Lol, ze kunnen die donaties wel gebruiken, wat is daar mis mee? Ze zijn er voor uw bescherming.
Of denkt u dat Apple of Microsoft dat doet, juist deze partijen zijn er alleen voor de centen, als ze geen winst zouden maken heeft u plots geen Windows meer, want dan zijn ze niet profitabel. (Het zijn for-profit bedrijven)
GrapheneOS (non-profit) gaat gewoon door, ook zonder centen, maar donaties zijn altijd welkom om het product te verbeteren en de werkuren te betalen, en dat is te zien, zoals die duress functie van recentelijk, daarnaast hebben ze met grote regelmaat updates.
Ze hebben echt geen groot salaris ofzo, daarvoor moet u bij big-tech wezen.
Zelfs Wikipedia en archive.org komen regelmatig geld tekort, en die ontvangen veel meer en grotere donaties.
16-08-2024, 18:48 door Anoniem
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Neejoh! Het is niet zo dat GrapheneOS te koop loopt met verkooppraatjes voor donaties, de meeste mensen zijn zich er niet van bewust dat dit uberhaupt al mogelijk is.
Het is de één na laatste tab op hun website.
Ikzelf plaats hier met enige regelmaat op security.nl een bericht met een link naar hun donatie website, mischien dat u deze voorbij heeft zien komen?
Ik heb zelf €150 geschonken, iets dat u wel zal ergeren vrees ik.
Voor mensen die het willen:
https://grapheneos.org/donate
Cheers!
16-08-2024, 18:57 door Anoniem
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Nog even verder op mijn vorige bericht;
Het is niet zo dat GrapheneOS dit security.nl nieuwsbericht heeft geplaats, sterker nog, het was een lokaal forum en hun Mastodon site als commentaar.
Ze hebben het niet specifiek naar de krant geschreven ofzo.
Als ze geld willen hebben gaan ze wel bij Apple werken ofzo, talent zat.l, en dan krijgen ze een mooi salaris, maar nee, ze kiezen ervoor om voor een non-profit te werken waarvan de meeste mensen zelfs vrijwilliger zijn.
16-08-2024, 20:25 door Anoniem
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Grappig om te zien hoeveel mensen gelijk kritiek hebben op deze reactie. Ik denk dat die houding een goede reflectie is van de GrapheneOS communitie. Ook een van de redenen dat op de privacy subreddit dat onderwerp niet meer bespreekbaar is; de GOS communitie dult geen kritiek en stelt zicht vaak 'toxisch' op. Dat gezegd hebbende ben ik een dagelijkse GOS gebruiker. Mvg.
16-08-2024, 20:29 door Anoniem
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Dat valt mij ook vaak op. Dat ze zwaar overdreven reageren, om daarna nog even te benadrukken hoe geweldig hun OS wel niet is.
Klopt maar ik neem het ze niet kwalijk. Ze kunnen de donaties goed gebruiken en met dergelijke praat zichzelf als beter product neerzetten en daarmee groeien.
16-08-2024, 20:50 door h3artbl33d
Door Anoniem:
Dat valt mij ook vaak op. Dat ze zwaar overdreven reageren, om daarna nog even te benadrukken hoe geweldig hun OS wel niet is.
Ik hoor graag waar ze letterlijk zeggen dat GrapheneOS geweldig is. Want dat doen ze niet. Ze geven gewoon feitelijke informatie.

Het GrapheneOS is een open source Android OS - een fork van AOSP met een extreme focus op security en privacy. Het is geen commercieel bedrijf - maar een stichting. Donaties worden gebruikt om extra ontwikkelaars aan te nemen. Er werken momenteel een handvol fulltime ontwikkelaars aan GrapheneOS.

Ze werken graag samen met partijen die security en privacy verder helpen - op de juiste manier. Niet met halfbakken implementaties of "snake-oil" zoals wel vaak genoeg gebeurd vanuit commerciële partijen. En dat is ook gelijk het probleem: er is teveel misinformatie. Het project geeft dat aan, legt uit hoe het zit en hoe zij het hebben opgelost. Andere partijen kunnen daarvan profiteren.

Als ze werkelijk kwaad hadden gewild, was het hele project niet open source, zouden ze wél letterlijk zeggen hoe 'awesome' het project is terwijl ze geheim houden hoe ze issues oplossen.

Maar nee. Dankzij GrapheneOS is Android zélf een stuk veiliger en daar profiteert iedereen van - dankzij het melden van kwetsbaarheden en deze oplossen is het gehele Android ecosysteem geholpen.
16-08-2024, 20:51 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Dat valt mij ook vaak op. Dat ze zwaar overdreven reageren, om daarna nog even te benadrukken hoe geweldig hun OS wel niet is.
Nope.
Ze hadden het nieuws uit Wired hadden kunnen gebruiken om GrapheneOS te promoten (aangezien de exploit hier niet inzat) maar ze hebben het juist blootgelegd.
Ze berichtten alleen op veiligheid en ze vertelden gewoon de feiten, sinds wanneer is daar iets mis mee?
Juist bedrijven zoals Apple verkopen voortdurend "privacy" om hun eigen producten te verkopen, maar daar hoor je niemand over juist terwijl het vaak de halve waarheid is.
Daarnaast kent uw conclusie geen bron van bewijs.
"Daarnaast kent uw conclusie geen bron van bewijs." Tsja als je daarmee je bericht afsluit kan ik net zo goed uw bericht afwijzen gezien je geen 'bewijs' levert.

Uit hun Mastadon draadje:
"iVerify are scammers " Noemt de security onderzoekers scammers.
" anyone paying them money should rapidly stop doing it" Roept op om donaties te stoppen (moet je eens over GrapheneOS roepen.)
"remove their malware " Noemt het malware.
"lying about their capabilities and discoveries." noemt ze leugenaars. En dat allemaal in de eerste 2 zinnen.
"which we don't include in GrapheneOS." Reclame; GOS heeft deze app niet.
"We were aware of it already since we had to go through them and figure out why they exist. " Wij wisten dit allang!
"We could embrace this fearmongering and leverage it for marketing, but we aren't dishonest." Dat doen ze dus precies wel.
"GrapheneOS has gone through each of the carrier apps included on Pixel generation" Wederom reclame.
"Here's a thread from 2017 posted from our project's previous Twitter account which was stolen in 2018:" Wij schreven hier al over in 2017, oh ja Copperhead is stom en heeft ons account gejat voor de 1000ste keer.
"We didn't claim credit for discovering this when we became aware of it in 2015." In 2015 wisten we het al. Goed he?
En zo gaat het keer op keer. Wat kritiek op GrapheneOS mag toch wel hier?
16-08-2024, 21:34 door Anoniem
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Grappig om te zien hoeveel mensen gelijk kritiek hebben op deze reactie. Ik denk dat die houding een goede reflectie is van de GrapheneOS communitie. Ook een van de redenen dat op de privacy subreddit dat onderwerp niet meer bespreekbaar is; de GOS communitie dult geen kritiek en stelt zicht vaak 'toxisch' op. Dat gezegd hebbende ben ik een dagelijkse GOS gebruiker. Mvg.
U heeft het wel zelf uitgelokt, verwachtte u dan iets anders?
U verteld onzin, men corrigeert dat met waarheid, logisch.
16-08-2024, 22:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Grappig om te zien hoeveel mensen gelijk kritiek hebben op deze reactie. Ik denk dat die houding een goede reflectie is van de GrapheneOS communitie. Ook een van de redenen dat op de privacy subreddit dat onderwerp niet meer bespreekbaar is; de GOS communitie dult geen kritiek en stelt zicht vaak 'toxisch' op. Dat gezegd hebbende ben ik een dagelijkse GOS gebruiker. Mvg.
U heeft het wel zelf uitgelokt, verwachtte u dan iets anders?
U verteld onzin, men corrigeert dat met waarheid, logisch.
Mooie aanname. Ik was niet de poster van het bericht.
16-08-2024, 22:05 door Anoniem
Jongens, jongens, anoniem 14:57 dit is duidelijk een trol, niet op reageren allemaal, laat je niet boos maken, het is een grapjas die niks beters te doen heeft.
Gewoon naar het volgende nieuws en niet terugkijken, het is de moeite niet waard, de discussie is al te ver gegaan.
16-08-2024, 22:10 door Anoniem
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.
Die donaties gaan naar het project en haar ontwikkelaars, die steken er vele werkuren in.
Als het om geld gaat kunt u beter kijken naar de praktijken Microsoft, Apple, Google, etc.
Die jatten allemaal metadata van haar gebruikers alvorens deze te verkopen, waarschijnlijk ook de uwe.
GrapheneOS probeert die ellende te voorkomen met het kleine beetje geld dat ze krijgen via vrijwillige donaties.
Zij zijn dat kleine beetje bescherming waarvan maar heel weinig over is in de digitale wereld van vandaag, zij en heel veel andere non-profit projecten en vrije software zijn de laatste grens tussen u, als volk en de inhalige techindustrie van vandaag.
Het is net zoiets als Greenpeace beschuldigen.
Uw beschuldigingen jegens GrapheneOS slaan als een tang op een varken.
Vraag me af of mensen (in het algemeen) die met dit soort commentaren op komen dagen niet voor de AIVD werken ofzo, want het is totale onzin, wie heeft daar nou belang bij behalve hen?
Dat recht hebben we, zoiets heet vrijheid van meningsuiting.
En nee, we zijn niet de AIVD.
16-08-2024, 22:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Grappig om te zien hoeveel mensen gelijk kritiek hebben op deze reactie. Ik denk dat die houding een goede reflectie is van de GrapheneOS communitie. Ook een van de redenen dat op de privacy subreddit dat onderwerp niet meer bespreekbaar is; de GOS communitie dult geen kritiek en stelt zicht vaak 'toxisch' op. Dat gezegd hebbende ben ik een dagelijkse GOS gebruiker. Mvg.
U heeft het wel zelf uitgelokt, verwachtte u dan iets anders?
U verteld onzin, men corrigeert dat met waarheid, logisch.
En daarnaast kwamen al die berichten van mij, dus het is niet de gehele "GrapheneOS community" die giftig werdt van uw commentaar, alleen ik.
En u zei het zelf al; de berichten volgden elkaar snel op, dat kan maar één persoon geweest zijn.
Blijkbaar wist u dat dus al.
U doet uw ding, ik de mijne, er is inderdaad vrijheid van meningsuiting en we zullen geen overeenkomst bereiken.
U wint, gegroet.
17-08-2024, 00:41 door Anoniem
Door Anoniem:
Door Anoniem: Maar GrapheneOS pusht hier nu een beetje hunzelf als de oplossing. Ze ontvangen immers donaties dus hebben er ergens ook baat bij. Iets met de pot die de ketel zwart noemt.

Grappig om te zien hoeveel mensen gelijk kritiek hebben op deze reactie. Ik denk dat die houding een goede reflectie is van de GrapheneOS communitie. Ook een van de redenen dat op de privacy subreddit dat onderwerp niet meer bespreekbaar is; de GOS communitie dult geen kritiek en stelt zicht vaak 'toxisch' op. Dat gezegd hebbende ben ik een dagelijkse GOS gebruiker. Mvg.

"Een intrigant is iemand die gebruikmaakt van intriges om op slinkse wijze zijn doel te bereiken. Dit betekent dat hij doelbewust verdeeldheid zaait of conflicten en ruzies veroorzaakt. De motivatie en methoden van de intrigant kunnen uiteenlopen, maar in vrijwel alle gevallen zal de intrigant ervoor zorgen zelf niet rechtstreeks bij een conflict betrokken te raken.

De motivatie van een intrigant kan politiek gericht zijn, of als middel om eigen ambities te verwezenlijken. De Romeinen kenden het verschijnsel al en spraken over divide et impera (verdeel en heers). Door een machtsblok te ondermijnen door onderlinge conflicten, kan de intrigant zijn machtspositie (of die van zijn opdrachtgever) gaandeweg verbeteren. Het kan voorkomen dat een groepering of zelfs een staat de rol van politiek intrigant op zich neemt en bepaalde bevolkingsgroepen of verschillende staten tegen elkaar uitspeelt.

Een intrigant kan in plaats van ambitie echter ook door negatieve emoties worden gemotiveerd, bijvoorbeeld door een minderwaardigheidscomplex. Iemand die zich niet op zijn gemak voelt in zijn sociale omgeving kan als het ware wraak nemen door de tevredenheid van anderen te verstoren. Een bijkomend effect is dat de intrigant, die tenslotte geen standpunt inneemt in de door hemzelf veroorzaakte conflicten, van anderen aandacht krijgt en in vertrouwen wordt genomen. Hieraan kan de intrigant een gevoel van acceptatie ontlenen.

Als de sociale intrigant wordt 'ontmaskerd', neemt hij over het algemeen geen verantwoordelijkheid voor zijn daden, maar vertoont onderdanig gedrag en probeert afleidingsmanoeuvres te gebruiken.

Op het internet, met name in nieuwsgroepen en webfora, worden intriganten ook wel trolls genoemd.

Een agent provocateur is een professionele intrigant, die criminele organisaties infiltreert in dienst van (een van) de opsporingsdiensten."

Bron: Wikipedia.
17-08-2024, 04:27 door Anoniem
Mijn respect voor de GrapheneOS gebruikers die chill zijn en op normale wijze dialoog aan gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.