Also scheint die App grundsätzlich weiterhin Verbindung zum Server aufzubauen.
Wenn es ja wirklich um Sicherheit ginge, dann....
Beiträge von AuroraBlue
-
-
VW selbst verwendet ein Android, dass seit einem halben Jahr keine Updates mehr erhält und liefert das evtl. sogar an Kunden aus.
Dann hoffen wir mal, dass die Serie nun schon 6.0.1 hat. Das Bild stammt von Youtube (RobinTV) von einem Vorserien ID.Polo.
-
van_de_Bergh Das ist die pure Verzweiflung, weil er es selbst nicht herausfinden kann und keinesfalls auf den Kosten sitzen bleiben will.
Also unser MJ 23 hat den Sensor angeschlossen und er funktioniert. Aber als eigener Ausstattungscode ist da nichts hinterlegt. Ist halt eigentlich selbstverständlich heutzutage.
-
Was für ein Gedöns hier abgeht! Könnt Ihr dafür einen eigenen Faden aufmachen? Und falls es was Neues für uns 99% durchschnittlich begabte Normales gibt, gerne hier posten.
Oh. Sorry.
Ja ich werde mich etwas mehr zurückhalten.
Ist aber halt auch ein wichtiges und emotionales Thema. Da hängt auch die viel beschworene, europäische Souveränität dran, wer die Technik kontrolliert und wie.
-
Und was hat das App-Thema jetzt mit dem Mobilfunk zu tun?
Auf den Mobilfunk Endgeräten laufen diese Apps? Sorry wenn das missverständlich war, dass ich von den Betriebssystemanbietern Apple und Google sprach.
U.A schließt man die Anfragen aus, die gar nicht von den eigenen Anwendungen kommen.
Das ist prinzipiell unmöglich. Man kann nicht sicherstellen, mit welcher Software man redet, weil man das andere System nicht remote kontrollieren kann. Alles lässt sich imitieren.
Das wird beim Aushebeln der Play Protect Zertifizierung ausgenutzt, weil diese remote erfolgt. Google fragt seine eigenen Services auf dem Gerät an, bekommt eine gefälschte Antwort und bestätigt zu unrecht den Status, weil keine vollständige Attestation durchgeführt wird.
Mit jedem Update der GMS muss man das erneuern, was es dann doch etwas unpraktisch macht.
Aber die Play Protect Zertifizierung ist somit broken by design. Schlangenöl.
Ja, es gibt Methoden, wie man mit vertretbarem Risiko das Vorhandensein der eigenen App prüfen kann. Das hat aber Google nicht erfunden und es gibt viele Lösungen dafür, die nicht über deren proprietäre Schnittstellen laufen müssen.
Google und Apple bieten Technologien an, um diese Schutzmaßnahmen umzusetzen.
Ja, aber die online Zertifizierungen gehören nicht dazu. Die sind technisch unzureichend und marktverzerrend.
Beim Jailbraking kenne ich mich aber nicht näher aus.
Geräte mit Fremdsoftware sind ausgeschlossen.
Das hat dann aber keine technische oder prinzipiellen Sicherheitsgründe, sondern ist politisch. Man will sie ausschließen (Google) oder man nimmt es aus Ignoranz in Kauf (Cupra/VW).
Und bei der Fremdsoftware werden keine zusätzlichen Ressourcen für alternative Sicherheitsmechanismen eingesetzt, da die von Google bereitgestellte Technik dort nicht funktioniert.
Hardware Attestation wird von Google als Teil von Android bereitgestellt und bedarf keiner zusätzlichen Ressourcen. Damit erfolgt auch dann direkt die Integritätsprüfung. Es funktioniert auch auf Fremdsystemen wegen des Google Rootzertifikat in jedem Smartphone und ist nahezu unknackbar. Ganz im Gegenteil zur Play Protect Zertifizierung, die knackbar ist und aus Gründen des Monopolerhalts datenschutzfreundliche Systeme ausschließt.
Ironischerweise basiert sie auf der Hardware Attestation, aber versagt in der Umsetzung.
GrapheneOS attestation compatibility guideGuide on using remote attestation in a way that's compatible with GrapheneOS.grapheneos.orgWie schon erwähnt nutzen auch viele Banken diesen Mechanismus, auch wegen den rechtlichen Risiken der Protect Zertifizierung.
Es verstößt nunmal gegen den Digital Markets Act, seine Marktbeherrschung zur Unterdrückung des freien Wettbewerbs einzusetzen oder solche Praktiken mit Zwängen gegenüber Kunden zu unterstützen.
use the standard Android hardware attestation API to verify the device, OS and app instead enforcing licensing Google Mobile Services · Issue #11 · eu-digital-identity-wallet/av-app-android-wallet-uiAndroid provides a standard hardware attestation API with support for arbitrary roots of trust and alternate operating systems. This provides a higher level of…github.comUnd ja, auch Apple ist da problematisch mit ihrem Accountzwang und dem fehlenden Sideloading. Aber da tut sich was aufgrund der EU Vorgaben mit alternativen Stores. Da es aber nicht zu deren Kerngeschäft gehört, Leute auszuspionieren und die Daten meistbietend zu verhökern, traue ich denen deutlich mehr als Google.
Also wäre das der Notbehelf, wenn das tausendjährige Duopol kommen sollte.
-
Nein, das reicht nicht aus.
Doch das reicht aus. Ansonsten gibt es zusätzlich zu Chain oft Trust und Signaturen noch Diffy Hellman und SSL.
Die ganze Welt der vernetzten Computer funktioniert so. Alle Clouds.
Nur im Mobilfunkbereich glauben 2 Monopolisten, dass das nicht gut genug ist - für ihr Monopol und ihr Geschäftsmodell.
Diese Lösung kommt sicher nicht aus dem Marketing.
Aus der IT Sicherheit schonmal nicht. Bleibt nur noch Googles koksende Marketingabteilung.
Hier geht es auch darum, Verantwortung weiterzugeben bzw. diese Verantwortung gar nicht erst anzunehmen.
Ah, ein wahrhaftiger Compliance-Manager, der lieber Sicherheit auf dem Papier anstrebt, als sich mit der Realität auseinander zu setzten.
Der Makel einer ganzen Industrie: Ja es ist unsicher und dysfunktional, aber schau mal, wir haben da dieses schicke Zertifikat mit einer extra Portion Schlangenöl.
Sorry für den Sarkasmus, aber Fefe ist noch in Reha.
Irgendwo ist halt mal Schluss.
Ja stimmt. Bei der Realitätsverweigerung und Buzzword Bingo auf unterster Manager Ebene machen Fachgespräche wirklich keinen Sinn.
Google Play Protect Zertifizierung verstößt gegen den Digital Markets Act, ist unsicher und nicht als Absicherung von Apps geeignet. Sehen sogar Banken so.
Du wirst vielleicht nie verstehen, dass Google hier das Problem ist und jeder der wie VW/Cupra aus purer Bequemlichkeit in deren Hintern steckt.
EOT.
-
Die Gegenseite, also der Server, muss die Anfrage auf "Echtheit" überprüfen.
Dazu reichen gültige Zugangsdaten. Außer der eigene Kunde ist der Feind und man will verhindern, dass er an die eigenen Daten und Funktionen kommt. Ups...
Außerdem gibt es Zero Trust und Secure Enclave Lösungen dafür. Auch Hardware Attestation mit Signaturprüfung existiert und funktioniert.
Sowohl Apple, wie auch Google bieten dafür entsprechende technische Lösungen.
Die aber unsicher sind und umgangen werden können. Also eine Scheinlösung aus der Marketingabteilung um Monopole zu zementieren.
-
wenn der Hersteller keine Software und Sicherheitsupdates mehr anbietet kauft [...] dann dürft ihr euch aber auch nicht beschweren wenn eine App eben nicht mehr funktioniert
Grundsätzlich bin ich ja da dabei, aber was Cupra macht ist, auch aktuelle, sichere Androids auszuschließen, nur weil da nicht alle Google Apps drauf sind und Google da nicht genug Daten abschnorcheln kann (Google Zertifizierung).
Da braucht es Augenmaß und auch eine pragmatische Regelung, wie man mit 40% der Kunden umgeht, die noch ein älteres Android haben und von ihrem Handyanbieter ver.... lassen wurden.
Es ist halt ein Unterschied, ob man etwas nicht unterstützt, oder ob man etwas aktiv unterbindet.
Eine Haftungsfreistellung per "Ich kenne die Risiken" wäre da vielleicht echt eine Lösung.
Und wenn dann nur der digitale Schlüssel nur auf aktuellen zertifizierten Geräten funktioniert, der unkritische Teil wie Ladestand/-Steuerung und Klimatisierung dafür auch auf anderen Androids und veralteten Versionen, dann gäbe es doch kaum Protest.
-
Selbst mit Android 16 mit den Patches vom Juni und gelockten Bootloader kann ich die App nicht starten. Um Sicherheit geht es hier also nicht wirklich.
Außerdem: Auch ein aktuelles Android ist nicht sicher. Alleine in den letzten 2 Monaten wurden ein dutzend kritische CVEs gefixt, darunter sogar ein geheimer, schwerwiegender.
Aber Google-Geräte ohne diese Fixes dürfen trotzdem die App ausführen. Sogar welche, die seit Jahren keine Updates vom OEM mehr erhalten haben.
lunati_gecko Wer übernimmt da die Verantwortung, wenn etwas passiert?
Sicherheit ist ein Prozess und kein Zustand. Dass Google Android 12 abgekündigt hat, obwohl noch ca. 10% der Geräte das nutzen und die OEMs trotz großspuriger Google-Zertifizierung nicht zu updates verpflichtet sind, ist das eigentliche Problem. Wir reden hier von teilweise erst 2-3 Jahren alten Handys, die rausfallen.
Und sich dafür ein aktuelles LineageOS zu holen, mit aktuellen Patches, macht es angeblich unsicherer. Da wird es dann abstrus.
-
Laut Teileliste wird im MJ 26 ausschließlich der Waschwasserbehälter 1EA955453H (Ersatzteil ab diesem Jahr: Revision L) verbaut, welcher einen eingebauten Wasserstandsgeber (G33) hat.
Und laut ID.3 Reparturguide ist da auch immer ein Stecker dran.
Die Hardware wäre also da. Ich kann nur ohne Erwin nicht herausfinden, ob beim Born da wirklich ein Kabel vom G33 zum Kombiinstrument bzw. ICAS geht.
