Beiträge von AuroraBlue

Zitat von Testbild

Genau, für Custom Roms braucht es gerootete Geräte.

Nein, das hat nichts damit zu tun. Man muss zum installieren den Bootloader entsperren, aber das ist etwas ganz anderes. Und bei sicheren, modernen Androids kann man den auch wieder sperren und hat die komplette kryptographische Absicherung. Natürlich ohne Root.

Apps, die auf Sicherheit Wert legen, prüfen dies per Hardware-Attestation.

Zitat von Testbild

Auch wenn Custom ROMs wie LineageOS und dergleichen eigentlich sicherer sind als veraltete Original-Hersteller ROMs, sind sie halt einfach nicht offiziell vom Gerätehersteller supported und werden deshalb von einigen App-Entwicklern verschmäht.

App Entwickler, die dies aus Bequemlichkeit tun und somit nur die Google Zertifizierung prüfen (Play Protect Certification), prüfen nicht auf Sicherheit (das System kann jahrelang ohne Updates durch den OEM sein), sondern nur darauf, dass Google über den Account die volle Kontrolle hat und der Datenabfluß maximiert ist. Google schaltet nur dann ihre kostenintensiven Dienste wie GPay frei.

Dass durch die Zweckentfremdung dieses Flags durch irgendwelche Apps Alternativanbieter mit teilweise deutlich sichereren Androids außen vor bleiben, verstößt gegen den Digital Markets Act und ist auch Gegenstand von Kartellverfahren.

Insofern macht Cupra (und VW) da nicht alles richtig, denn die neue App läuft unnötigerweise nur auf zertifizierten Google Phones mit aktivem Google Account. Die stecken also ganz tief im US-Hintern.

Selbst die meisten Banken haben dazu gelernt und nutzen statt Play Protect-Zertifizierung die Hardware Attestation mit Signaturprüfung. Das funktioniert teilweise sogar ganz ohne Google (GMS/GSF).

EschBorn

Und kosten tut das auch nicht mehr.

Es gibt sowohl für Hardware Attestation als auch für Play Protect Beispielcode. Man muss sich nur für die helle Seite der Macht entscheiden.

dedario Gute Frage. Trotz an sich gleicher SW muss Cupra das Feature nicht zwingend auch im Born oder Raval freischalten. Kostet schließlich Geld für die Mobilfunkdaten und für Google.

Und gesehen habe ich die Satellitentexturen tatsächlich auch noch nie in einem SW6 Cupra. Was leider wahrscheinlich macht, dass es nicht dabei ist, weil sie es ja sonst bestimmt aktiviert hätten.

Man muss wohl warten bis jemand das ausprobieren kann (z.B. im Vorführer). Oder kann der Cupra Support was belastbares dazu sagen?

Zitat von Lupus96

Das neue System sollte besser laufen. Ist ja jetzt Google.

Kein Google und kein Datenabfluss. Nur die Oberfläche ist jetzt ein Android Derivat.

Die Navigation und die Karte sind weiterhin von VW. Es gibt aber ein Satellitenbild-Overlay, welches von Google Maps nachgeladen wird.

Und Android-Apps, welche kein Play Integrity benötigen (also z.B. nicht die Volkswagen APP) und mit Beschränkungen während der Fahrt umgehen können, können jetzt über den VW-eigenen Store installiert werden.

Wahrscheinlich haben sie sich daran aufgehängt, dass die Aufzeichnung zu lang war und damit nicht mehr anlassbezogen.

Da ist zum einen natürlich strittig, wie lange das sein darf. 1-2 Minuten gilt als sicher, allerdings gibt es Situationen, wo auch 10 Minuten nötig wären um einen Sachverhalt komplett aufklären zu können (Vorgeschichte eines Zwischenfalls).

Zum anderen wäre es auch ein Anlass, wenn man die Strecke mal für sich selbst aufzeichnen wollte, um dann in der Postproduktion das verpixeln durchzuführen. Nur falls mal Polizisten danach Fragen und man mehr als die wenigen Minuten auf der SD Karte hat.

Ich bin ja selber ein sehr strenger Datenschützer, aber das "Anlassbezogen" kann man auch übertreiben. So lange die Auzeichnung nur auf der SD Karte ist, kann ja noch nichts passieren.

Das mit QR war nur eine Nebenbemerkung (sorry für die Ablenkung).

Aber die Ergonomie und Nutzbarkeit sehe ich für Ältere und körperlich Eingeschränkte als schwieriger.

Andererseits braucht das System hält keinen zusätzlichen Platz.

Oft scheitert es daran, dass man eine AC-Säule nirgends hinstellen kann. (Oder man packt sie mit in die Parkbucht und limitiert auf Kleinstwagenlänge.)

Langfristig müsste man Parkräume anders konzipieren. Mittelfristig könnte so eine Bordsteinlösung ein notwendiger Kompromiss sein.

Und wenn Rheinmetall das entwickelt hat, wird es schon bullet-proof sein.

Erik Aus meiner Sicht korrekt zusammengefasst.

Kleine Ergänzung: So lange das also alles privat und offline bleibt ist alles gut. Die Bilder und Videos dürfen halt nicht einfach so online gespeichert oder verarbeitet werden (siehe Tesla Sentinel Mode). Dann müsste man nämlich nachweisen, dass die Daten hinreichend vor Dritten geschützt sind, damit die Rechte unbeteiligter nicht verletzt werden können, wenn mal was peinliches oder intimes in dem Aufnahmen landet.

Die Cams mit Upload oder Cloud-Streamingserver sind daher immer wieder ein Problem, besonders auch im Bereich Haustürüberwachung. Aber eben nur die. Offline ist problemlos.

Zitat von EschBorn

Zudem ist es fraglich ob CUPRA deswegen ein einziges Auto weniger verkauft, weil es die breite Masse nicht interessiert.

Das ist eine interessante Frage. Alternative Androids, nicht zertifizierte China-Phones und Google-frei betriebene Androids sind nicht soo exotisch. Das trifft schon ein paar mehr.

Außerdem hat man im Gegensatz zu Banken weniger Alternativen.

Vor allem wenn man einen Born schon gekauft hat, für die Dienste zahlt, und die offizielle Anforderung (Android ab Version x) nachweislich erfüllt. Im Vertrag steht weder etwas von Google Zertifiziert und auch nicht, dass ein zusätzlicher Google-Vertrag benötigt wird.

Dann steht plötzlich Vertragsbruch, Diskriminierung und Verstoß gegen die DSGVO (Kopplungsverbot) im Raum.

Zitat von Erik

Für Cupra/Volkswagen/Cariad ist es eine rein betriebswirtschaftliche Entscheidung, sich da nicht drum zu kümmern.

Wenn sie sich wie bisher einfach nicht drum kümmern würden, wäre es ja gut.

Aber da hat jemand bei Cariad (und das muss/wird kein SW-Entwickler gewesen sein) schlicht keine Ahnung von Android. Das sage nicht ich, das sagen die Entwickler, die sich damit auskennen.

Vollzertifizierung von Google ist ein vollkommen unnötiger Vorschlaghammer, der nicht einmal sicher garantieren kann, was sie da erreichen wollen. Das ist nicht zwingend eine Sicherheitszertifizierung, sondern ein wirtschaftlicher Nachweis der Unterwürfigkeit.

Hardware Attestation wäre sachgerecht und genau so leicht umsetzbar gewesen.

Zitat von HWi-Born

Wenn die Klappe für das Kabel erst entriegelt, wenn man sich per Karte oder App autorisiert,

Gemäß AFIR muss es per QR Code und Webseite auch gehen (Apps reichen nicht, weil nicht vertragsfrei zugänglich).

Also erstmal bücken und dann wischen oder scannen und dann nochmal bücken und einstecken? Erscheint mir wenig praktikabel.

Nicht nur gerootete Geräte, sogar gelockte Geräte werden geblockt, wenn da kein StockROM drauf läuft. Auch unzertifizierte China-Handys sind ausgeschlossen.

Sogar auf dem sichersten Android der Welt (GrapheneOS), auf dem wegen Hardware-Attestation fast alle Banking-Apps laufen, wird man aus "Sicherheitsgründen" geblockt. Echte Stümper!

Also scrapt man sich alle 15-Minuten ein ZIP Download über die Webseite, um den SoC zu erfahren.

Echt armselig, wie die Volkswagen AG verhindern will, dass Eigentümer und Nutzer ihre Rechte wahrnehmen.