LineageOS en Google spreken over goedkeuren custom rom voor gebruik

De vrijwilligers van LineageOS voeren gesprekken met Google over de mogelijkheid om LineageOS te keuren voor gebruik. Daardoor zouden apps die gebruikmaken van SafetyNet om te kijken of telefoons vertrouwd kunnen worden, wel officieel kunnen werken.

De gesprekken lopen, bevestigt Lineage-vrijwilliger luca020400 in een Reddit-AMA. "Maar het is geen makkelijk proces en het kost veel tijd, zeker voor vrijwilligers. Ik ben in elk geval blij dat Google kijkt naar oplossingen", aldus de ontwikkelaar.

De vraag in de AMA kwam voort uit een tweet van een Google-topman dit voorjaar, die zei dat het keuren van custom roms een goed idee zou kunnen zijn. "Wat we misschien nodig hebben, is een manier voor custom roms om goedkeuring te krijgen, nadat ze kunnen bewijzen dat zij voldoen aan aan compliance tests en dat ze het beveiligingsmodel niet in gevaar brengen."

Apps die leunen op de api van SafetyNet om te checken of een Android-apparaat beveiligd is, werken nu niet standaard op LineageOS en andere custom roms, ook als die software gebruikers geen roottoegang geven. Onder meer videostreamingapps en bankapps maken gebruik van de api.

Door Arnoud Wokke

Redacteur

27-11-2020 • 11:27

93 Linkedin Whatsapp

Reacties (93)

93
93
62
3
0
29
Wijzig sortering
Anoniem: 340183
27 november 2020 11:39
Saftynet werkt wel degelijk bij sommige custom roms. Ik draai hier al jaren een custom rom en de meeste zorgen er wel degelijk voor dat Saftynet werkt (zonder gebruikt te maken van Magisk). Het wil niet zeggen dat LineageOS developers er geen tijd in steken dat ze iedereen over dezelfde kam moeten scheren. De roms die ik zeker waar saftynet werken zijn CRdroid, Pixel experience.

Het zou inderdaad wel mooi zijn dat Google custom roms helpt met het verwezenlijken van een 'veilige' oplossingen zodat meer mensen de stap naar custom roms durven nemen.
De enige reden dat SafetyNet op die roms werkt is omdat er een bypass is ingebouwd (door te liegen over de settings van het apparaat). Ze zijn niet daadwerkelijk goedgekeurd. Dat kan ook niet, want de vereisten van die custom ROMs zijn hard incompatible met de dingen waar SafetyNet naar kijkt: een locked bootloader + gebruik van DM-verity voor de system partities (dus Gapps moeten al in de ROM zitten ipv los geflashed) + enforcing SELinux. De enige custom ROM die echt aan de eisen voldoet is GrapheneOS, maar die heeft dan weer geen Gapps en dus ook geen SafetyNet.

Lineage wil juist een ander pad volgen met officiële toestemming.
Werkt safetynet nu dan?

Ik vond op diverse platformen dat het ook met Magisk sinds maart al niet werkt.

Nou is een impact matig want apps sideloaden werkt prima en ben nog geen enkele bankapp tegen gekomen die moeilijk deed :?

Overigens grappig dat telefoons met een custom ROM als LineageOS (met root) als onveilig worden aangemerkt. De ROM is transparanter in alles dan vele andere bedrijven. Als ik zie hoeveel vaag verkeer er van MIUI af komt en hoe diep die apps geïntegreerd zijn in het OS dan maak ik me daar meer zorgen om :X

[Reactie gewijzigd door sapphire op 27 november 2020 11:49]

Waar en hoe zie je dat vage verkeer bij MIUI dan?
Installeer maar eens een app als Blokada op een Xiaomi telefoon en bekijk het Host Log dan maar eens. De data.mistat.intl.xiaomi en tracking.intl.miui's vliegen je om de oren.
Niets echt unieks of bijzonders toch? Er gaan meer trackings naar Google en Facebook.
Ongeveer net zoveel als Google, van Facebook weet ik het niet, dat gebruik ik niet, er gaat aardig wat verkeer richting China. Ook nog nadat ik MSA (advertentiesoftware), Analytics en de nodige andere bloat van Xiaomi en Cleanmaster verwijderd heb. En dat kun je rustig vaag verkeer noemen, ik heb geen idee waar het voor is en ik vind het al erg genoeg dat Google alles van me weet dus heb ik weinig behoefte aan over mijn schouder meekijkende Chinezen.
(Het meeste verkeer van Google blokkeer ik trouwens ook, net als alle social media. Ik gebruik alleen Twitter en die app, alleen de app, staat in de whitelist.)
Ik ben zelf net wat kritischer richting onze vrienden in de VS, dan China. Dit gezien bewezen afluisterpraktijken in de VS door hen en door Apple toegestaan bezoek van de NSA. Voeg daaraan toe dat Cisco bewezen backdoors plaatste in onze routers en dat aan de andere kant nog niets is bewezen over spionage door bijvoorbeeld Huawei. Ik gebruik dus zowel thuis als mobiel o.a. een VPN die alles versleutelt, trackers van onze sociale media vrienden in de VS blokkeert, alsmede alle reclame en bijbehorende rotzooi.

China kent mij amper, de VS mij wel, omdat ik er vaak kom en mede dankzij de uitwisseling van allerlei data op Europees gebied. Ik leg dus de nadruk op de VS, niet op China.
Ik blokkeer beide kanten zoveel mogelijk. Maar je initiële vraag was waar en hoe je dat vage verkeer bij MIUI zag. Dat verkeer is er en zie je makkelijk terug in een host log. Geen flauw idee of andere fabrikanten het ook doen maar Xiaomi doet het wel en wat mij betreft hoeft een aan mij verkochte telefoon niet steeds met de fabrikant te 'bellen'.
Helemaal mee eens. Het gebeurt dus met ieder os. Zo las ik deze week op tweakers.net dat ook Windows oa logt en verstuurt welke apps je iedere keer opstart. Je ontkomt gewoon niet aan big brother. Soms gebruik ik om die reden Linux.
Magisk hoort niet soor de SafetyNet te komen omdat het een root is, dat gaat dus door alle beveilingsprotocollen heen en kan je doen wat je wil.

Zeg niet dat voor ons rooters "eigen risico" is en dat SafetyNet eigenlijk niet hoort te bestaan, maar erdoorheen komen is niet de bedoeling want daar is SafetyNet nou precies voor gemaakt.
De officiele CRDroid en PE roms die ik heb geprobeerd op redelijke moderne telefoons geven toch echt een CTS profile mismatch out of the box :S
Vraag me dan ook af op welke telefoon jij custom roms kan draaien met safetynet pass zonder magisk
Anoniem: 340183
@vrilly27 november 2020 11:58
Ik heb een Oneplus 5 en hier werkt het al jaren mee. Op Lineageos krijg ik ook de CTS profile mismatch maar kan kunnen ze normaal fixen door de kernel wat aan te passen.
Zit het verschil hem dan niet tussen custom roms zonder custom kernel (AOSP stock kernel, of hergebruikte kernel van de fabrikant van de telefoon) vs roms met custom kernel?
Nee, of je magisk gebruikt of niet. Magisk Hide zorgt ervoor dat je door SafetyNet heen komt.
Ik heb zelf laatst ook een custom ROM geïnstalleerd op een tablet. Ook geen safetynet goedkeuring hierna. Terwijl andere gebruikers wel goedgekeurd waren. Lijkt dus dat als je al een tijdje je custom ROM draait (voordat safetynet echt van de grond kwam?) je wel door de check heen komt, maar nieuwe installaties niet.
Uiteindelijk door alle tips uit te proberen die er online te vinden zijn is mijn tablet nu ook goedgekeurd. Maar ik weet dus niet wat de doorslag gaf.
Magisk+Magisk Hide lijkt me?
Bij LineageOS op de Poco F1 kan het ook werken, maar niet out-of-the-box. Je moet echt met Magisk modules een andere vingerafdrukscanner-driver gaan aanduiden of iets in die zin om het werkend te krijgen.

Voorlopig gebruik ik geen apps die er moeite mee hebben, tot nu toe altijd voldoende om de root te verbergen via Magisk, maar ik weet dat bv. de Netflix app niet zal werken.
Bij mij werkte Safety Net tot voor kort wel met Magisk on een Pixel met stock ROM, maar tegenwoordig niet meer, na een factory reset e.d.. Toch werkt Netflix nog wel gewoon prima, en ABN klaagt ook niet zolang ik met Magisk Hide de boel verberg voor ABN.
Als custom rom makers zich hiermee inlaten moeten ze straks aan dezelfde voorwaarden voldoen als iedere Google Play licentiehouder.
Persoonlijk denk ik dat bedrijven die mee werken aan Safetynet misschien toch ook moeten kijken naar alternatieven voor dit Safetynet. Ik bedoel Bankieren op een Windows pc is net zo min veilig.
Er zijn meer opties om je apps te beveiligen denk ik zo. Ik hoor geen enkele bank klagen over veiligheids-checks in windows computers. of ben ik nu te eenvoudig aan het denken ?
Daar ben ik het niet echt mee eens. Dat een ander platform minder veilig is kan nooit een reden zijn om een mindere veiligheid overal te accepteren. Dat zou juist een aanmoediging moeten zijn om de veiligheid overal te verbeteren.
Ik word regelmatig gehinderd door DRM en andere shite omdat ik een alternatief systeem gebruik, zonder Google-spul, en dus ook zonder SafetyNet. Veiligheid verbeteren moet niet leiden tot het blokkeren van alternatieve systemen, maar dat gebeurt nu dus wel. Dat LineageOS en Google gesprekken voeren maakt precies duidelijk dat we blijkbaar afhankelijk zijn van Google. Een Amerikaans advertentiebedrijf. Wil je daar je veiligheid neerleggen? Ik niet.
Ondanks dat ik het zeker met je eens ben dat 'meer' opties beter is, denk ik tegelijkertijd dat je nu veel te simpel doet.
Veiligheid verbeteren moet niet leiden tot het blokkeren van alternatieve systemen
Natuurlijk kan dat het wel betekenen, bij veiligheidskwesties in een bedrijfscontext zet je vaak een minimum level op en blokkeer je voor de rest alles. Virussen die daadwerkelijk concrete banken aanvallen zijn redelijk zeldzaam, maar an sich zou ik me prima kunnen voorstellen dat een bank zou beslissen om het niet mogelijk te maken om op een desktop PC te internet bankieren. Aan de andere kant: De belangrijkste vraag is Wie loopt er schade als een systeem onveilig is?. Bij zo iets als streaming DRM is dat niet de consument, maar de streaming site die in de problemen komt. In dat geval is het dus compleet te begrijpen dat ze strenge regels proberen te stellen. Aan de andere kant, in het geval van een bank - waar de consument het risico zover ik weet loopt - is het allemaal een stuk genuanceerder. Tot zover het de consument is die het risico op zich neemt: Heb gewoon een optie bij je bank die het standaard niet toestaat om te internetbankieren vanaf minder beveiligde omgevingen, maar die je met 1 telefoontje gewoon uit kunt zetten. Op die manier is het de consument zelf die beslist welk risico hij wilt nemen. In die zin ben ik het wel degelijk dus met je eens.
Dat LineageOS en Google gesprekken voeren maakt precies duidelijk dat we blijkbaar afhankelijk zijn van Google. Een Amerikaans advertentiebedrijf. Wil je daar je veiligheid neerleggen? Ik niet.
Uiteindelijk is de simpele realiteit dat je in een wereld met elektronika je zowel de makers van de hardware als de makers van de software moet vertrouwen. Dat is zowel waar met zaken waarvoor je betaald, als met zaken waar je via advertenties voor betaald, als ook met zaken (open source) waar je niet voor betaald. Wie je beslist te vertrouwen is typisch gezien een combinatie van direct vertrouwen (=hoeveel vertrouw ik persoon/bedrif X die het heeft gemaakt) en indirect vertrouwen (hoeveel mensen hebben het gecheckt? hoeveel mensen en wie gebruiken het? hoe groot is de kans dat een backdoor opgemerkt wordt?). Praktisch gezien verdient Google gewoon geld aan Android via de Play Store, dus Google afdoen als 'Een Amerikaans advertentiebedrijf' is gewoon extreem naïef. Of Google te vertrouwen is iets wat ieder van ons zelf moet beslissen, maar op z'n minst heeft Google zowel ideologisch als ook een extreem groot economisch belang erbij dat Android goed beveiligt is, dus in die zin heb ik dat vertrouwen persoonlijk wel.

[Reactie gewijzigd door David Mulder op 27 november 2020 16:47]

Bij bank verkeer is het de bank die aansprakelijk is voor de schade tenzij de bank kan aantonen dat de klant BEWUST onveilig gehandeld heeft.
Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.
Citaat van Franklin, best relevant. Zolang de boel niet totaal ontploft, moet vrijheid niet worden opgeofferd. In Nederland zijn de bedragen die omgaan in gehackte overboekingen via Internetbankieren bijzonder laag (in de miljoenen of tientallen miljoenen), dus daar gaan we onze vrijheid om de computer te gebruiken die wij zelf willen niet voor opofferen. En we gaan al helemaal niet onze vrijheid weggeven aan een Amerikaanse multinational met allerlei belangen die in strijd zijn met die van ons als burgers.
Goed bezig dat je de quote juist aanhaalt, maar misschien nuttig om ook naar de context te kijken van de quote zonder blind met namen rond te gooien.
WITTES: He was writing about a tax dispute between the Pennsylvania General Assembly and the family of the Penns, the proprietary family of the Pennsylvania colony who ruled it from afar. And the legislature was trying to tax the Penn family lands to pay for frontier defense during the French and Indian War. And the Penn family kept instructing the governor to veto. Franklin felt that this was a great affront to the ability of the legislature to govern. And so he actually meant purchase a little temporary safety very literally. The Penn family was trying to give a lump sum of money in exchange for the General Assembly's acknowledging that it did not have the authority to tax it.

SIEGEL: So far from being a pro-privacy quotation, if anything, it's a pro-taxation and pro-defense spending quotation.

WITTES: It is a quotation that defends the authority of a legislature to govern in the interests of collective security. It means, in context, not quite the opposite of what it's almost always quoted as saying but much closer to the opposite than to the thing that people think it means.
Hoe dan ook, dat haalt niet weg dat er inderdaad deze twee zaken zijn die vaak - maar zeker niet altijd - elkaar in de weg zitten: Privacy en Security. Meer vrijheid betekent inderdaad vaak minder veiligheid, en meer veiligheid betekent inderdaad vaak minder vrijheid. De manier hoe die quote vaak tegenwoordig wordt gelezen is als een extremistische stelling dat het absoluut altijd slecht is om vrijheid op te geven voor veiligheid, maar de realiteit is een stuk genuanceeder. Neem zo iets als een bank, een bank geeft je extreem veel veiligheid (je hoeft niet bang te zijn dat al je geld op straat plots wordt gestolen) ten koste van bepaalde vrijheden (je kunt niet rechtstreeks bij je geld en de bank weet hoe je je geld spendeert). Dat is een trade-off die de meeste van ons het het waard vinden, maar tegelijkertijd is het goed om te beseffen dat het inderdaad een trade-off is. Een bank die daarna afwegingen maakt over hoe ze jouw geld beschermen past prima in dat plaatje.

En trouwens, om duidelijk hier te zijn, ik ben zeker iemand die graag veel sterkere regulatie (van privacy tot right to repair) en decentralisatie zou willen zien, ik ben iemand die tal van bedrijven erop heeft aangeschreven dat ze de AVG schonden en een aantal heb geholpen en overtuigd om hun systemen zo te veranderen dat ze wel aan de AVG voldoen. Ik zeg dit niet vanuit het idee dat privacy en keuze vrijheid niks waard is, maar meer vanuit de hoek dat volgens mij het grotere plaatje een stuk genuanceerder is. "Amerikaanse multinational" doet compleet af wat een individueel bedrijf representeert, het is enkel een blinde aanval op basis van nationaliteit... (niet dat ik veel liefde voor Google heb 😅 , maar tenminste nog iets van vertrouwen)
Je hebt het steeds over blinde aanvallen. Wil je hiermee suggereren dat ik blinde aanvallen doe, of bedoelde je iets anders?

Volgens mij heb ik duidelijk de proportionaliteit weergegeven: de zeer beperkte verliezen via Internetbankierfraude – waarvan een deel nog steeds prima zal plaatsvinden ook al worden wij alleen gedwongen om via telefoons van Google in te loggen – weegt zeker niet op tegen het verlies aan vrijheid. Verder weegt dit verlies extra zwaar omdat het een grote, machtige, commerciële, buitenlandse organisatie betreft, in plaats van b.v. mijn eigen bank of overheid.

Wat betreft mijn citaat – daarbij ging het mij niet om de historische oorsprong, maar om de algemene strekking. Die interpreteer ik zo dat het belang van zaken als vrijheid en privacy vaak moeilijk concreet te zien is, vooral wat betreft gevolgen op de lange termijn, terwijl veiligheid vaak heel concreet zichtbaar is op de korte termijn (iedereen kan zich iets voorstellen bij diefstal via Internetfraude). Daarom moet men extra oppassen bij het opofferen van zulke abstracte doch essentiële burgerrechten voor concrete zaken als een beetje veiligheid.

[Reactie gewijzigd door Cerberus_tm op 27 november 2020 23:17]

Ken het probleem, ik probeer ook al een tijdje zo min mogelijk van google te gebruiken. Toch heb ik tot nu toe weinig problemen ondervonden.

Je kan het zo gek niet bedenken maar ik kan perfect mobile bankieren, maar de mcdonalds app weigert mijn telefoon omdat hij niet veilig zou zijn.
Heb je nog meer voorbeelden? Ik heb zelf nog geen programma gevonden dat weigerde zonder Safety Net.
Voorlopig niet, ik draai wel micro G, maar normaal heeft dit geen invloed op safetynet?
Hmm ik weet het niet, maar zou wel verwachten dat het invloed zou kunnen hebben?

Ik heb de Play Services e.d. op 'disabled' staan, zodat ze totaal inactief zijn. Alleen wanneer een bepaald programma ze per se nodig heeft, zet ik ze even aan.
Ik heb gewoonweg de play services niet geinstalleerd. Niks van google trouwens.
Dat begrijp ik. Ik heb erover getwijfeld, maar wil voor mezelf toch de mogelijkheid houden om allerlei programma's te draaien, ook als die Play Services nodig hebben. Dan denk ik maar dat die weinig gegevens verzamelen als ik ze de meeste permissies ontzeg en ze alleen kort aanzet wanneer ze even nodig zijn voor een programma...
Ja weet je wat het is, de eerste weken is het eventjes wennen, maar na een aantal weken merk je het nog niet meer. Ik heb wel sygic gekocht om google maps te vervangen, en heb wat self-hosting als backup (nextcloud met webdav,...)voor contacten en dergelijke. Al de rest werkt in mijn ogen nog gewoon, of er is een alternatief voor.

En zelfs als alles uit staat, denk ik dat privacy en dergelijke nog altijd een illusie is. Uiteindelijk is het een goede voorbereiding om over te schakelen naar een linux telefoon. (als die eindelijk stabiel genoeg is en voldoet aan mijn eisen).

Het is alleszins een leuk projectje om alles van google te vervangen met je eigen dingen. zou hier nog veel verder in willen gaan maar dan heb ik een statisch ip adres van mijn provider nodig vrees ik.
Magisk to the rescue.
Kom je vrij gemakkelijk door safetynet checks heen.
Dat hele safetynet is dus überhaupt al niet zo safe als de naam doet vermoeden.
magisk of niet , je bank app zal niet werken betreft nfc (tenmiste de gene die kijken of er een bootloader unlock is)

[Reactie gewijzigd door Jhinta op 27 november 2020 12:28]

Abn werkt prima met magisk hide. Van anderen geen idee.
Ik dacht dat dergelijke apps enkel testen op root door te kijken of ze bepaalde root only commandos kunnen uitvoeren.
Volgens mij is bootloader locking vendor specific, dus dat lijkt me nogal een kat en muis spel voor de app bouwer.

[Reactie gewijzigd door jozuf op 27 november 2020 12:24]

ook nfc?
unn nee , ze gebruiken de api , en die zegt dus bootloader/root/custom etc wel of niet.
En dat willen ze nu dus goed laten keuren , zodat het wel werkt.

[Reactie gewijzigd door Jhinta op 27 november 2020 12:29]

Kennelijk begint mijn kennis wat te dateren inmiddels. Geen idee of dit al geimplementeerd is in safetynet.
zie bv hier;
https://www.xda-developer...bootloader-unlock-status/

"The fact that they refrained to do so for 3 years has allowed users to enjoy root and Magisk Modules without sacrificing the ability to use banking apps. However, it seems that Magisk’s ability to effectively hide the bootloader unlock status is soon coming to an end"
het probleem zit hem in met de nieuwe lk kernels dat deze niet meer aan te passen zijn (daarom willen wij altijd de bootloader modden/hacken) dat kan niet meer (of we vinden ze niet of goed gepatched) omdat ze nu zelf unlocken, maar niet de andere locks! (radio/nv/lk kernel/tp/ etc etc etc en dus ook de waarde van unlock status etc)
Je bent enkel vrij van het instaleren van een boot.img thats it.


En als ze dus dit voor elkaar krijgen , is all dat gedoe niet meer nodig. enkel heb je geen root meer of misschien.

[Reactie gewijzigd door Jhinta op 27 november 2020 13:16]

Dit bestaat al, voor zover ik weet is dit op geen enkele gsm geforceerd via hardware, ga er vanuit dat ze dit gefaseerd gaan uitrollen, tot alle gsms die hardware attestation ondersteunen, waarna de software-versie gewoon geblokkeerd word.
Dunno. Mijn redmi note 8t heeft geen nfc :p mis het ook niet :)
Maar hoe dan ook werkt mijn abn app gewoon. Je moet het wel met magisk hide doen om de Fingerprint unlock mogelijk te maken.

[Reactie gewijzigd door jozuf op 27 november 2020 12:34]

Rabobank en de Rabo Wallet werken bij mij anders nog gewoon prima, met unlocked bootloader. Ook wel mooi dat ik in de Magisk Manager een "fail" status zie voor SafetyNet (weet ff niet welk component ervan), maar via de Google Play Store ergens onder Settings/About zie ik wel "device is certified". :D Volgens mij heb ik ook niet eens MagiskHide aangezet voor de Rabo apps. Kan het nu niet checken want de manager is een beetje over de zeik, moet ik eerst nog een keer fixen. :')
Rabo app ook geen probleem. Unlocked en magic op android 11.
Dan moet zo'n bank ook desktop toegang weigeren... Of android toestellen ouder dan Android 7. Het is krankzinnig dat ik vanaf Windows 7 met IE 11 kan inloggen bij Bunq, maar niet vanaf mijn Adroid 10 toestel omdat ik Google's goedkeuring niet heb.

Drie weken terug letterlijk de tegenovergestelde discussie gehad:
nieuws: Oude Android-versies kunnen volgend jaar mogelijk veel sites niet openen

[Reactie gewijzigd door Eonfge op 27 november 2020 12:02]

Ik kan met mijn telefoon met LineageOS 17.1 (Android 10) gewoon gebruik maken van bunq. Ik krijg alleen een waarschuwing bij het inloggen maar die kan ik gewoon negeren. Wat is het probleem precies?
Even navragen bij een vriend. Zit zelf niet bij Bunq, maar dit probleem kon hij met mij delen. Heb je GApps geïnstalleerd?
Ik heb de pico package van Open GApps geïnstalleerd staan en heb het net ook nog eventjes voor de volledigheid van mijn reactie zonder Magisk Hide geprobeerd (omdat met magisk hide natuurlijk een beetje valsspelen is). Werkt prima!
Denk dat het verschil hem daar in zit. Hij heeft zijn toestel zonder GApps dus hij mist waarschijnlijk enkele gesloten blobs waar Bunq van afhankelijk is. Mooi om te weten. Bunq is gehardcoded tegen een reclamenetwerk.
Hoezo kun je niet inloggen op de website van Bunq vanaf je toestel? Je moet geen Apps met Browsers vergelijken. Op Windows hebben ze geeneens een app.
Dat is denk ik lastiger te doen omdat je het vanuit een browser doet. Het grootste probleem daarbij zijn phishing sites verwacht ik, en dan kun je als bank wel bepaalde veiligheidschecks doen, maar op zo'n phishingsite zit je al niet op de site van de bank.
Als mijn bankapp op mijn telefoon niet werkt, pin ik de website op mijn homescreen en gebruik ik de mobiele website.

Het duwt mensen van een "veilige app" naar het "onbekende web".
Maar de app werkt dus wel als je geen custom roms gebruikt. En de mensen die een custom rom gebruiken kunnen er vaak wel omheen werken, als dat nog steeds kan tenminste.
En de mensen die een custom rom gebruiken kunnen er vaak wel omheen werken, als dat nog steeds kan tenminste.
Wat is het punt dan van de beveiliging naast het moeilijker maken om daadwerkelijk de app te gebruiken?
Het punt is dat custom roms straks misschien wel goedgekeurd kunnen worden en dus zonder problemen apps als die van banken kunnen gebruiken omdat ze dan wel aan safetynet voldoen.

Of ik lees het verkeerd, als ze wel om Safetynet heen willen, dan heeft Safetynet dus geen zin meer.

[Reactie gewijzigd door mjz2cool op 27 november 2020 12:19]

Bij de rabo moet ik elke transactie, of verzameling transacties goedkeuren met een reader. Er is dus elke keer een user handeling nodig met een extern iets. Een app op de telefoon kan tot een bepaald bedrag zelf handelen zonder tussenkomst van een user. Hier zit het grote verschil.
De app is juist veiliger, want hier weet je altijd dat je goed zit. Een website is vrij eenvoudig na te maken, ook met SSL (want wie kijkt er nu echt naar de details van het certificaat). Bovendien moet je in de app ook altijd autoriseren, dus dat doe je bewust, dat is niet anders dan via de website. Het verschil hier is dat bij de Rabobank de Raboscanner via de website altijd nodig is (behalve als je een pincode hebt ingesteld), en dat het bij de app tot een bepaald bedrag voldoende is om met je ingestelde code in te loggen.
Persoonlijk denk ik dat bedrijven die mee werken aan Safetynet misschien toch ook moeten kijken naar alternatieven voor dit Safetynet. Ik bedoel Bankieren op een Windows pc is net zo min veilig.
Waardoor banken steeds vaker verificatie via mobiel vereisen, waar Safetynet wel mogelijk aanwezig is. ;)
Bankieren op een Windows pc is net zo min veilig
want je hebt zoveel gevallen gezien waarbij de echte bankwebsite en traffic van/naar die site gebruikt werd om mensen geld te ontfrutselen? fake sites kan je op elk platform tegenkomen en voor zover ik weet zijn er geen fraudegevallen die op de eerste situatie leunen bekend gemaakt.
Banken counteren de onveiligheid van Windows pc doorgaans met een vorm van MFA, ironisch genoeg ontbreekt MFA vaak op de smartphone. Dus ik begrijp die banken wel.

Anderzijds, de reden waarom ik mijn smartphone nog steeds root, is omdat veel apps nog steeds véél te véél rechten vragen.
Geen vermelding over Magisk? Het klinkt nu alsof je op custom roms als Lineage niet kunt internetbankieren of Netflix kijken, maar dat is natuurlijk niet het geval.
Ook daar zijn oplossingen voor om dit wel mogelijk te maken.
Er zijn heel veel apps die afhankelijk zijn van Google Services en dus zonder die services gewoon weg crashen. MicroG is een mogelijke oplossing maar dan moet je een andere build van LineageOs installeren waar MicroG al in steekt.
Ook Google Services (Gapps) kun je op custom roms installeren. Het zit niet standaard in de rom omdat dit dus niet mag, maar die kun je als apart bestand mee flashen bij de installatie waarna je ze alsnog hebt.
Ja maar dan zit je weer vast aan Google Services terwijl de meeste weg ervan willen :)
Om MicroG volledig te kunnen installen/gebruiken, moet je ROM signature spoofing hebben.
Mijn LineageOS 9 (16?) had dat niet, maar kon ik patchen met NanoDroid.
Dus hoefde ik geen andere build te hebben.
Maar misschien zijn nieuwere versies niet te patchen.
Werkt niet meer sinds Android 10. Spreek uit ervaring met mijn OPO.
Werkt prima op een Xiaomi Mi5 met LineageOS for MicroG, en ook Android 10.
Netflix doet het gewoon als app, bankieren niet getest.
(probeer eens een rom waar MicroG al in zit, bijvoorbeeld bovenstaande link)

[Reactie gewijzigd door PalingDrone op 27 november 2020 11:56]

Ook zonder magisk kan ik alle apps gebruiken, maarja ik gebruik geen Netflix. Wel verschillende banken
Netflix werkt bij mij prima met Magisk.
Ben benieuwd, maar ik neem aan dat ze dan net als anderen vast gaan zitten aan de verplichting van een gehele afname van "google play en play services" en wellicht ook standaard apps ?
Een legale optie om play services mee te leveren lijkt me juist een voordeel. Je kunt er altijd voor kiezen het niet te gebruiken, maar als je Android zonder Google wilt hoef je deze goedkeuring ook niet.
Er zijn tal van mensen die geen gebruik willen maken van de google-play services maar verde wel een veilige telefoon willen hebben. Momenteel geeft google enkel een safetynet certificaat als er google-play services gebruikt worden in combinatie met een google-account. Hierdoor zijn er meer tracking en verdien mogelijkheden voor google (advertenties, shopping en zoek voorkeuren, locaties, etc...). Het zou niet moeten uitmaken of je een android apparaat met of zonder google-play services draait mits de beveiliging in orde is.
Zonder google play services heb je echter ook niks om je safetynet status mee te controleren; want dat zit diep verweven in de play services :+

Apps die werken zonder play services geven ook niks om je safetynet status
Mjah ik heb de indruk dat het tot nu toe altijd een "alles of niets" strategie was van Google.
Dus als "fabrikant" was het of alle producten met (alle) Google meuk, geen tussen smaken.

Nou is "Lineage" geen fabrikant van toestellen en er is kennelijk enige ruimte tot onderhandelen, dus ik ben benieuwd waar het in eindigt, maar het zou me ergens verbazen als Google van z'n lijn afwijkt (of het moet ingegeven zijn door de onderzoeken van diverse Markt- schoot dan wel waakhonden.
Ik hoop dan wel dat de gebruiker kan kiezen hoe veel google play services hij wil. Je kan nu bijvoorbeeld op Open GApps kiezen voor verschillende pakketen waar in de meest uitgeklede vorm vrijwel geen enkele app aanwezig is.
Nee is geen oplossing. Er is alleen sprake van een oplossing als de betrouwbaarheid niet afhankelijk is van een ondernemer.
Helemaal mee eens. Snap niet dat je naar beneden gemodereerd word.
Het is gewoon raar dat een app van een Nederlandse bank via notabene een Google Cloud API moet gaan bepalen of iets in de haak is.
Hoe bedoel je dit? Er is toch altijd een ondernemers bij betrokken? Er wordt vrijwel geen software vrijwillig gemaakt. Achter alle grote opensource projecten zitten bedrijven, die bedrijven hebben altijd invloed op de richting etc. omdat ze de mensen betalen die er aan werken.
Ik vind het juist een feature dat dit soort software niet werkt.

Mijn telefoon moet mij dienen en mij beschermen.
Safetynet is er niet om mij te beschermen tegen anderen, maar om de industriele partners van Google te beschermen tegen mij.

Ik ben blij met LineageOS omdat ik daar zelf de baas ben en niet een of ander bedrijf meer rechten op mijn telefoon heeft dan ik zelf.

Ik hoop dat LineagOS z'n tijd en geld aan nuttige zaken besteedt.

[Reactie gewijzigd door CAPSLOCK2000 op 27 november 2020 11:47]

Ben je dan ook blij als de apps die je wilt gebruiken (banking, messaging, werkgever etc.) dienst weigeren omdat je OS-fingerprint niet is goedgekeurd ? Of een app die je juist wantrouwt en wilt onderzoeken met root.
Ook malware makers in "legitieme software" zullen hier dankbaar gebruik van (kunnen) maken.

SSL-Pinning en nu cryptografische attestatie van Google betekent het einde van eigen onderzoek en veiligheidscontrole. En dan nog de transparantie van de datavergaring en profilering (AVG)...

[Reactie gewijzigd door Mushroomician op 27 november 2020 22:06]

Blij is niet het woord.
Ik ben dan net zo blij als die keer dat een fietsendief m'n slot en achterwiel heeft vernield maar m'n fiets niet heeft losgekregen.

Het klinkt heel mooi dat apps me tegen mijzelf proberen te beschermen, maar niet door mijzelf buiten te sluiten uit m'n eigen apparatuur. Als default instelling vind ik het prima dat apps blokkeren als ze de boel niet vertrouwen, maar ik moet de uiteindelijke beslissing zelf kunnen nemen. Als ik niet zelf mag beslissen dan ben ik niet degene die beschermd wordt maar de schrijver van de app.

Juist bij diensten/applicaties/instanties die enorme invloed op ons leven hebben, zoals banken, de overheid en onze werkgevers, is het belangrijk om de grenzen te bewaken. Er is een enorme machtsongelijkheid. Als een bank een rekening blokkeert kan dat enorm veel problemen opleveren voor de eigenaar van die rekening, terwijl het voor de bank niet echt een probleem is als 1 klant niet kan bankieren. Idem voor de overheid, werkgevers en vergelijkbare instanties. Die kunnen met een enkele beslissing levens veranderen.

Ons halve leven is tegenwoordig digitaal en vastgelegd op onze apparaten. Ik heb bijvoorbeeld geen enkele manier om te bewijzen hoeveel geld ik op de bank heb anders dan de software van die bank zelf. Als ik bewijs wil opslaan, in de vorm van bankafschriften of screenshots, dan gaat dat in digitale vorm. Dan is het absoluut noodzakelijk dat ik kan vertrouwen op mijn eigen apparaten. Dat die alleen doen wat ik wil en dat er niemand anders meer macht over mijn apparaten of data heeft dan ik zelf.
Dan is het absoluut noodzakelijk dat ik kan vertrouwen op mijn eigen apparaten. Dat die alleen doen wat ik wil en dat er niemand anders meer macht over mijn apparaten of data heeft dan ik zelf.
En dat is dus met SafeteyNet niet meer zo. Als jij wilt controleren of die app zich wel netjes gedraagt, wordt je toestel niet vertrouwd.
Eigen beheer == niet betrouwbaar volgens SafetyNet implementeerders.

Ik kijk uit naar de eerste rechtzaken tegen bijv werkgevers die dit doen op privétoestellen van werknemers of andere grote bedrijven die informatie verzamelen zonder transparant te zijn over de beoordeling/profilering: Een "attest" waarvan, beste ontwikkelaar?

[Reactie gewijzigd door Mushroomician op 28 november 2020 17:18]

vind het al heel knap dat ze uberhoubt in contact gekomen zijn met google - dat is opzich als een nieuwsbericht waard :+
Hopelijk komt er een oplossing! Heb nu Lineage OS 17.1 (Android 10) op mijn Oneplus One gezet en werkt als een tierelier. Alleen Netflix en enkele creditcard apps werken niet.

Zou ook goede vooruitgang zijn om de levensduur van oude toestellen te verlengen ook met het oog op duurzaamheid.
Dat komt omdat meer apps zoals banken apps alleen werken als je apparaat niet geroot is. En volgens mij kijken deze apps ook of je bootloader heb gelock of niet

Heb zelf nog een Samsung Tablet met Lineage OS 14.1 draait nog super voor internet en mails. En komt nog met beveiligings updates.
Ik was er in het verleden veel me bezig , met smartphones rooten , en custom roms uit te testen ( een erg leuke bezigheid), maar ik wordt er eigenlijk wantrouwig van , als google het goed keurt , kan je rond kan lopen met een aangepaste ROM wat vanalles kan bevatten, kwa software dat afwijkt van de AOSP ??
Want als Lineage OS het kan doen ... waarom niet Vodafone of Tmobile's android versie ?
Privacy reden terzijde , dan heb ik liever nu een afgeschermde appstore / OS, dan Android .. zoiets als IOS .

[Reactie gewijzigd door Metallize op 27 november 2020 11:49]

LineageOS is open-source, dat is iets wat vrijwel geen enkele officiele rom is zover ik weet. Iedereen kan de code dus inzien en controleren. Doordat je het kunt controleren is dat eigenlijk zelfs veiliger dan de standaard rom op telefoons, waarbij je de fabrikant of provider maar moet vertrouwen dat daar geen afwijkingen in zitten.
LineageOS is open-source, dat is iets wat vrijwel geen enkele officiele rom is zover ik weet. Iedereen kan de code dus inzien en controleren. Doordat je het kunt controleren is dat eigenlijk zelfs veiliger dan de standaard rom op telefoons, waarbij je de fabrikant of provider maar moet vertrouwen dat daar geen afwijkingen in zitten.
dat zeer zeker , maar bekijk het van de normale mens zijn perspectief , bijvoorbeeld mn tante die boven de 70 is , koopt zich een nieuwe android toestel , van een Samsung type a naar type z, en verwacht dat de interface hetzelfde is , maar het is bijna onherkenbaar(in haar ogen) , de volgende keer gaat mijn tante bijvoorbeeld voor een IOS toestel , voor ons techneuten is het allemaal het zelfde , voor de consument niet, teveel diversiteit is ook niet goed.
Dat ligt echter wel aan Samsung, en niet aan Lineage OS. Samsung vind het nodig om Android te voorzien van een volledig eigen skin, waar Lineage veel dichter tegen het standaard Android (AOSP) van Google aan zit.
Oh, dit vind ik goed nieuws zeg! Al ben ik een klein beetje bang voor de invloed van Google als het zover is. Niet dat ik perse iets tegen Google heb, ik probeer wel een beetje op mijn privacy te letten.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee