Bericht Huawei Pura 70 und MatePad: Netflix in HD, Banking, mobiles Bezahlen & Co. installieren

[FR3DI]

und das garantiert dir wer?

Der Play Store hier Persönlich?

Der weiß nicht nur wann das letzte mal Apps geladen/ aktualisiert wurden (Zeit Stempel), zusätzlich lassen sich über den Aurora Store auch gekaufte Apps laden.

hört der spass bei alternativen stores auf.

App modifizieren, dann neu Signieren. Da war doch was? Ich hoffe das Webanbieter bei dir nicht ebenfalls den Stores angehörig sind. Diese sind wieder eine andere Nummer.

funktionieren anonyme logins bei aurora überhaupt noch?

Ja, tut es. Läuft aber weniger Problemlos/ Schnell. Mit Google ID ist es jedoch ein Traum.

anscheinend riskiert man mit aurora seinen google-account

Kann ich so nicht bestätigen. Nutze aber wie zuvor auch nicht jene Möglichkeit des Spoofing unteranderem, das auch bei gewissen ROMs zu Problemen führt.

aber gut, dass dafür anleitungen hier verbreitet werden...

Ob nun hier, da. Ist doch egal.

Hier bitte, extra für dich! Ich hoffe, du bist fasziniert!🍻

Gruß Fred.

 

[Frank]

Es würde mich auch interessieren woher die ganzen Bankdaten kommen. Es wurden ja einige Banken getestet. Wie macht man das? Gibt es für Journalisten spezielle Accounts?

Das waren nicht alles meine Bank-Accounts, aber beruflich und privat in der Familie kommt da schon was zusammen, was man testen kann.

 

[FR3DI]

@Frank
Hast du auch jemand in der Schweiz am Start?
#PostFinance App

Gruß Fred.

 

[Frank]

@FR3DI leider spontan nicht

 

[Trefoil80]

@Frank
Wow, da bin ich echt sprachlos, dass Du Banking-Zugangsdaten aus der eigenen Familie/Bekanntenkreis in solchen (aus Security-Sicht "unklaren" ) Umgebungen verwendest...wissen die Leute, was Du mit deren Daten genau machst?

Bitte lege kurz dar, ob die Computerbase GmbH Geld von Huawei für diese Beiträge erhält.

 

[Aquilid]

@Eorzorian
Sorry, aber ich sehe das völlig anders. Es geht hier ja nicht um defekte Hardware, sondern um ein möglicherweise gehacktes Bankkonto! Monetär potentiell eine ganz andere Dimension...

Das ist zwar auf der einen Seite bestimmt ein Risiko, auf der anderen Seite gibts eine einfache Lösung: lass es!
Es wird hier ja niemand gezwungen dem zu folgen, daher verstehe ich nicht, warum Du so gegen den Artikel vorgehst. Wer das macht, ist sich der Risiken hoffentlich bewusst. Und ich behaupte einfach mal, das wesentlich mehr Bankkonten durch Nutzerfehler lehrgeräumt werden, als durch zusammengefrickelte Bastellösungen.

 

[MrWaYne]

Das man bei Android-Geräten immer noch aufpassen muss (oder irgendwas basteln muss), ob sie in HD DRM-Inhalte streamen können ist echt ein Ding...

Hätte gedacht das ist langsam mal tief in Android drin und dann bei jedem Hersteller / Flavour von Android einfach dabei.

da muss man eigentlich gar nicht aufpassen.
Wer Sparbüchsen kauft, hat Abstriche und frickel-Android. Da wird eingespart wo nur geht inkl. Müllsupport.
Wer ein funktionierendes Android will, kauft ein Pixel. Die A-Serie kostet jetzt nicht viel, besonders nach einigen Monaten. Also wofür überhaupt einen anderen Hersteller.

 

[R++]

@Chriz
Es gibt folgenden Absatz dort:
"ComputerBase hat das MateBook 14 2024 leihweise von Huawei zum Testen erhalten. Eine Einflussnahme des Herstellers auf den Test fand nicht statt, eine Verpflichtung zur Veröffentlichung bestand nicht."

Das ist die allgemeine Klausel.
Wäre Geld gegen Veröffentlichung geflossen oder als Werbeanzeige, wird und muss das rechtlich auch gekennzeichnet werden - sonst Strafe möglich.

MfG, R++

 

[0x8100]

App modifizieren, dann neu Signieren. Da war doch was?

und wenn dir der store eine banking-app anbietet, die zwar gefälscht, aber signiert ist? bzw. muss die nichtmal signiert sein, weil die app für den aurora-store generell das recht hat, unbekannte apps zu installieren. wie überprüfst du, ob eine über diesen store installierte app legitim ist?

 

[FR3DI]

muss die nichtmal signiert sein

Eine nicht Signierte App zu Installieren, ohne so weiteres unmöglich. @siggi%%44 ist z.B.: einer der da sicher mehr als genug Input haben sollte.

unbekannte apps zu installieren.

Ich nutze unteranderem wie folgt;

About​

Modern super user interface implementation on Android.

Quelle

Ohne ROOT und oder letzteres passiert nichts ohne vorherige zusage!

Gruß Fred.

 

[0x8100]

Eine nicht Signierte App zu Installieren, ohne so weiteres unmöglich.

dann machste eben eine selbst-signierte app. sei mal etwas kreativ

 

[Frank]

Bitte lege kurz dar, ob die Computerbase GmbH Geld von Huawei für diese Beiträge erhält.

Nein, haben wir nicht.

Das ist ja ein Thema, was in den Tests zu beiden Geräten ohnehin besprochen werden muss. Anstatt es da aber untergehen zu lassen und den Test noch länger und unübersichtlicher werden zu lassen, habe ich es lieber ausgegliedert. Und wenn man sich mal die Suchanfragen ansieht, interessieren die behandelten Punkte durchaus ein paar Leute, die so vielleicht auch noch über Google drauf stoßen.

 

[FR3DI]

@0x8100
Jawoll, du weißt schon mehr als bescheid.😁

Gruß Fred.

Ergänzung (30. Juli 2024)

die so vielleicht auch noch über Google drauf stoßen.

Genau das und für euch hoffentlich, unwissende ohne den Einsatz von Werbeblockern.

 

[0x8100]

Jawoll, du weißt schon mehr als bescheid.😁

so, jetzt mal butter bei die fische: du vertraust dem aurora app-store und hast ihm die berechtigung gegeben, unbekannte app zu installieren. was hindert jetzt bitte den betreiber des app-stores, dir eine manipulierte app unterzuschieben? er kann dir von anfang an eine andere apk geben als wirklich im playstore vorhanden ist - wie willst du das mitbekommen? selbst wenn du bereits eine legitime version einer app installiert hast und man die mit einer manipulierten version nicht updaten könnte (weil anderes cert), dann könnte der app-store einfach die legitime version deinstallieren und durch die manipulierte version ersetzen. dann musst du vielleicht einmal erneut die zugangsdaten bei der app eingeben, aber viele apps wollen das ja sowieso regelmäßig. und jetzt sage mir, wie der 0815 user das mitbekommen soll.

mit der vertrauenswürdigkeit des app-stores steht und fällt die ganze sicherheit der darüber installierten apps. und ich traue den dudes aus dem netz beim aurora-store nicht soweit, als dass ich darüber banking-apps mit zugriff auf mein konto installieren würde.

 

[siggi%%44]

und wenn dir der store eine banking-app anbietet, die zwar gefälscht, aber signiert ist?

Die Signatur der App besteht aus mehreren Teilen. Zum einen eine einzigartige Signatur (Hash) des Entwicklers und zum anderen wird der Inhalt der App auch mit einem Hash signiert. Die Signatur lässt sich nicht fälschen und daher ist es unmöglich, dass jemand mit der gefälschten Signatur des Entwicklers eine App im Store anbietet. Google verwaltet die Signaturen der Entwickler. Zwei gleiche Signaturen unter zwei verschiedenen Konten sind absolut ausgeschlossen.

bzw. muss die nichtmal signiert sein

Doch, weil sonst dein Paket Installer die Installation verweigert.

Ergänzung (30. Juli 2024)

Du kannst die Signaturen online, mit einer App oder mithilfe der Commandline checken. Außerdem kannst du die APK auch als ZIP-Archiv öffnen (denn nichts anderes ist eine APK) und die Hashes in /META-INF/* checken.

 

[FR3DI]

@0x8100
Jetzt willst du es aber Wissen?

Ich hatte es schon erwähnt, die APKs lädt der Aurora Store von den offiziellen Servern. Das dies möglich ist, sollte z.B.: auch von hier bekannt sein.

Ja, anderes Thema?

dass jemand mit der gefälschten Signatur des Entwicklers eine App im Store anbietet.

So, mehr mussten wir nicht Wissen. Betrifft natürlich nicht jene Webstores, nennen wir sie so?

Gruß Fred.

 

[0x8100]

Die Signatur lässt sich nicht fälschen und daher ist es unmöglich, dass jemand mit der gefälschten Signatur des Entwicklers eine App im Store anbietet. Google verwaltet die Signaturen der Entwickler. Zwei gleiche Signaturen unter zwei verschiedenen Konten sind absolut ausgeschlossen.

und was hindert einen malicious app-store daran, die app zu manipulieren und mit einem anderen cert zu signieren? wie bereits gesagt, fällt das bei einer erstinstallation gar nicht auf und installierte apps kann ein manipulierter app-store ersetzen.

Ich hatte es schon erwähnt, die APKs lädt der Aurora Store von den offiziellen Servern.

das machen sie heute. wer garantiert dir, das das morgen auch noch so ist? es gab schon (auch open-source) projekte genau mit diesem problem, dass solche "funktionalität" erst später eingeschleust wurde.

 

[siggi%%44]

und was hindert einen malicious app-store daran, die app zu manipulieren und mit einem anderen cert zu signieren?

Nichts. Jede gemoddete App entspricht diesen Kriterien. Aber sie würde sich über den Play Store nicht updaten lassen und spätestens, wenn die Signatur gecheckt wird, fällt es ja auf. Daher keine Apps aus fremden Quellen installieren, dann passiert auch nichts. Falls doch, sollte man halt Ahnung haben oder man muss das Risiko eingehen.

 

[FR3DI]

Doch, weil sonst dein Paket Installer die Installation verweigert.

Es sei denn man würde z.B.: durch zusätzliche Modifikationen auch dies entschärfen. Was möglich ist, aber außerhalb dieses Themas liegt.

dass solche "funktionalität" erst später eingeschleust wurde.

Quelle?

@Frank
Ich bitte darum zwecks Beobachtung, jemand wie @siggi%%44 in der Redaktion aufzunehmen. Wäre doch eine sinnvolle Ergänzung.

Gruß Fred.

 

[0x8100]

Daher keine Apps aus fremden Quellen installieren, dann passiert auch nichts. Falls doch, sollte man halt Ahnung haben oder man muss das Risiko eingehen.

und genau das ist der aurora app-store - eine unbekante quelle. hast du persönlich geprüft, ob die apks auch wirklich vom google-server kommen? ich denke nein. die mögen eine hohe reputation haben, aber mein konto vertraue ich denen nicht an.