ComputerBase Menü
Aktuelles

Lineage OS und Banking app

Diese Artikelserie über Custom ROMs und deren Sicherheit, insbesondere bzgl. LineageOS, zeigt ganz deutlich, dass dieser Kuketz über keinerlei technischen Sachverstand verfügt!
 
@siggi%%44
Magst du das vielleicht konkreter ausführen?
Kuketz genießt in der Szene eigentlich einen guten Ruf. Mich würde interessieren, wie du zu diesem Schluss kommst. Dass er keinerlei technischen Sachverstand habe, ist objektiv bewertet übrigens völlig absurd. Dem widerspricht allein sein Portfolio.
 
Man kann LineageOS nicht mit Custom ROMs vergleichen, die einen völlig anderen Aufbau/Struktur haben, wie z.B. iodeOS oder GrapheneOS. Letztere ersetzen die gesamte Firmware inkl. Bootloader und haben dadurch völlig andere Voraussetzungen bzgl. Sicherheit, v.a. was Android Verified Boot betrifft. Außerdem bedienen diese ROMs nur eine handvoll von Modellen, während LineageOS geschätzt 95% aller Smartphones der letzten 5 Jahre supportet. Dazu zählen auch die inoffiziellen Builds, die ebenso von denselben Entwicklern bei XDA angeboten und gepflegt werden, die auch die offiziellen Builds verwalten.
Es kommt nicht von ungefähr, dass gerade iodeOS und GrapheneOS hauptsächlich in vollem Umfang die Pixel-Serie von Google unterstützen. Diese Modelle verfügen über einen Bootloader, der keinerlei Restriktionen aufweist und dessen Quellcode noch sehr leicht aufgeschlüsselt werden kann, falls nötig und nicht quelloffen. Andere Hersteller, z.B. Xiaomi oder Motorola, haben strenge Restriktionen und deren Code ist nicht bekannt.
Dieser Umstand wird nicht mal erwähnt in seinen Artikeln!

LineageOS wird darüber hinaus noch zur Last gelegt, Updates, im Gegensatz zu den anderen ROMs, zu spät anzubieten und diese auch nicht automatisch zu installieren. Die anderen ROMs können die Updates für ihre 10-15 Modelle natürlich wenige Tage später schon anbieten. Aber dass LineageOS dafür 2-3 Wochen braucht, ist alles andere als "zu spät", wenn man berücksichtigen würde, für wie viele Modelle diese angeboten werden! Diese sollten sich auch bitte unter keinen Umständen selbst installieren. Die meisten User, die LOS installiert haben, könnten durch Magisk oder andere Modifikationen nach einem "Zwangsupdate" ihr Phone nicht mehr benutzen, bis sie vor einem PC sitzen. Das wissen die Devs von LOS selbst sehr gut, aber nicht Mike Kuketz. Zumindest könnte man das auch mal erwähnen, bevor man deswegen eine ROM schlecht macht.

LineageOS will Google ausschließen und gleichzeitig Features und Mods zugänglich machen, damit User etwas mehr Spaß mit ihrem OS haben. Niemand hat je behauptet, LOS wird entwickelt, um den perfekten Datenschutz und absolute Sicherheit zu bieten. Aber LOS kann die Grundlage dazu bieten, wenn der User es möchte. Denn dann kann er sich die Tools und Mods mithilfe anderer Optionen wie Magisk dafür installieren. Aber man kann ganz sicher nicht von LOS erwarten, eine komplette Firmware inkl. Bootloader für alle Modelle, die (in-)offiziell unterstütz werden, bereitzustellen. Das ist nicht möglich.
Aber das wird den Lesern nicht vermittelt, sondern nur das Gefühl, LOS sei unsicher und das bleibt leider bei den Lesern auch hängen. Technische Hintergründe werden einfach nicht erwähnt. Sie werden gezielt dann weggelassen, wenn es nicht dem Zweck dient und das ist Meinungsmacherei!

Der fehlende Sachverstand spiegelt sich auch in einer Vielzahl seiner "Verbindungsanalysen" wider. Einfache Abfragen des Herstellers, die der reinen Kommunikation dienen, werden als unerwünschte Verbindungen zu Dritten(!) eingestuft und als hochgradig gesetzeswidrig bewertet.
Andere Verbindungen werden ohne jegliches Wissen darüber, wofür sie überhaupt gemacht werden, alleine aufgrund ihres Namens interpretiert und bewertet. Bsp.: Tauchen irgendwo in Verbindungen Begriffe wie "analytics" auf, geht dieser Mann sofort und ohne weitere Recherche davon aus, dass ganz empfindliche Userdaten abgegriffen werden. Dabei kann man problemlos über Google in 2 Min. herausfinden, dass das absolut nichts damit zu tun hat. Er wirft sofort mit irgendwelchen Datenschutzgesetzen um sich und verklagt das Unternehmen im Geiste schon, obwohl alles völlig legitim ist.

Mir geht auch das ständige Schlechtmachen von Google auf den Keks! Natürlich sind das keine Heiligen. Aber so schlecht, wie er sie darstellt, sind sie bei weitem nicht und manchmal können sie auch gar nichts dafür, was ihnen angekreidet wird.
 
Wie lange wird es nun aber dauern, bis die insgesamt 68 behobenen Schwachstellen vom April-Update in iodéOS einfließen? Zwei der Schwachstellen (CVE-2023-21085, CVE-2023-21096) sind als kritisch eingestuft, da sie Angreifern ermöglichen, Schadcode auszuführen.
Zum Vergrößern anklicken....
Diese Stelle ist ziemlich weit unten im oben verlinkten Artikel zu finden und ein perfektes Beispiel dafür, wie durch unsachgemäßen Umgang mit Informationen unnötig Angst verbreitet wird. Auf diesem Planeten gibt es kein einziges Modell, dass von allen 68 Patches betroffen ist. Es sind sogar deutlich weniger Schwachstellen, die auf einzelne Modelle zutreffen.
Zudem sind auch noch die beiden erwähnten Schwachstellen nur unter Vorbehalt als kritisch einzustufen und zwar dann, wenn gewisse Schutzmechanismen deaktiviert wurden. Das trifft aber nur auf Entwickler zu, wie Google es auch ganz deutlich schreibt. Also für den normalen Nutzer nicht in dem Sinne relavant, wie Mike Kuketz es den Leuten verkauft.

Ich kann nicht sagen, ob es Vorsatz ist oder reine Faulheit, weil er den Text nicht lesen will, der dabei steht. Aber es ist und bleibt Quatsch, was er da schreibt!

https://source.android.com/docs/security/bulletin/2023-04-01?hl=en
Ergänzung ()

Wichtig wäre auch noch zu erwähnen, dass diese "kritischen Schwachstellen" mal wieder nur rein theoretischer Natur sind und wie bei allen anderen 99% der Patches gar kein realer Exploit existiert und vermutlich auch nie existieren wird.
 
Der Kabelbinder schrieb:
Dass er keinerlei technischen Sachverstand habe, ist objektiv bewertet übrigens völlig absurd
Zum Vergrößern anklicken....
Aus seinem Artikel: https://www.kuketz-blog.de/verkehrs...ng-ohne-einwilligung-deutschlandticket-teil4/

Code: 
POST /piwik.php HTTP/1.1
Content-Type: application/json
charset: utf-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: piwik.hacon.de
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 3092

{
   "requests":[{
      "?idsite=75
      &send_image=0
      &res=1080x1920
      &_cvar={
         "1":["Platform","Android"],
         "2":["OS version","10"],
         "3":["App version","4.7.3 (59)"]
      }
      &_idvc=1
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=7424
      &rec=1
      &apiv=1
      &_idts=1683614241
      &cdt=2023-05-09 08:37:21+0200
      &_id=26241e8b787a4f0c
      &new_visit=1
      &lang=de",
      "?idsite=75
      &send_image=0
      &res=1080x1920
      &e_a=off
      &e_c=accessibility-screenreader-used
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=7638
      &rec=1
      &apiv=1
      &cdt=2023-05-09 08:37:21+0200
      &_id=26241e8b787a4f0c
      &lang=de",
      [...]
   ]
}

Es werden UIDs/IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Matomo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Immerhin verwendet man Matomo – aber auch bei der quelloffenen Analyse-Alternative ist nach § 25 TTDSG die Einholung einer Einwilligung erforderlich.
Zum Vergrößern anklicken....
Wo sieht er oben "UIDs/IDs"?? Er schreibt von mehreren IDs! Man sieht ganz genau 1 ID: 26241e8b787a4f0c
Vielleicht meint er noch den Timestamp 1683614241, obwohl "idts:" in Verbindung mit dieser auffälligen Zahl mehr als eindeutig nicht auf eine ID hinweist. Wenn es nicht der Timestamp ist, frage ich mich von welchen IDs sonst die Rede sein soll?
Die ID 26241e8b787a4f0c ist übrigens eine von der App selbst generierte Android ID: https://android-developers.googleblog.com/2017/04/changes-to-device-identifiers-in.html?m=1

Daten werden an Matomo übermittelt? Hätte er sich die Datenschutzerklärung durchgelesen, wüsste er auch, dass hier von einer Software die Rede ist, die eine Websiteanalyse betreibt und die ihre Daten lokal speichert. Passiert auch hier und woanders auch.

Wie man also sieht, ist in seinem Verbindungsmitschnitt NICHTS zu finden, das gegen irgendwelche Gesetze oder Verordnungen verstößt. Somit ist der gesamte Absatz dazu auch völliger Blödsinn. Jedem Menschen, der ein bisschen nachdenkt und sich dazu noch regelmäßig seit Jahren damit befasst, muss das doch auch auffallen! Es muss ihm doch klar sein, dass seine genannte ID bei jeder App eine andere ist. Wenn auch mal rein zufällig nach all den Jahren... Aber es muss auffallen!
 
Danke für die ausführliche Antwort. Damit kann man sich schon eher eine Meinung bilden. 👍
 
siggi%%44 schrieb:
Aus seinem Artikel: https://www.kuketz-blog.de/verkehrs...ng-ohne-einwilligung-deutschlandticket-teil4/
...
Wo sieht er oben "UIDs/IDs"?? Er schreibt von mehreren IDs! Man sieht ganz genau ...
Zum Vergrößern anklicken....

Könnte es sein, das sich die Plural eher auf die Matomo API bzw was an deren Server ankommt bezieht und nicht auf das Einzelfall Beispiel an dem du dich dann ja so ausgiebig abarbeitest? Ohne da beim Author nachzufragen, ist das erstmal nur deine Interpretation. Er analysiert hier ja nicht dieses Phone, sondern die App, mit diesem Phone als Fallbeispiel.
Wenn ich mir diesen und andere Artikel von ihm ansehe, würde ich ihm zumindest keinen fehlenden technischen Sachverstand unterstellen. Ob er "der Oberexperte" ist oder nur einer von vielen, kann ich nicht einschätzen.
Auch für das (richtige) lesen von Texten muss man manchmal Fähigkeiten mitbringen ;-)
 
@vander Das ist die Verbindungsauswertung...

Code: 
POST /piwik.php HTTP/1.1
Content-Type: application/json
charset: utf-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: piwik.hacon.de
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 3092

{
   "requests":[{
      "?idsite=75
      &send_image=0
      &res=1080x1920
      &_cvar={
         "1":["Platform","Android"],
         "2":["OS version","10"],
         "3":["App version","4.7.3 (59)"]
      }
      &_idvc=1
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=7424
      &rec=1
      &apiv=1
      &_idts=1683614241
      &cdt=2023-05-09 08:37:21+0200
      &_id=26241e8b787a4f0c
      &new_visit=1
      &lang=de",
      "?idsite=75
      &send_image=0
      &res=1080x1920
      &e_a=off
      &e_c=accessibility-screenreader-used
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=7638
      &rec=1
      &apiv=1
      &cdt=2023-05-09 08:37:21+0200
      &_id=26241e8b787a4f0c
      &lang=de",
      [...]
   ]
}

...die so dargestellt wird:

Es werden UIDs/IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Matomo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Immerhin verwendet man Matomo – aber auch bei der quelloffenen Analyse-Alternative ist nach § 25 TTDSG die Einholung einer Einwilligung erforderlich.
Zum Vergrößern anklicken....

Der Autor bezieht sich explizit auf die angegeben Daten, die bei der Verbindung abgefragt werden.

vander schrieb:
Ohne da beim Author nachzufragen, ist das erstmal nur deine Interpretation.
Zum Vergrößern anklicken....
So eine Analyse inkl. Auswertung in einem Artikel sollte keinen Spielraum für irgendwelche "Interpretationen" lassen, weder beim Autor noch beim Leser. Wenn man "UIDs/IDs" schreibt, dann ist das ganz deutlich der Plural. Schon alleine der Slash unterscheidet zwischen zwei Arten der Identifikation, die dazu noch einzeln im Plural stehen. Der Aussage nach, werden also mehrere UIDs und mehrere IDs abgefragt.
Ergänzung ()

vander schrieb:
Wenn ich mir diesen und andere Artikel von ihm ansehe, würde ich ihm zumindest keinen fehlenden technischen Sachverstand unterstellen.
Zum Vergrößern anklicken....
Wenn jemand 1:1 LineageOS mit GrapheneOS in puncto Sicherheit, insbesondere bzgl. Android Verified Boot, miteinander vergleicht, dann fehlt dieser Person der technische Sachverstand. Das ist Fakt und wird schon alleine durch den Aufbau beider ROMs bestätigt. Ebenso die Bereitstellung der monatlichen Patches ist nicht vergleichbar. GrapheneOS stellt Patches 1-2 Tage nach Release zur Verfügung und bedient dabei eine handvoll von Modellen, überwiegend Pixel-Geräte. LineageOS bedient hunderte von Modellen jeglicher Hersteller. Gehe ich alleine nur davon aus, welche Zeit die Kompilierung der Builds in Anspruch nimmt, ist ein Release der Patches innerhalb dieser kurzen Spanne faktisch unmöglich. Dabei ist nicht berücksichtigt, dass GrapheneOS überwiegend Pixel-Geräte unterstützt, deren Firmware ohnehin fast 1:1 dem AOSP entspricht. Nicht umsonst sind Beta Builds bei TWRP & Co. nach einer tiefgreifenden Änderung der Systemstruktur von Android (z.B. System-As-Root, A/B-Partitionsschema) zuerst für Pixel-Geräte verfügbar. Diese Modelle sind nun mal am einfachsten aufgebaut hinsichtlich der Firmware.

Zumindest eine korrekte technische Einordnung, die seine Aussagen relativiert, wäre mehr als fair gegenüber LineageOS, wenn er sie dadurch schon negativ bewertet. Aber vielleicht lese ich ja auch seine Artikel nicht richtig... Entweder ist das auf mangelnden technischen Sachverstand zurückzuführen oder auf Meinungmacherei, weil er entscheidende Details bewusst weglässt, um sie schlecht dastehen zu lassen. Alles in einem verzerrt es die Realität und bildet Meinungen, die falsch sind.
 
Zuletzt bearbeitet:
@siggi%%44

Bitte mal beim Thema bleiben!

Nur weil du TWRP nutzt müssen das die anderen nicht auch zwangsläufig!

Der TE fragte ob seine banking app mit "LinageOS" problemlos läuft.
Und du schreibst über jede Menge Firlefanz, völlig am Thema vorbei.

Nur auf sehr wenigen Geräten kann iodeOS oder GrapheneOS installiert werden und nicht jeder ist ein hardcore Google Gegner und mag auf die einfache Google Bedienung und seine Vorzüge verzichten.

Also BITTE zurück zum Thema!

Ich habe hier noch ein Redmi 4x von 2017!
Das letzte offizielle Xiaomi update war Android 7! Dafür gibt es auch kein GrapheneOS oder vergleichbares.

Aber es läuft mit LineageOS 21, Android 14! Die Updates kommen manchmal im 2 Wochen Takt und das Gerät ist verschlüsselt! Ich nutze kein root und kein magisk.

Das einzige was für mich daran auszusetzen gibt ist dass die camera nicht mehr so gute Bilder macht, wie mit jedem anderen Custom ROM auch, das lässt sich leider nicht vermeiden.

Da ich es aber nicht für banking benutze kann ich die Frage nach den banking Apps nicht beantworten.

Ansonsten ein Top ROM Ersatz!

Vielleicht kann ja noch der ein oder andere sich auf das Thema beschränken und schreiben ob banking apps mit "LinageOS" laufen. Mich persönlich würde interessieren ob sie ohne root drauf laufen. Extra installieren und Schlüssel der Banken anfordern möchte ich jetzt nicht dafür.
 
infopoint schrieb:
Extra installieren und Schlüssel der Banken anfordern möchte ich jetzt nicht dafür
Zum Vergrößern anklicken....
Wenn, crasht die App beim Start. Dazu ist keine Anmeldung erforderlich.


infopoint schrieb:
Und du schreibst über jede Menge Firlefanz, völlig am Thema vorbei.
Zum Vergrößern anklicken....
1. Zwingt dich keiner, es zu lesen.
2. siehe:
Der Kabelbinder schrieb:
@siggi%%44
Magst du das vielleicht konkreter ausführen?
Zum Vergrößern anklicken....
Also...


infopoint schrieb:
und schreiben ob banking apps mit "LinageOS" laufen
Zum Vergrößern anklicken....
installier es einfach und dann musst du dir nicht jede Menge Firlefanz durchlesen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Von Lineage OS auf z.B. Xiaomi.eu umsteigen - Was beachten?
Antworten
9
Aufrufe
1.063
Gelöscht 865248
G
B
  • Gesperrt
Erst Banking App Root Check umgangen, aber jetzt wird es erkannt
Antworten
5
Aufrufe
1.262
BFF
BFF
E
Pixel 3a: Lineage OS 19.1 Gapps fail
Antworten
3
Aufrufe
1.571
siggi%%44
S
Brati23
Lineage OS 18.1 oder /e OS mit Exchange-Dienste
Antworten
9
Aufrufe
3.033
Brati23
Brati23
2
Banking-Apps "sicher"?
2
Antworten
31
Aufrufe
5.803
BeBur
B

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz