Pixel 7 bzw. Bootloader für GrapheneOS Installation, lässt sich nicht unlocken

[TECC]

Hallo zusammen,

ich bin gerade dran ein Pixel 7 mit GrapheneOS auszustatten. Problem, ich kann den Bootloader nicht entsperren.

Ich gehe nach diesem Guide vor: https://grapheneos.org/install/web ich habe auch schon die Manuelle Variante über die Power Shell veruscht, ohne Erfolg. Bei ersterem sagt er mir "No Device Found", nachdem ich in den Bootloader boote, das mitgelieferte USB C Kabel einstecke, auf Unlock klicke, obwohl ich die USB Debugging und Devoloper Optionen alle so eingestellt habe. Auch den USB Treiber wie auf der Seite angegeben wollte ich isntallieren Win10 sagt mir, es sei schon der aktuellste druaf.

Normalerweise sollte mein Pixel 7 erscheinen, was ich dann verbinden kann.

Was kann ich also noch tun, damit ich das Geräte bzw. den Bootlaoder Entsperren kann?
Das Gerät ist ohne Vertrag gekauft, also nichts gesperrt o.ä
Es scheint so, als würde Win10 kein Gerät finden im Bootloader Menü. Im Sysetem selber muss ich erst auf "Akku Laden" klicken, dann Datentransfer auswählen, damit er das Gerät erkennt. Im Bootloader geht das ja nicht.


Danke

 

[deollz]

Moin, aktuelle "platform tools" installiert ?

welche ausgabe kommt bei "adb devices"

OEM unlock aktiviert ?

 

[Tanzmusikus]

Wenn's mit Windows nich funzt, dann probiere es mit Linux (z.B. Ubuntu).
apt install adb ... bzw. ... sudo apt install adb

Danach noch in Android "Entwickler-Modus" und "USB debugging" aktivieren.
Smartphone an PC, Tablet oder Laptop anschließen.
Nun die Befehle nach Anleitung eingeben.

 

[siggi%%44]

No Device Found

= Treiberproblem
Was sagt der Gerätemanager? Dort müsste das Pixel als "Android Bootloader Interface" auftauchen. Falls nicht, im Gerätemanager oben in der Menüleiste auf "Aktion" > Legacyhardware hinzufügen > weiter > Hardware manuell aus... + weiter > in der Liste nach "Android Device" oder "LeMobile Android Device" suchen

Ergänzung (27. Mai 2023)

welche ausgabe kommt bei "adb devices"

nix, weil er im Fastboot Mode ist

 

[TECC]

im Gerätemanager oben in der Menüleiste auf "Aktion" > Legacyhardware hinzufügen

Hi, danke für die Anleitung, dort finde ich allerdings nur "Hilfe". mehr nicht.

 

[siggi%%44]

Die grundlegende Frage ist ja, wie wird das Gerät angezeigt im Gerätemanager?

 

[TECC]

Unter Tragbare Geräte > Pixel 7 pro, nachdem ich fest eingestellt habe, dass er den Datenaustausch zulassen soll.

Android Device oder LeMobile finde ich nicht, lediglich SAMSUNG Android Phone. Wenn ich dies installiere, steht dort SAMSUNG Android ADB Interface und hat ein gelbes Warnzeichen.

Im Bootloader und dann über den unlock auf der seite kommt wieder, gerät nicht gefunden. im Gerätemanager ist dann auch das Pixel7 pro wenn ich im bootloader bin verschwunden.

 

[siggi%%44]

Unter Tragbare Geräte > Pixel 7 pro, nachdem ich fest eingestellt habe, dass er den Datenaustausch zulassen soll.

Android Device oder LeMobile finde ich nicht, lediglich SAMSUNG Android Phone.

Wenn das Handy im Fastboot Modus ist, nicht wenn es normal gebootet wurde.

Ergänzung (29. Mai 2023)

Das Handy wird doch im Fastboot Modus nicht erkannt, oder?

 

[TECC]

Das Handy wird doch im Fastboot Modus nicht erkannt, oder?

Wenn ich im Fastboot Modus bin, steht jetzt prixel 7 pro mit gelben warnhinweis unter "andere Geräte", gehe ich dann über legacy, kommt dasselbe, kein android device oder LeMobile, lediglich Samsung Phone android ADB.

Ergänzung (29. Mai 2023)

Update:

Ich habe jetzt den auf der GrapheneOS Seite pixel 7 treiber auf google herunter geladen und dieses dann über aktualisieren manuell angegeben, jetzt erkennt er es

 

[siggi%%44]

Rechtsklick.auf das gelbe Warnsymbol und "Treiber aktualisieren". Falls das nicht hilft, Treiber/Gerät deinstallieren > Neustart > Windows Update nach Aktualisierungen suchen lassen.

 

[TECC]

Hat funktioniert, bin am flashen über den webinstaller, vielen dank nochmals.

PS: Über die powershell konnte er einen Befehl nicht verstehen, darum habe ich jetzt den webinstaller genommen, ist doch auch i.o. oder gibts da nachteile?

Achja, wie update ich das system eigentl. am einfachsten, da kommen ja immer wieder neue versionen raus.

 

[TECC]

Noch eine Frage zum Abschluss:

Was ist denn die Auditor App in GrapheneOS? Verstehe ich nicht ganz. Hat es damit was zu tun, dass das Gerät nicht "Zertifiziert" ist, z.B. geht keine Neflix App. Oder ist dies etwas anderes?

 

[siggi%%44]

Quelle: https://github.com/GrapheneOS/Auditor/releases

Übersetzt mit www.DeepL.com/Translator (kostenlose Version):

Die Auditor-App verwendet Hardware-Sicherheitsfunktionen auf unterstützten Geräten, um die Integrität des Betriebssystems eines anderen Android-Geräts zu überprüfen. Sie prüft, ob auf dem Gerät das Standard-Betriebssystem mit gesperrtem Bootloader ausgeführt wird und ob das Betriebssystem nicht manipuliert wurde. Auch Downgrades auf eine frühere Version werden erkannt.

Es kann nicht durch Modifizierung oder Manipulation des Betriebssystems umgangen werden, da es signierte Geräteinformationen von der vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) oder dem Hardware-Sicherheitsmodul (Hardware Security Module, HSM) des Geräts erhält, einschließlich des verifizierten Boot-Status, der Betriebssystemvariante und der Betriebssystemversion. Die Verifizierung ist nach dem ersten Pairing wesentlich aussagekräftiger, da sich die App in erster Linie auf Trust On First Use über Pinning stützt. Sie verifiziert auch die Identität des Geräts nach der ersten Verifizierung. Das Vertrauen wird über das verifizierte Betriebssystem an die App weitergegeben, um Softwareprüfungen durchzuführen, deren Ergebnisse in einem separaten Abschnitt angezeigt werden.

 

[TECC]

Ja - ich frage mich allerdings was es mit dem "Device is not certified" unter Play Protection certification im Play Store zu tun hat. Dachte erst das hat was mit dem Auditor zu tun.

Ich kann mir zwar z.B. die Netflix App über den Aurora Store herunterladen, aber was das mit der Zertifizierung soll, weiß ich nicht. Weil es eine Custom Version ist?

 

[siggi%%44]

Durch den geschlossenen Bootloader wird ein sicheres, nicht modifiziertes Betriebssystem gewährleistet.

Der Bootloader lädt das boot.img mit Kernel und Ramdisk (/root) in deinen RAM, woraufhin das System gebootet wird. Parallel dazu startet ein Verifizierungsprozess (AVB = Android Verified Boot), der vom Bootloader initiiert wird und mit SHA-Prüfsummen arbeitet. Der Bootloader verifiziert das boot.img, das boot.img die Partition /vendor. Diese enthält die Dateisystemtabelle (fstab), die festlegt, wie die weiteren Partitionen gemountet werden, z.B. schreibgeschützt oder verschlüsselt. Sie enthält auch Einträge, ob andere Partitionen wie /system verifiziert werden müssen.

Nach erfolgreicher Ausführung von 'fastboot flashing unlock', wird eine Systemeigenschaft des Bootloaders geändert: ro.boot.verifiedbootstate. Diese sog. Property wird von =green (gesperrt) auf =orange (entsperrt) oder =red (Betriebssystem korrupt/beschädigt) gesetzt. Alles außer =green deaktiviert AVB. Außerdem ist diese Property im lfd. System lesbar. Stellt auch das System fest, dass dein BL entsperrt und AVB deaktiviert ist, wird u.a. SafetyNet getriggert und stuft das gesamte System als kompromittiert ein. Bedeutet, keine OTAs (je nach Hersteller) und keine Zertifizierung des Play Stores. Der Play Store ist nicht nur ein App Shop, sondern verwaltet auf Systemebene auch alle deine Apps.

Keine Zertifizierung heißt also, dein System ist nicht vetrauenswürdig, weil es modifiziert ist oder sein könnte. Diese Zertifizierung wirkt sich auch auf die Kompatibilität gewisser Apps aus, die ein hohes Maß an Sicherheit voraussetzen, wie z.B. Banking Apps.
BTW: Magisk schafft hier Abhilfe, indem u.a. während des Bootvorgangs ro.boot.verifiedbootstate=green gesetzt wird. Somit denkt Android, alles ist in Ordnung, BL ist gesperrt.

Das sind jetzt nur grob die Zusammenhänge und insbesondere die SafetyNet-API ist um ein vielfaches komplizierter aufgebaut.

Da GrapheneOS natürlich die gesamte Verifizierung nicht nach Google-Standard 1:1 umsetzen kann, wurde - so vermute ich persönlich - die Auditor App als Abhilfe dafür entwickelt. Denn GrapheneOS bietet nun mal ein sicheres Betriebssystem, dass nicht modifiziert ist. Generell kann man das von jeder ROM behaupten, die nicht wie eine Custom ROM nur /system und /vendor ersetzt und somit nur eine überarbeitete UI bereitstellt, sondern wirklich die komplette Firmware des Modells ersetzt, inkl. BL.

 

[TECC]

und keine Zertifizierung des Play Stores. Der Play Store ist nicht nur ein App Shop, sondern verwaltet auf Systemebene auch alle deine Apps.

Der Bootloader steht auf "Locked" Banking App geht, nur im Play Store steht bei "Play Protect certification"-> "Devise is not certified".

Alles geht wie es soll, nur die Netflix App nicht. Im Play Store steht "This app wont work with your Device".
Dies geht auch nicht auf einem Normalen Pixel 7 mit Stock Android, so wie ich das im netz lese.

Das mit der Auditor App habe ich immernoch nicht so richtig verstanden.