Android device integrity failed

A Google újabban explicite blacklisteli a LineageOS romokat kernelstring alapján ami miatt most elhasal a telóm a play device integrity teszten, sok év megfelelés után. Bár xda reportok alapján ez relative könnyen megkerülhető lenne, nálam betelt a pohár. Ha egy szolgáltatás ellenem dolgozik, akkor inkább nem használom, lemondok a GPay-ről és visszatérek a bankkártyához. Eldöntöttem, ez mostantól elvi kérdés.

Eltűnődtem kicsit, hogy vajon miért akar a Google ennyire megvédeni magamtól? Gondolom attól tartanak, hogy felnyitott telón valahogy ki lehet nyerni a kártyaadatokat, na de miért nem lehet ebből a rendszerből opt-out -olni saját felelősségre? Én nulla közeli egyenleget tartok a bankkártyával elérhető számlámon, nekem megérné a kockázatot. De amúgy is, szerintem százezerből legfeljebb egy csalás történik úgy, hogy felnyitott telóról lopják el a kártyaadatokat valahogy, mégis mitől tartanak..?

( asm v | 2024. 02. 15., cs – 13:23 )

Vagy hogy ne akarj eletben tartani egy regi keszuleket (aminek mar lejart a hivatalos supportja), vegyel ujat -> profit

( Elbandi v | 2024. 02. 15., cs – 15:27 )

ha rootod van akkor lehet adblock, es ugye az neki nemjo. ha unlockos telod van akkor lehet gplay mentes os-t rakni, ami ugye szinten nemjo neki, stbstb

de a 3 eve nem frisssitett telo az very SafetyNet!! :(

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez stimmel, de most ha jól értem, pont használna Google szolgáltatást. OK, a GPay és a GPlay nem ugyanaz, de azért ha az egyiket használná az a szerencsétlen, akkor biztos könnyebb rávenni a másik használatára azzal, hogy engedem, mint azzal, hogy tiltom.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( zeller | 2024. 02. 15., cs – 21:58 )

Szerkesztve: 2024. 02. 15., cs – 21:59

Nem baj, ha nem érted... (Egy főzött ROM-ban bármi is lehet, ha rootolt a készülék, akkor plánebármi lehet rajta/benne, a védett tárhely, az alkalmazások szeparációja vagy igaz rá, vagy sem - ezt a kockázatot mérsékli a Google azzal, hogy az ilyen eszközöket nem engedi be a boltba, nem engedi rájuk felrakni a GooglePay-t sem. Ugyanis a GooglePay esetén rajta _is_ van felelősség, hogy az elvárható gondossággal járt-e el akkor, amikor a szolgáltatást nyújtotta. A failsafe megoldás az, hogy a "franc se' tudja, milyen kotyvasztású OS" eszközökön nem engedi használni az alkalmazást. Ahogy saját chipkártyából, aminek a fw-ét te reszeled/töltöd fel rá sem csinálhatsz bankkártyát.

"Én nulla közeli egyenleget tartok a bankkártyával elérhető számlámon, nekem megérné a kockázatot" - Nem csak nálad van kockázat, ezt azért jó figyelembe venni.

Inkább csak azt bosszant, hogy miért nem lehet saját felelősségre opt-out -olni, semmiféle panasszal nem élhetsz ha nem certifikált eszközön használod és kész. Pl a készülékek jó részénél pl van official mód az unlockra ha (részben) lemondasz a garanciáról. Egyébként betettem a telefontok hátlapja alá a kártyát, a telón kikapcsoltam az nfc-t, így ugyanazzal a mozdulattal fizetek mint eddig, teljesen OK.

Érdekes, hogy mindeközben a rootot tűzzel-vassal detektáló banki appok mennyire nem használják a Play Integrity API-t, ugyanis az összes appom simán működik tovább.

A GPay egy virtuális bankkártyát hoz létre a telefonodon, emiatt a kártyára vonatkozó összes biztonsági követelményt be kell tartania és garantálnia kell. Ha ez a környezet miatt nem lehetséges, akkor az a failsafe megoldás, hogy nem működik a gpay. Ahogy a banknak sem mondhatod, hogy te a saját mágnescsíkos-chipes kártyádra kéred a bankkártya adatokat rápakolni.

Pl a Curve is tud virtuális bankkártyát gyártani miközben azzal sem foglalkozik, hogy rootolt a teló. Ebből kiindulva kötve hiszem, hogy harmadik fél kényszerítené erre a szigorra a Google-t.

A magyarázat talán az, hogy egyrészt ez rétegigény, másrészt a Google nem akar szolgáltatást nyújtani olyan androidon amit nem certifikált, azaz nem garantált hogy a szolgáltatásai olyan formában vannak jelen a telefonon ahogy az neki előnyös. Ugyanezen okból nem adja a Play store-t sem szabadon. Annak ugyan nem nehezíti meg ennyire a használatát mert a nem certifikált platformról beeső dollár is dollár, viszont a GPay-en nem keres, neki csak a macera van vele.

OTP Simple app: simán tudok fizetni NFC-vel ezen a play integrity api-n elhasaló, főzött romos, adb root-os telón trükközés nélkül. Tegnap kipróbáltam.

[...] Ha igen, akkor a rootolt-kotyvasztott rom-on az a Curve fejlesztőinek a felelőssége/kockázata.

Így gondolom én is, hogy a virtuális kártya védelme lényegében az azt kibocsájtató cég felelőssége, úgy valósítja meg ahogy akarja. Épp ezért tudná a Google megcsinálni, hogy engedi a GPay-t nem certifikált eszközön és a felelősséget a juzerre hárítja. Csak nem akarja, mert nem érdeke.

Akkor másképp kérdezem... A virtuális kártya egyedi azonosító kulcsa hol keletkezik, hol tárolódik? Mert a Google Wallet esetén magában a telefonban. És _nem_ a Google nem engedi, hanem a kártya kibocsátására vonatkozó előírások, mert a harmadik fél által összerakott OS-en nem biztosítható a kártyát azonosító egyedi kulcs elvárt védelme. (nagyon leegyszerűsítve a kártyához tartozó kulcspár privát feléről beszélünk, ami chipkártya esetén alapvetően nem nyerhető ki a kártyából.)

Válaszold meg légyszi, mert nem tudom, nem látom a különbséget. Simple esetén szerintem ugyanúgy a telefonon van a generált virtuális kártya minden adata ami kell az nfc fizetéshez vagy tévednék? Működik offline módban, GWallet nélkül. Hogy máshogy működhetne ha nincs meg hozzá minden a telefonon?

Pl a Curve is tud virtuális bankkártyát gyártani miközben azzal sem foglalkozik, hogy rootolt a teló

Ez a baj, hogy nem tudod megkülönböztetni a fizetési eszközök fogalmát. Azt akarod mondani, hogy a CurvePay működik rootolt telefon NFC-jével? Eleve a CurvePay Huawei-re lett kitalálva, annak csökevénye miatt. 

Az, hogy tudsz kártyát csinálni, nem azt jelenti, hogy fizetni is tudsz vele. 

Kipróbálom majd az OTP Simple-t, az úgyis fenn van. De mivel Play API-t használ az NFC-hez, gondolom az sem fog menni.

Viszont ha a Curve appom adatait ellopnák, akkor online fizethetnének a Curve kártyámmal, hiszen a 2FA eszközt uralják. Az nem gáz? Az akkor miért nem tesztel legalább root-ra? Tényleg nem értem, mert még sosem láttam milyen szerződést kell aláírni ezeknek a cégeknek a kártyakibocsájtóval. Első ránézésre nem következetes.

( gelei v | 2024. 02. 16., p – 16:33 )

na de miért nem lehet ebből a rendszerből opt-out -olni saját felelősségre?

Mert az atlag user a legelso problemanal automatikus megnyomja az opt-out gombot, barmirol is legyen szo. Nincs egyenleg a kartyan? Opt-out. Lejart a kartya? Opt-out. Nincs paypass-os terminal a boltban? Opt-out.

Aztan amikor jon az elmaradhatatlan szopas, akkor meg bugos szar google, elloptak miattuk a penzem.

Az opt-out gomb eleve onnan jönne fel, hogy a play device integrity elhasal, szóval az android juzerek azon részéről beszélünk akik meg tudják oldani egy főzött rom telepítését. Ez egy igen szűk kör akik IT területen jóval jártasabbak mint az átlag, a többség megértené, hogy itt miről lenne szó.

( p2pking | 2024. 02. 16., p – 23:20 )

Dehogy akar megvedeni. Neki igy, valamiert nehezebb vagy lehetetlen begyujteni minden adatot rolad.

Amugy joreggelt, a bankkartya ceg is serenyen gyujtoget, csak azt nemtudod romolni.

Every single person is a fool, insane, a failure, or a bad person to at least ten people.

Saját magát _is_ védi, mert mint írtam, egy bankkártya "készül" a telefonon, aminek az elvárt védelmét meg kell oldani. A kotyvasztott rom, a root-olt eszköz erre nem alkalmas, ergo a wallet fejlesztője a saját se&&ét is védi azzal (v.ö.: kellő/elvárható gondosság), hogy nem engedi az alkalmazást ilyen környezetben működni.

A "kártyatársaság gyűjtöget" - Mit? Azon kívül, hogy az x bank által kibocsátott kártyával y helyen z összegű tranzakció történt? A "kihez köthető" nincs ott nála, a "milyen elemekből áll a fizetendő összeg" sincs ott nála...

( tibyke | 2024. 02. 17., szo – 07:16 )

magisk + zygisk + par modul + build.prop finomitas

(poco x3 nfc + los20 latest)

minden megy, pl. wallet/pay, play, ikea, k&h, mcdonalds