[ROOT] Google und SafetyNet

[toscha42]

Könnte sein, dass harte Zeiten auf die Halter gerooteter Geräte zukommen.
-----------
Information on the current issues with SafetyNet failing by topjohnwu

Twitter

Resume: Google has now employed a mechanism for SafetyNet that uses the Trusted Execution Environment (TEE) which is tied to the TrustZone (TZ) embedded in your phones chipset to get metadata on your device unlock state from keymaster. There is no known workaround for this, no amount of props hiding or MagiskHide that can workaround this as of right now.

This is a server side rollout so there's no telling when it'll be a problem for you, and some OEMs ship a buggy keymaster implementation that will still successfully pass SafetyNet. However for now the fun is over and soon every root detecting app will have a party. The only solution is to relock your bootloader and in some cases that's not been enough.
-----------

Ciao
Toscha

 

[hagex]

Für die Mitleser noch (maschinell) übersetzt:

Informationen zu den aktuellen Problemen mit dem Scheitern von SafetyNet durch topjohnwu

Twitter

Zusammenfassung: Google hat nun einen Mechanismus für SafetyNet eingesetzt, der die Trusted Execution Environment (TEE) verwendet, die an die in den Chipsatz Ihres Telefons eingebettete TrustZone (TZ) gebunden ist, um Metadaten über den Entsperrstatus Ihres Geräts vom Keymaster zu erhalten. Es gibt keine bekannte Umgehung dafür, keine Menge an Requisiten, die sich verstecken oder MagiskHide, die dies im Moment umgehen können.

Dies ist ein serverseitiges Rollout, so dass man nicht sagen kann, wann es für Sie ein Problem sein wird, und einige OEMs liefern eine fehlerhafte Keymaster-Implementierung aus, die SafetyNet weiterhin erfolgreich durchlaufen wird. Aber für den Moment ist der Spaß vorbei, und bald wird jede Anwendung, die Root-Erkennung betreibt, eine Party veranstalten. Die einzige Lösung ist das erneute Sperren des Bootloaders, und in einigen Fällen war das nicht genug.

 

[Springteufel]

John Wu (@topjohnwu) on Twitter

However, this new update utilizes hardware-based key attestation. It will send an unmodified keystore certificate to SafetyNet servers, verify its legitimacy, and check certificate extension data to know whether your device have verified boot enabled (bootloader status)

deutsch:
Dieses neue Update verwendet jedoch eine hardwarebasierte Schlüsselbescheinigung. Es sendet ein unverändertes Keystore-Zertifikat an SafetyNet-Server, überprüft dessen Legitimität und überprüft die Daten der Zertifikatserweiterung, um festzustellen, ob Ihr Gerät den Start aktiviert hat (Bootloader-Status).

die Änderung führt dazu, dass Geräte mit geöffnetem Bootblock generell auf " unsicher" eingestuft werden.
dadurch gibt es ( derzeit) Probleme bei Bezahlapps, Banking und Streaming Apps.
Wenn ich das Szenario richtig bewerte, wird das über kurz oder lang zum Ende von Custom Roms führen.


mehr Infos zum Problem ( Englisch)
Latest SafetyNet improvements threaten to finally kill Magisk Hide

Hintergrundinfo zu " SafetyNet "
SafetyNet

 

[Kouya1600]

Ja dann kann man sich in zukunft wohl auch nen iphone holen wenn das so weitergeht. Hat auch noch den weiteren vorteil das man weitaus länger mit updates versorgt wird als je ein androide von offizieller Seite, selbst die Pixel/Nexus geräte waren diesbezüglich eher schwach.

 

[Springteufel]

echt jetzt? Apfeltek als Alternative?

 

[Kouya1600]

echt jetzt? Apfeltek als Alternative?

Ja wenn es so weitergeht mit google muss man das.
Beispiel android hersteller bieten keine updates mehr an, man wird selbst fündig und als dank kann man nicht mehr alles nutzen, geht doch mal garnicht. Oder nen ganz alten schinken nehmen und hier mit AOSP arbeiten, die sollten die entsprechende Hardware noch nicht haben, oder werden solche Geräte schon prinzipiell als unsicher markiert?
Betrifft mich zwar garnicht, unter anderen weil ich onlinebanking mit SMS Tan nutze und hierfür ein Nokia 6280 und/oder ein Sony Ericsson V630i nutze.
Und ich vermute ganz stark das Google es inzwischen ein wenig bereut android Opensource gesetzt zu haben, so kommt es mir zumindest vor, weil android mehr und mehr eingeschränkt wird seitens google/hersteller, Huawei allen vorran, stichwort gelockter bootloader.

 

[toscha42]

Nein, muss man nicht.
Ein iPhone/iPad ist in Summe immer noch dysfunktionaler als ein Androide mit geschlossenem Bootloader und ohne Root-Rechte. Ja, mir würde Root auch fehlen, allein schon weil bei den meisten mir bekannten Geräten lokale Fonts nur mittels Root installiert werden können. Der Zwang zum geschlossen Bootloader wäre natürlich deutlich ärgerlicher, das bedeutete wohl wirklich das Ende der Custom ROMs. Aber selbst davon ginge die Welt nicht unter, sie wäre nur etwas weniger bunt.

Ciao
Toscha

 

[VegaSA]

Trotz fehlgeschlagener Prüfung kann ich weiterhin meine Banking Apps benutzen. Ebenso Google Pay.
Oder ist das nur eine Frage der Zeit bis das ganze nicht mehr funktioniert?

Und nützt es überhaupt was wenn man das Gerät (z.B. Redmi Note 7) wieder auf Stock Zustand bringt?

 

[toscha42]

Es liegt letztlich in der Entscheidung der jeweiligen Bank, ob sie auf Root / geöffneten Bootloader überprüft oder nicht. Dass eine Banking-App derzeit noch funktioniert, meine (ING) tut das ebenfalls noch, ist aber kein Garant dafür, dass das auch zukünftig funktionieren wird.

Ciao
Toscha

 

[Springteufel]

aufgrund der bisherigen Situation tut sich Android im Buisinessbereich immer noch schwerer. ( Merkelphone wurde auch gehackt!)
da Blackberry nun keine neuen Geräte mehr anbietet, tut sich da eine Lücke auf, die man m.M.n. nun nutzen möchte.
Dazu ist es nötig, die Sicherheit der Geräte weiter zu erhöhen.
Ein erster Schritt war die Verweigerung des BB Unlock von Huawei. Dazu wurde von Samsung noch die E-Fuse eingeführt.
Zusammen mit dem SafetyNet Zertifizierungssystem hat man nun HW technisch alle Voraussetzungen dieses Ziel auch zu erreichen.

E-Fuse defekt = Gerät ist raus! Software kann man ( immer ) hacken, HW offensichtlich nicht.

 

[Dr.No]

Dann doch lieber ein Librem5 mit Linux-Support.

 

[cosmic_child]

Guten Morgen,
Kleine blöde Frage. Welcher Google Dienst würde geupdatet und kann ich das verhindern? Mit titanium oder so? Hintergrund. Hab auf meinem 2handy (Aquarius x2 mit Android 9) im Auto tomtom mit aa mirror laufen und das soll auch möglichst lange so bleiben.
Cu cosmic

 

[Dr.No]

Das wird servseitig bei Google geblockt, da es keine App-Updates dazu gab.

 

[cosmic_child]

Ja ok, aber die Apps müssen doch den Saft net Status prüfen? Und die brauchen einen Update wenn sie das Z Z nicht tuen

 

[Kouya1600]

ABer anscheinend ist die neue Lösung seitens Google auch noch nicht 100% sicher.
Note 9 mit Ambasadii Rom 8 =CTS PROFILE: False
Note 4 mit Racerom 13 =CTS PROFILE: True

 

[Wattsolls]

Mein Doogee Max mit uralt Android 7 zeigt mir auch noch CTS PROFILE: True .
Kommt aber für die alten Versionen vielleicht später.

 

[Hunu4]

An meinen Note 5 (whyred) gehts auch noch. Habe gelesen, dass es auch weiterhin geht wenn euer Smartphone den "TrustZone (TZ) embedded in your phones chipset " nicht hat. Wurde erst Pflicht bei Geräten die mit Android 8 released wurden, mein Note 5 wurde ja ursprünglich mit 7.1.2 released.

Once hardware-level key attestation is widely enforced for SafetyNet, most devices with unlocked bootloaders running Android 8.0 Oreo or higher will fail to pass SafetyNet’s Basic Integrity check. This is because all devices that launched with Android 8.0 Oreo or higher are required to have a hardware keystore implemented in a TEE.

Quelle: Magisk may no longer be able to hide bootloader unlocking from apps

 

[Wattsolls]

Nun zeigt mir auch mein Android 10 mit offenem Booloader plötzlich wieder CTS PROFILE: True .
Wer soll da noch durchblicken.

 

[Springteufel]

dann empfehle ich nochmals das Studium der Funktionsweise
SafetyNet

 

[Hunu4]

Ja hab eben schon gelesen, dass Google die SafetyNet Änderungen erstmal wieder zurück genommen hat.