Bitte um Test des Netzwerkzugriffs auf einem Gerät mit Android 7

[Yawl]

Wenn ihr noch ein Smartphone oder Tablet mit Android 7 betreibt (am besten 7.0), könnt ihr bitte einmal testen, ob die folgenden Apps bei euch laufen (Netzwerkzugriff):

• Bibel TV - Apps on Google Play
• Live Camera - Apps on Google Play
• Webcams Online - Apps on Google Play

Mein Problem hatte ich hier ausführlich beschrieben. Ich möchte über diesen Weg herausfinden, ob es grundsätzlich an Android 7 liegt oder ob es speziell an meinem Gerät liegt.

Danke vorab.

 

[Klaus986]

@Yawl Android 7.0 ist SDK/API-Level 24. Laut den einzelnen APK-Manifesten der jeweiligen Apps, sind folgende mindest API-Levels Voraussetzung.

Bibel TV: minSdkVersion=21 (Android 5.0)
Live Camera: minSdkVersion=23 (Android 6)
Webcams Online: minSdkVersion=23 (Android 6)

Somit sind alle 3 Apps unter Android 7.0 lauffähig.

 

[prx]

@Yawl Test mit Galaxy Tab S2, Android 7.0, schlug bei alle 3 Apps fehl, keine Verbindung ins Netz. NetGuard zeigt Zugriffe an, die auch nicht davon gesperrt werden. Das TLS der Bibel ist offen genug, um kein Problem darzustellen.

Beiträge automatisch zusammengeführt: 24.03.2024

Die Bibel-App ist vom 28.2.24. Dort nachfragen. Könnte sein, dass deren App-Entwickler den Grund kennt, oder es noch nicht merkte.

Beiträge automatisch zusammengeführt: 24.03.2024

Somit sind alle 3 Apps unter Android 7.0 lauffähig.

Was nicht zwingend bedeutet, dass eine Netzverbindung in der App auch tatsächlich.funktioniert.

 

[Klaus986]

@prx Das nicht, aber die Apps sind wenigstens kompatibel und hätte ein Grund sein können. Vielleicht liegt es auch an den SSL-Zertifikaten unter Android 7? Nur so eine Vermutung.

 

[Yawl]

@prx Danke für den Test. Dann weiß ich zumindest, dass es nicht an meinem Gerät liegt.

@Klaus986 Dass die Apps grundsätzlich kompatibel sind wusste ich. Deshalb bat ich auch bewusst darum, den Netzwerkzugriff zu testen.

Das mit den SSL-Zertifikaten ist eine gute Spur. Kannst du da mehr zu sagen?

 

[Klaus986]

Das mit den SSL-Zertifikaten ist eine gute Spur. Kannst du da mehr zu sagen?

Schau dir diesen Link mal an:
Ab September 2021: Ältere Android-Geräte scheitern beim Laden einiger verschlüsselter Websites | ZDNet.de

Es würde ja auf dich zutreffen, weil alle Geräte, die eine ältere Version als Android 7.1.1 installiert haben, davon betroffen sind.

 

[prx]

@Yawl:
LetsEncrypt certificates fails on Android phones running Android 7 or older
Extending Android Device Compatibility for Let's Encrypt Certificates - Let's Encrypt

 

[Yawl]

@Klaus986 @prx
Danke für die Links. Leider verstehe ich von der Materie nicht viel, aber der Artikel von ZDNet erklärt es ganz gut.
Die beiden anderen Artikel sind für mich schon schwerer zu verstehen.
Eine markante Passage habe ich mal ins Deutsche übersetzt:

IdenTrust hat zugestimmt, ein 3-Jahres-Cross-Sign für unseren ISRG Root X1 von seiner DST Root CA X3 auszustellen.

Die zugehörige Nachricht ist von Anfang 2021. Wenn es also hier um einen 3-Jahres-Plan zur Überbrückung geht, würde dies ja zeitlich hinkommen.
Das würde erklären, warum die Netzwerkzugriffe der genannten Apps bis vor Kurzem noch funktioniert haben.

Wenn ich das richtig verstehe, haben alle Apps, die ein Zertifikat von Let's Encrypt verwenden, keinen Netzwerkzugriff mehr auf Geräten, auf denen eine ältere Android-Version als 7.1.1 läuft.

Im Umkehrschluss müssten also alle Apps, bei denen der Netzwerkzugriff noch funktioniert, ein anderes SSL-Zertifikat verwenden.

Kann man das so sagen?

 

[Klaus986]

Kann man das so sagen?

Es hört sich jedenfalls schlüssig an. Ich muss mich auch erst mal wieder etwas in das Thema einlesen und berichte dann.

 

[Klaus986]

@Yawl Da es speziell um das Zertifikat ISRG Root X1, würde ich dir empfehlen, es manuell anhand dieser Anleitung zu installieren.

Beiträge automatisch zusammengeführt: 25.03.2024

Bevor du die besagten Apps ausprobierst, solltest du das Gerät vorsichtshalber erst mal neu starten.

Beiträge automatisch zusammengeführt: 25.03.2024

Also bei mir klappt es so, wie in der Anleitung beschrieben.

Beiträge automatisch zusammengeführt: 25.03.2024

Habe ein Gerät mit Root-Zugriff hier. Entferne ich das genannte Zertifikat, kann Bibel TV keine Internetverbindung herstellen. Der Fehler ist also reproduzierbar. Im Umkehrschluss bedeutet es, bei dir sollte es mit der Installation des Zertifikates wieder funktionieren.

 

[prx]

Kann man das so sagen?

So in etwa. Es sind nicht die Apps, die ein Zertifikat verwenden, sondern die von der App angesprochenen Server. Die Apps, d.h. der in Apps wie Bibel-TV verwendete Webview-Browser, prüft diese Zertifikate anhand im Android gespeicherter Root-Zertifikate der ausstellenden Stellen. Und da liegt der Hase im Pfeffer, wie Klaus986 beschrieb.

Das betrifft jetzt speziell von Let's Encrypt ausgestellte Zertifikate. Die haben den Vorteil, kostenlos zu sein und sich alle paar Wochen selbst zu aktualisieren, während traditionelle Zertifikate auch 100€ pro Jahr kosten können und den Admins Jahr für Jahr Arbeit machen. Bei Let's Encrypt gab es vor 3 Jahren eine entscheidende Umstellung, und den beschriebenen Weg, der aber nur für 3 Jahre auslegt war.

Das Kernproblem ablaufender Zertfikate der ausstellenden Stellen haben irgendwann alle alternden Systeme, nur äussert sich das sehr unterschiedlich. Manche Windows-Browser prüfen gegen die in Windows selbst enthaltenen Root-Zertifikate, während Firefox eigene mitbringt. Android-Apps, die lediglich einen Rahmen um den systemeigenen Webview schnallen, verhalten sich anders als explizite genutze Browser.

Kompliziertes Thema. Bei Android kommt hinzu, dass Google darauf verzichtete, die an sich begrenzte Lebensdauer von Zertifikaten zu prüfen. Das geht erheblich zu Lasten der Sicherheit. Andernfalls wäre aber den Anwendern aber schon viel früher Etliches um die Ohren geflogen.

 

[Yawl]

Da es speziell um das Zertifikat ISRG Root X1, würde ich dir empfehlen, es manuell anhand dieser Anleitung zu installieren.

Bevor du die besagten Apps ausprobierst, solltest du das Gerät vorsichtshalber erst mal neu starten.

Das habe ich gemacht. Zertifikate sind nach der Anleitung installiert (siehe Screenshot). Funktioniert bei mir leider nicht. Gleicher Fehler wie zuvor.

Habe ein Gerät mit Root-Zugriff hier.

Mein Gerät hat kein Root-Zugriff. Liegt es evtl. daran?

 

[Klaus986]

Mein Gerät hat kein Root-Zugriff. Liegt es evtl. daran?

Nein, das hat nichts damit zu tun.

Funktioniert bei mir leider nicht.

Dann weiß ich leider auch nicht weiter.

 

[Yawl]

@Klaus986 Okay, danke. Ich bin ja wenigstens ein Stück weiter gekommen und weiß jetzt, woran es liegt.

 

[Klaus986]

@Yawl Zumindest Bibel TV würde sich ja über die Weboberfläche im Browser aufrufen lassen. Bei den anderen Apps weiß ich es jedoch nicht, ob das alternativ funktionieren würde.

 

[591100]

Nein, das hat nichts damit zu tun.

Bei mir hat es leider doch mit root zu tun gehabt. Vielleicht habe ich aber auch was falsch gemacht??

Huawei Y7 TRT-LX1 mit Android 7.0 → Alle drei Apps "Keine Internetverbindung" (Logdateien auf dem lokalen DNS-Server zeigen massenweise Anfragen beim Start der Apps)
Zertifikate von Hand als Nutzerzertifikate wie in der Anleitung oben (hoffentlich korrekt) installiert → Nix. Keine Besserung nach einem Neustart.

Dann testweise dieses Magisk-Modul installiert. Nach einem weiteren Neustart sind alle drei Apps kooperativer und laden schön brav.

 

[Klaus986]

Bei mir hat es leider doch mit root zu tun gehabt.

Du konntest mit Root die fehlenden Zertifikate ins System einbinden. Aber alleine die Tatsache, ob Root vorhanden ist oder nicht, ist nicht ausschlaggebend für den Verbindungsfehler.

 

[591100]

@Klaus986 Natürlich ist nicht fehlender Root-Zugriff für den Fehler verantwortlich. Was ich meine ist, dass ich keine Methode gefunden habe den Fehler ohne Root-Zugriff zu beheben.
=================


In folgendem Artikel wird gesagt, dass Apps standardmäßig nur den Zertifikaten aus dem Systemspeicher trauen, wenn es nicht explizit anders beim Erstellen der App erlaubt wird:
Adding a Certificate to Android System Trust Store
Network security configuration | App quality | Android Developers

Mir persönlich scheint die Zertifikatsverwaltung auf Nutzerebene recht nutzlos zu sein. Bestimmt kommt da wieder irgendeine Erklärung in der Richtung: Gut so! Google hat Recht! Sonst wäre super-mega-unsicher11!!1

Das Ende vom Lied ist dann, dass die Sicherheit die Nutzbarkeit auf Null gebracht hat und das bewusste Akzeptieren von Risiken durch einen mündigen, informierten Nutzer nicht möglich ist. Bibel TV hat keine network_security_config.xml und die beiden anderen beinhalten explizit den Standard: Traue nur den Systemzertifikaten.


Ich wüsste nicht, wie man ohne Magisk & Co hier weiter kommt. Vielleicht hat ja noch jemand eine Idee.


Lustig ist auch folgende Bewertung für "Live Camera" bei Google Play und die Antwort des Entwicklers. Wahrscheinlich auch ein Nutzer mit älterem Gerät und weder Nutzer noch Entwickler wissen die Ursache.


Eventuell könnte man die betreffenden Entwickler direkt anschreiben und das Problem schildern. Wobei… dann steht vielleicht in der nächsten Version ganz einfach "Minimal Android Version: 8"

 

[Yawl]

Bibel TV hat keine network_security_config.xml

Wie händelt die Bibel TV App das dann? Oder ist diese XML obligatorisch?
-------------------
Dass den Nutzerzertifikaten nicht getraut wird, scheint aber kein grundsätzliches Problem zu sein, sonst hätte man ja nicht die Möglichkeit diese zu installieren.
Es scheint ein Problem auf älteren Geräten (< Android 7.1.1) zu sein, oder?

 

[Klaus986]

Dass den Nutzerzertifikaten nicht getraut wird, scheint aber kein grundsätzliches Problem zu sein, sonst hätte man ja nicht die Möglichkeit diese zu installieren.
Es scheint ein Problem auf älteren Geräten (< Android 7.1.1) zu sein, oder?

Diese Zertifikate beziehen sich nicht nur auf den Onlinezugang der Apps. Sie können ebenso für ein VPN installiert sein. Daher die Funktion.

Wie händelt die Bibel TV App das dann?

Innerhalb des restlichen Codes.

Oder ist diese XML obligatorisch?

eher eleganter