Bitte um Test des Netzwerkzugriffs auf einem Gerät mit Android 7

  • 24 Antworten
  • Letztes Antwortdatum
Yawl

Yawl

Erfahrenes Mitglied
245
Zuletzt bearbeitet:
  • Danke
Reaktionen: 591100
@Yawl Android 7.0 ist SDK/API-Level 24. Laut den einzelnen APK-Manifesten der jeweiligen Apps, sind folgende mindest API-Levels Voraussetzung.

Bibel TV: minSdkVersion=21 (Android 5.0)
Live Camera: minSdkVersion=23 (Android 6)
Webcams Online: minSdkVersion=23 (Android 6)

Somit sind alle 3 Apps unter Android 7.0 lauffähig.
 
@Yawl Test mit Galaxy Tab S2, Android 7.0, schlug bei alle 3 Apps fehl, keine Verbindung ins Netz. NetGuard zeigt Zugriffe an, die auch nicht davon gesperrt werden. Das TLS der Bibel ist offen genug, um kein Problem darzustellen.
Beiträge automatisch zusammengeführt:

Die Bibel-App ist vom 28.2.24. Dort nachfragen. Könnte sein, dass deren App-Entwickler den Grund kennt, oder es noch nicht merkte.
Beiträge automatisch zusammengeführt:

Klaus986 schrieb:
Somit sind alle 3 Apps unter Android 7.0 lauffähig.
Was nicht zwingend bedeutet, dass eine Netzverbindung in der App auch tatsächlich.funktioniert.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Yawl
@prx Das nicht, aber die Apps sind wenigstens kompatibel und hätte ein Grund sein können. Vielleicht liegt es auch an den SSL-Zertifikaten unter Android 7? Nur so eine Vermutung.
 
  • Danke
Reaktionen: 591100 und Yawl
@prx Danke für den Test. Dann weiß ich zumindest, dass es nicht an meinem Gerät liegt.

@Klaus986 Dass die Apps grundsätzlich kompatibel sind wusste ich. Deshalb bat ich auch bewusst darum, den Netzwerkzugriff zu testen.

Das mit den SSL-Zertifikaten ist eine gute Spur. Kannst du da mehr zu sagen?
 
@Klaus986 @prx
Danke für die Links. Leider verstehe ich von der Materie nicht viel, aber der Artikel von ZDNet erklärt es ganz gut.
Die beiden anderen Artikel sind für mich schon schwerer zu verstehen.
Eine markante Passage habe ich mal ins Deutsche übersetzt:
IdenTrust hat zugestimmt, ein 3-Jahres-Cross-Sign für unseren ISRG Root X1 von seiner DST Root CA X3 auszustellen.
Die zugehörige Nachricht ist von Anfang 2021. Wenn es also hier um einen 3-Jahres-Plan zur Überbrückung geht, würde dies ja zeitlich hinkommen.
Das würde erklären, warum die Netzwerkzugriffe der genannten Apps bis vor Kurzem noch funktioniert haben.

Wenn ich das richtig verstehe, haben alle Apps, die ein Zertifikat von Let's Encrypt verwenden, keinen Netzwerkzugriff mehr auf Geräten, auf denen eine ältere Android-Version als 7.1.1 läuft.

Im Umkehrschluss müssten also alle Apps, bei denen der Netzwerkzugriff noch funktioniert, ein anderes SSL-Zertifikat verwenden.

Kann man das so sagen?
 
Yawl schrieb:
Kann man das so sagen?
Es hört sich jedenfalls schlüssig an. :) Ich muss mich auch erst mal wieder etwas in das Thema einlesen und berichte dann.
 
  • Danke
Reaktionen: Yawl
@Yawl Da es speziell um das Zertifikat ISRG Root X1, würde ich dir empfehlen, es manuell anhand dieser Anleitung zu installieren.
Beiträge automatisch zusammengeführt:

Bevor du die besagten Apps ausprobierst, solltest du das Gerät vorsichtshalber erst mal neu starten.
Beiträge automatisch zusammengeführt:

Also bei mir klappt es so, wie in der Anleitung beschrieben.
Beiträge automatisch zusammengeführt:

Habe ein Gerät mit Root-Zugriff hier. Entferne ich das genannte Zertifikat, kann Bibel TV keine Internetverbindung herstellen. Der Fehler ist also reproduzierbar. Im Umkehrschluss bedeutet es, bei dir sollte es mit der Installation des Zertifikates wieder funktionieren.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Yawl
Yawl schrieb:
Kann man das so sagen?
So in etwa. Es sind nicht die Apps, die ein Zertifikat verwenden, sondern die von der App angesprochenen Server. Die Apps, d.h. der in Apps wie Bibel-TV verwendete Webview-Browser, prüft diese Zertifikate anhand im Android gespeicherter Root-Zertifikate der ausstellenden Stellen. Und da liegt der Hase im Pfeffer, wie Klaus986 beschrieb.

Das betrifft jetzt speziell von Let's Encrypt ausgestellte Zertifikate. Die haben den Vorteil, kostenlos zu sein und sich alle paar Wochen selbst zu aktualisieren, während traditionelle Zertifikate auch 100€ pro Jahr kosten können und den Admins Jahr für Jahr Arbeit machen. Bei Let's Encrypt gab es vor 3 Jahren eine entscheidende Umstellung, und den beschriebenen Weg, der aber nur für 3 Jahre auslegt war.

Das Kernproblem ablaufender Zertfikate der ausstellenden Stellen haben irgendwann alle alternden Systeme, nur äussert sich das sehr unterschiedlich. Manche Windows-Browser prüfen gegen die in Windows selbst enthaltenen Root-Zertifikate, während Firefox eigene mitbringt. Android-Apps, die lediglich einen Rahmen um den systemeigenen Webview schnallen, verhalten sich anders als explizite genutze Browser.

Kompliziertes Thema. Bei Android kommt hinzu, dass Google darauf verzichtete, die an sich begrenzte Lebensdauer von Zertifikaten zu prüfen. Das geht erheblich zu Lasten der Sicherheit. Andernfalls wäre aber den Anwendern aber schon viel früher Etliches um die Ohren geflogen.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Yawl
Klaus986 schrieb:
Da es speziell um das Zertifikat ISRG Root X1, würde ich dir empfehlen, es manuell anhand dieser Anleitung zu installieren.
Klaus986 schrieb:
Bevor du die besagten Apps ausprobierst, solltest du das Gerät vorsichtshalber erst mal neu starten.
Das habe ich gemacht. Zertifikate sind nach der Anleitung installiert (siehe Screenshot). Funktioniert bei mir leider nicht. Gleicher Fehler wie zuvor.
Klaus986 schrieb:
Habe ein Gerät mit Root-Zugriff hier.
Mein Gerät hat kein Root-Zugriff. Liegt es evtl. daran?
 

Anhänge

  • Screenshot_20240326-103427.png
    Screenshot_20240326-103427.png
    135,7 KB · Aufrufe: 71
@Klaus986 Okay, danke. Ich bin ja wenigstens ein Stück weiter gekommen und weiß jetzt, woran es liegt.
 
  • Danke
Reaktionen: Klaus986
@Yawl Zumindest Bibel TV würde sich ja über die Weboberfläche im Browser aufrufen lassen. Bei den anderen Apps weiß ich es jedoch nicht, ob das alternativ funktionieren würde.
 
  • Danke
Reaktionen: Yawl
Klaus986 schrieb:
Nein, das hat nichts damit zu tun.
Bei mir hat es leider doch mit root zu tun gehabt. Vielleicht habe ich aber auch was falsch gemacht??

Huawei Y7 TRT-LX1 mit Android 7.0 → Alle drei Apps "Keine Internetverbindung" (Logdateien auf dem lokalen DNS-Server zeigen massenweise Anfragen beim Start der Apps)
Zertifikate von Hand als Nutzerzertifikate wie in der Anleitung oben (hoffentlich korrekt) installiert → Nix. Keine Besserung nach einem Neustart.

Dann testweise dieses Magisk-Modul installiert. Nach einem weiteren Neustart sind alle drei Apps kooperativer und laden schön brav.
 
  • Danke
Reaktionen: Yawl
KleinesSinchen schrieb:
Bei mir hat es leider doch mit root zu tun gehabt.
Du konntest mit Root die fehlenden Zertifikate ins System einbinden. Aber alleine die Tatsache, ob Root vorhanden ist oder nicht, ist nicht ausschlaggebend für den Verbindungsfehler.
 
  • Danke
Reaktionen: Yawl
@Klaus986 Natürlich ist nicht fehlender Root-Zugriff für den Fehler verantwortlich. Was ich meine ist, dass ich keine Methode gefunden habe den Fehler ohne Root-Zugriff zu beheben.
=================


In folgendem Artikel wird gesagt, dass Apps standardmäßig nur den Zertifikaten aus dem Systemspeicher trauen, wenn es nicht explizit anders beim Erstellen der App erlaubt wird:
Adding a Certificate to Android System Trust Store
Network security configuration | App quality | Android Developers

Mir persönlich scheint die Zertifikatsverwaltung auf Nutzerebene recht nutzlos zu sein. Bestimmt kommt da wieder irgendeine Erklärung in der Richtung: Gut so! Google hat Recht! Sonst wäre super-mega-unsicher11!!1

Das Ende vom Lied ist dann, dass die Sicherheit die Nutzbarkeit auf Null gebracht hat und das bewusste Akzeptieren von Risiken durch einen mündigen, informierten Nutzer nicht möglich ist. Bibel TV hat keine network_security_config.xml und die beiden anderen beinhalten explizit den Standard: Traue nur den Systemzertifikaten.
NetworkSecurity.png

Ich wüsste nicht, wie man ohne Magisk & Co hier weiter kommt. Vielleicht hat ja noch jemand eine Idee.


Lustig ist auch folgende Bewertung für "Live Camera" bei Google Play und die Antwort des Entwicklers. Wahrscheinlich auch ein Nutzer mit älterem Gerät und weder Nutzer noch Entwickler wissen die Ursache.
Wertung.png

Eventuell könnte man die betreffenden Entwickler direkt anschreiben und das Problem schildern. Wobei… dann steht vielleicht in der nächsten Version ganz einfach "Minimal Android Version: 8"
 
  • Danke
Reaktionen: Yawl
KleinesSinchen schrieb:
Bibel TV hat keine network_security_config.xml
Wie händelt die Bibel TV App das dann? Oder ist diese XML obligatorisch?
-------------------
Dass den Nutzerzertifikaten nicht getraut wird, scheint aber kein grundsätzliches Problem zu sein, sonst hätte man ja nicht die Möglichkeit diese zu installieren.
Es scheint ein Problem auf älteren Geräten (< Android 7.1.1) zu sein, oder?
 
Yawl schrieb:
Dass den Nutzerzertifikaten nicht getraut wird, scheint aber kein grundsätzliches Problem zu sein, sonst hätte man ja nicht die Möglichkeit diese zu installieren.
Es scheint ein Problem auf älteren Geräten (< Android 7.1.1) zu sein, oder?
Diese Zertifikate beziehen sich nicht nur auf den Onlinezugang der Apps. Sie können ebenso für ein VPN installiert sein. Daher die Funktion.

Yawl schrieb:
Wie händelt die Bibel TV App das dann?
Innerhalb des restlichen Codes.

Yawl schrieb:
Oder ist diese XML obligatorisch?
eher eleganter
 
  • Danke
Reaktionen: Yawl

Ähnliche Themen

vauxhall007
Antworten
1
Aufrufe
275
vauxhall007
vauxhall007
W
Antworten
0
Aufrufe
449
wired
W
H
Antworten
4
Aufrufe
1.533
prx
P
Zurück
Oben Unten