Ermittlungen der US-Justizbehörden gegen Huawei - Diskussion zur Auswirkung auf unsere Phones

[ellopo]

Ich hatte noch nie ein Problem mit PayPal

Probleme hat ich auch keine, aber erstens mag ich den Thiel nicht und zweitens, wenn man liest, was die alles für Daten abgreifen und wie bereitwillig die es an US Geheimdienste geben, das ist mir dann doch zu viel!

 

[gogega]

BTW: Mittelklasse Geräte haben mich ohnehin nie interessiert.
Ich würde mir niemals ein "Lite" kaufen, von welchem Hersteller auch immer.

Ok, reden wir über High-End:

Apple-Support (haben ja immer alle über deren Preise gewettert): 5 Jahre, neue OS-Versionen bis zum Supportende.
Samsung, Beispiel Galaxy S7 (2016): zwei Major-OS-Updates, im Moment 2020 noch Sicherheitsupdates.
Pixel 1 (2016): bisher drei Major-Updates [7.1 - 10.0], Stand 2020, weiterhin noch Sicherheitsupdates.

Huawei Mate 10 Porsche Design (2017, OVP 1.395 €): ein Major-OS-Update bisher, Android 10 "später in diesem Jahr" [wenn Android 11 wahrscheinlich schon draußen ist].

Ich kann vor diesem Hintergrund beim besten Willen nicht verstehen, wie manche Leute gar 1.000 oder noch mehr Kröten in diese Firma stecken. Aber jeder, wie er mag.

 

[Abramovic]

Es gibt mE einfach keinen Grund mehr, im Moment zu Huawei/Honor zu greifen.

Samsung hat in den letzten zwei Jahren ordentlich den Einstieg und die Mittelklasse aufgebohrt, steht mit einem sehr breiten Portfolio sehr guter Hardware da.

Das Erste ist deine Meinung und das Zweite reine Wunschvorstellungen.

 

[merlin2100]

@merlin2100
Wenn Microsoft eine Genehmigung erhalten hat, warum nicht auch Google?

Weil es inzwischen zu einer Frage des Image für DT geworden ist.

Bei Microsoft war die Sache recht einfach, da das Druckpotential auf Huawei recht schwer aufrecht zu erhalten war. Huawei hatte angefangen seinen Hardware mit Linux auszustatten, was übrigens auch durchaus andere Anbieter machen, um sich die Kosten für eine Microsoft-Lizenz zu sparen.

Für den Kunden war dies aber nicht wirklich eine Hürde, den erstens konnte man mal Linux probieren und wenn es läuft damit weiterarbeiten. So schwer wie früher ist Linux nicht mehr und durch Snap können selbst Linux unerfahrene, zu denen ich mich auch zähle, durchaus Programme installieren, die sie auch unter Windows nutzen.

Wer das nicht wollte konnte sich einfach irgendwo ein Windows-Lizenz kaufen und diese installieren und gut war die Geschichte - und Windows wäre trotz US-Bann auf der Hardware von Huawei gelaufen. Aus die Maus.

Ok, für den Kunden hätte es ein paar mehr Kosten bedeutet, aber diese hätte Huawei vielleicht per Cash-Back erstattet.

Dies hat natürlich auch Donald Trump oder einer seiner Berater gesehen und entsprechend reagiert, vielleicht nach dem Motto Zuckerbrot und Peitsche.

Bei Google verhält es sich anders, hier gibt es für Huawei keine Alternative, außer der die sie gerade gehen, es selbst zu machen und die hoffen, dass die Kunden diesen Schritt mitgehen. Also kann er damit erst mal den Druck auf Huawei erhalten, denn es muss sich erst noch zeigen, ob die Kunden wirklich mitgehen.

Frühestens wenn sich abzeichnet, dass eine erhebliche Anzahl den Weg mitgeht, wird eventuell Bewegung reinkommen, vorher aber nicht.

Beiträge automatisch zusammengeführt: 27.02.2020

Das Erste ist deine Meinung und das Zweite reine Wunschvorstellungen.

Die von dir verlinkten Grafiken bestätigen doch im Grunde das was @gogega behauptet unter den 10 meistverkauften Smartphones am Markt sind vier Geräte vom Hersteller Samsung und davon drei aus der A-Reihe - absoluter Spitzenreiter sind die Apple iPhones. Der einzige Hersteller aus China der es Überhaupt in die Top 10 geschafft hat ist Xioami.

 

[Abramovic]

Omantel to install thousands of 5G sites in Oman by 2024

Huawei gets the green light for 5G in Oman - Developing Telecoms

 

[tecalote]

Der einzige Hersteller aus China der es Überhaupt in die Top 10 geschafft hat ist Xioami.

Bis dieser Hersteller ebenfalls auf die Blacklist kommt.
Wegen eingebauten Abhörmechanismen z. B. (Muss ja nicht stimmen, reicht, wenn es behauptet wird).
Erst ZTE, jetzt Huawei, später Xiaomi usw.
Es sei denn, es ändert sich grundlegend etwas auf beiden Seiten.

 

[gogega]

@tecalote

Nun ja, ein Hersteller, bei dem zuvor unbekannte, undokumentierte und "magische" MDM-APIs nach dessem Gutdünken auch von Drittapp-Anbietern genutzt werden können, dem traue ich nachgerade alles zu. Von plötzlich asiatisch sprechenden Stimmen aus dem Lautsprecher gar nicht erst angefangen ...

 

[tecalote]

Nun ja, ein Hersteller, bei dem zuvor unbekannte, undokumentierte und "magische" MDM-APIs nach dessem Gutdünken auch von Drittapp-Anbietern genutzt werden können, dem traue ich nachgerade alles zu.

Diese APIs für Mobile Device Management (MDM) können ausschließlich von Huawei benutzt werden, beispielsweise um System-Patches einzuspielen.

Der jeweilige Huawei Entwickler muss:

1) den Key für die Signatur kennen, (auf Android unknackbar, da aus Master-Key und Private Key bestehend = CERT.RSA und mit SHA256 wird auf diesen Key das CERT.SF und MANIFEST.MF auf die gesamte APK verschlüsselt

2) muss weiter von Huawei dafür eine codierte Erlaubnis erhalten = HUAWEI.CERT - erst dann ist es möglich, diese API für eine Installation zu nutzen.

Nachdem Huawei mit EMUI 9.1 das EROFS eingeführt hat (Extended Read Only Filesystem) ist es nicht mehr möglich, durch Einwirkung einer Benutzeraktion das System zu verändern, oder eine App mit Systemrechten zu installieren.
Selbst nicht mit Root.

Im Falle von lzplay war dies ein Huawei Entwickler, der diese API nutzen durfte und von Huawei selbst die Erlaubnis dafür bekam.
Die API ist Huawei eigen, genauso wie das EROFS.

Das die API undokumentiert ist, bedeutet nicht, dass sie ein Backdoor für unbefugte Dritte ist.

topjohnwu, der Entwickler von Magisk hat lzplay untersucht und ist zu dem finalen Ergebnis gekommen:

"This undocumented API is not the “OMG Huawei is spying on us OMG” kind of backdoor many media might wish to exist.

Diese undokumentierte API ist nicht die Art von Hintertür „OMG Huawei spioniert uns aus, Oh Mein Gott“, die viele Medien möglicherweise wünschen.

It is protected behind rigorous verification on Huawei’s side and requires user interaction to allow the permission to be granted.

Es ist durch eine strenge Überprüfung auf der Seite von Huawei geschützt (bei der Entwicklung) und erfordert (bei der Installation) eine Benutzerinteraktion, damit die Berechtigungen - (die MDM-API für Systemrechte zu benutzen) erteilt werden kann."

Huawei’s Undocumented APIs — A Backdoor to Reinstall Google Services

Huawei hat ganz einfach (aufgrund des Embargos) dieses Tool online gestellt um Benutzern eine einfache nachträgliche Installation der Google Playdienste zu ermöglichen.

Bis dies zu öffentlichen Stellen durchdrang und Huawei das Package sperren musste, um nicht gegen das Embargo zu verstoßen. Damit ging die lzplay Website offline und der Installer konnte nicht mehr ausgeführt werden.

GMS benötigt Systemrechte, um funktionieren zu können.
Im Grunde haben die Google Services soviele Rechte, welche Root Rechten gleich kommen und sogar darüber hinaus. Denn sie können Systemeinstellungen ändern und schreiben, auf EROFS - sofern Huawei das gestattet (über MDM-APIs) und Google mit Huawei zusammen arbeitet (so wie bei Geräten, die vor dem Embargo mit GApps lizenziert wurden).

Auf EROFS können selbst bei einem gerooteten Gerät keine GApps geflasht werden.
Der einzige Zugriff bei Root auf das System ist nur über eine virtuelle Umgebung wie Magisk möglich, die sich als Overlay über Systembereiche legt - ohne tatsächlich am System etwas zu ändern oder ändern zu können.

Daher ist es unerlässlich, dass es APIs wie diese für den Hersteller gibt und für Google, damit überhaupt irgendwas mit Systemrechten geflasht werden kann - wie Firmware oder Google Services.

EMUI ist nur bis zu einem gewissen Grad quelloffen (in dem Maße, in dem Huawei Sources offenlegt), genauso wie Android auch, es ist daher nicht verwerflich, nicht alle APIs zu dokumentieren.
AOSP ist offen, Android mit Playservices jedoch nicht. Auch hier ist nicht alles dokumentiert.

 

[Abramovic]

Ich kann vor diesem Hintergrund beim besten Willen nicht verstehen, wie manche Leute gar 1.000 oder noch mehr Kröten in diese Firma stecken. Aber jeder, wie er mag.

Du musst wie ein Chinese denken.

Bieten was an, versauen es, wird trotzdem gekauft = grünes Licht für Hersteller.

Die Porsche Version zum Beispiel würde sich kaum jemand kaufen und wer sich so etwas kauft, der wird im nächsten Jahr sich die neue Version kaufen und somit interessiert Huawei das Gerät nicht mehr.

Außerdem hauen die China Hersteller gefühlt alle zwei Wochen ein neues Gerät auf den Markt.

Feste Akkus, Glas, keine 3,5 mm mehr, übertriebene Preise... alles nur weil es Kunden dafür gibt.

 

[Bundesloser]

5G-Technik: Huawei plant Produktion in Frankreich

 

[gogega]

Das die API undokumentiert ist, bedeutet nicht, dass sie ein Backdoor für unbefugte Dritte ist.

Es ist durch eine strenge Überprüfung auf der Seite von Huawei geschützt (bei der Entwicklung) und erfordert (bei der Installation) eine Benutzerinteraktion, damit die Berechtigungen - (die MDM-API für Systemrechte zu benutzen) erteilt werden kann."
Huawei’s Undocumented APIs — A Backdoor to Reinstall Google Services

Muss am Ende jeder Einzelne für sich entscheiden, ob diese Zusage der "strengen Überprüfung durch Huawei" einerseits und die bloße Existenz solcher Methodik andererseits das Vertrauen des Kunden verdient.

Du musst wie ein Chinese denken.

Bieten was an, versauen es, wird trotzdem gekauft = grünes Licht für Hersteller.

Die Porsche Version zum Beispiel würde sich kaum jemand kaufen und wer sich so etwas kauft, der wird im nächsten Jahr sich die neue Version kaufen und somit interessiert Huawei das Gerät nicht mehr.

Außerdem hauen die China Hersteller gefühlt alle zwei Wochen ein neues Gerät auf den Markt.

Feste Akkus, Glas, keine 3,5 mm mehr, übertriebene Preise... alles nur weil es Kunden dafür gibt.

An dieser Einordnung wird wohl am Ende was dran sein.
Meins ist es nicht, und ich werde auch nicht den Versuch unternehmen, diese Denke irgendwie nachzuvollziehen.

 

[tecalote]

Muss am Ende jeder Einzelne für sich entscheiden, ob diese Zusage der "strengen Überprüfung durch Huawei" einerseits und die bloße Existenz solcher Methodik andererseits das Vertrauen des Kunden verdient.

Kunden haben 0 Ahnung von sowas.

Ich habe mich selbst eingehend mit dem Thema sowohl theoretisch als auch praktisch beschäftigt und ich weiß, dass es so ist, wie ich es dargestellt habe.

Es ist auf EROFS unerlässlich, dass es APIs wie diese für den Hersteller gibt und für Google, damit überhaupt irgendwas mit Systemrechten geflasht werden kann - wie Firmware oder Google Services.

Du kannst es trotzdem für Dich auslegen wie Du es möchtest.

 

[gogega]

@tecalote

Richtig, die Kunden haben keine Ahnung, und es interessiert sie meistens auch (leider) nicht.

Fakt ist, dass es diese ehemals undokumentierte API(s) nunmal gibt. Was dann daraus im Laufe des Gerätelebens im fernen China gemacht wird, bekommt der Kunde hier doch gar nicht mit. Zusammenarbeit mit Geheimdiensten/privaten Spionagefirmen und mal eben *zack* ein Spionagetool installiert? Mit irgendeiner unverfänglichen "Update-Meldung" wird man die erforderliche Benutzerinteraktion schon hinbekommen. Aber gut, schenken wir mal der großen Firma im Überwachungsstaat China uneingeschränkt unser Vertrauen.
Wie gesagt, muss jeder für sich selbst einordnen.

 

[ellopo]

@gogega
Man, bleibe doch bei deinem Hersteller, der so perfekt ist und lass uns unsere unvollkommene Handys!
Das nervt, wirklich!

Beiträge automatisch zusammengeführt: 27.02.2020

@gogega

Dir macht es vielleicht Spaß, diese Auseinandersetzung zu führen, mich und sehr wahrscheinlich zig andere hier im Thread, nervt das nur! Warum? Weil wir es schon zum gefühlten 100-ten Mal diese hier austragen!

 

[gogega]

Dir macht es vielleicht Spaß, diese Auseinandersetzung zu führen, mich und sehr wahrscheinlich zig andere hier im Thread, nervt das nur! Warum? Weil wir es schon zum gefühlten 100-ten Mal diese hier austragen!

Dieser Thread geht bald über 500 Seiten. Es ist eine anhaltende Problematik, deren Hintergrund eben anhaltend diskutiert wird. Du musst meine Beiträge nicht lesen, es gibt den Ignorieren-Button.

 

[M II 26]

@M II 26
Du posaunst deine Daten dann halt in eine andere Richtung, mir ist ein System lieber, von dem ich weiß, dass es seit Jahren funktioniert. Das weiß ich von Huaweis neuem Ökosystem noch nicht und um jetzt noch mal alles umuzstellen, dazu hab ich einfach null Bock, zumal ich die eine Datenkrake nur mit der anderen tausche. Ich bin auch keinesfalls dagegen, für mich ist aber derzeit weder Huawei als Hersteller attraktiv, noch als Bereitsteller eines OS.

Was meinst du mit posaunen in eine andere Richtung? Ich nutze keine weiteren Geräte oder Betriebssysteme. Ich habe keinen PC, kein Notebook, kein Tablet, keine Spielekonsole.

 

[tecalote]

Fakt ist, dass es diese ehemals undokumentierte API(s) nunmal gibt.

Du hast Dir meinen Post nicht wirklich durchgelesen oder verstanden - Link:
Warum es diese API gibt

*******
Zum Thema:

5G-Technik: Huawei plant Produktion in Frankreich

Ist eine feine Sache!
Hätte Huawei vielleicht schon früher tun sollen.

*****
News:
Nokia hat offenbar erhebliche finanzielle Probleme und prüft einen Zusammenschluss mit einem Konkurrenten wie Ericsson. In der Debatte um eine angebliche Bedrohung durch Huawei wirft das Fragen auf.

Fusion mit Ericsson: Telekomausrüster Nokia soll zum Verkauf stehen - Golem.de

 

[ellopo]

@tecalote

"Telekomausrüster Nokia soll zum Verkauf stehen..."
Am besten wie damals bei der Kodierungsmaschine, durch amerikanische und deutsche Geheimdienste

Beiträge automatisch zusammengeführt: 28.02.2020

Du musst meine Beiträge nicht lesen, es gibt den Ignorieren-Button.

Danke für den Hinweis... dann wirst du wohl die Nummer 4 sein

 

[Abramovic]

@tecalote

Richtig, die Kunden haben keine Ahnung, und es interessiert sie meistens auch (leider) nicht.

Fakt ist, dass es diese ehemals undokumentierte API(s) nunmal gibt. Was dann daraus im Laufe des Gerätelebens im fernen China gemacht wird, bekommt der Kunde hier doch gar nicht mit.

Du verstehst da etwas falsch...
Ist der Quelltext geschlossen, bekommst du so etwas nur mit, weil es der Hersteller so will oder ein interner Mitarbeiter, welcher einen Teil einsehen kann, leakt die Infos.
Beispiel Router: Sicherheit: Hintertür in WLAN-Routern entdeckt - Golem.de (beachte hier den letzten Teil im Artikel)

Huawei hingegen hat seine Partner eingeladen und den Quelltext angeboten. Wer das macht, zieht die Hosen aus und es gibt de facto keine Geheimnisse.

Du hingegen nutzt Windows, Apple und hast sicherlich auch keinen Router mit OpenWRT. Huawei wäre somit an dritter Stelle, um etwas abzufangen, Windows an erster, bevor es überhaupt verschlüsselt werden kann.

 

[gogega]

@Abramovic

Dass draußen in freier Wildbahn jetzt Drittapps/-installer sind, die diese API (mit oder ohne Huaweis Segen?) nutzen, ist zumindest befremdlich.
Wenn dann das Huawei-Blog hier selbst im Forum den Einsatz dieser "Chat-Partner-App" bewirbt, ist ein möglicher Missbrauch zumindest auch nicht undenkbar.

Spricht der letzte Absatz Deines Links jetzt eher gegen oder für Huawei? Offensichtlich kommt die NSA also bei Huawei-Routern rein, was die Sache nicht besser macht.