Google Pixel-telefoons bevatten kwetsbaarheid door verborgen Android-app

Google Pixel-telefoons die sinds september 2017 zijn verkocht, bevatten standaard een inactieve app met 'buitensporige systeemrechten'. Dat meldt securitybedrijf iVerify. De app kan volgens iVerify in theorie gebruikt worden om een toestel over te nemen. Google gaat de app verwijderen.

De app in kwestie werd ontdekt door iVerify in samenwerking met surveillancebedrijf Palantir, blijkt uit een persbericht over de kwetsbaarheid. De EDR-software van iVerify markeerde een Android-apparaat van Palantir als onveilig. De twee bedrijven kwamen de applicatie tegen na een gezamenlijk onderzoek. De app in kwestie heet Showcase.apk en zou door Smith Micro Software gemaakt zijn voor telecomprovider Verizon. De app moet bedoeld zijn om telefoons in een demomodus voor winkels te zetten. Showcase is onderdeel van de firmware-image en zou dus op 'een zeer groot percentage' van de wereldwijd geleverde Pixel-apparaten staan, zegt iVerify.

De package is standaard verborgen en inactief. De app moet dan ook handmatig geactiveerd worden voordat deze uitgebuit kan worden. Volgens iVerify zijn er 'mogelijk' meerdere manieren om de app in te schakelen. Het securitybedrijf heeft zelf één daadwerkelijke manier gevonden om de app in te schakelen. Daarvoor is fysieke toegang tot de smartphone vereist. IVerify deelt geen details over de methode om de app te activeren in zijn openbare rapporten.

Volgens het securitybedrijf is Showcase.apk ontworpen om een configuratiebestand op te halen over het HTTP-protocol. IVerify schrijft onder meer dat dat configuratiebestand aangepast kan worden voordat deze naar het toestel van het slachtoffer wordt gestuurd. De app draait op systeemniveau en heeft daarmee, wanneer deze daadwerkelijk geactiveerd is, 'diepgaande systeemprivileges'.

Daaronder vallen bijvoorbeeld mogelijkheden om op afstand code uit te voeren op het apparaat in kwestie. "Als Showcase.apk is ingeschakeld, wordt het besturingssysteem toegankelijk voor hackers en is het rijp voor man-in-the-middleaanvallen, code-injectie en spyware", schrijft iVerify op donderdag. Het bedrijf heeft Google in mei op de hoogte gesteld van de kwetsbaarheid, meldt techwebsite Wired.

In een reactie aan Wired bevestigt Google dat de package gemaakt is voor winkeldemo's van Verizon en dat deze niet langer in gebruik is. De techgigant heeft geen aanwijzingen gezien dat de kwetsbaarheid actief wordt misbruikt. Google gaat de app van alle Pixel-toestellen verwijderen. Dat gebeurt 'in de komende weken' via een software-update, aldus het bedrijf. Het bedrijf heeft op het moment van schrijven geen publieke advisory gepubliceerd. Tweakers heeft Google om aanvullend commentaar gevraagd.

Palantir, dat hielp bij het onderzoek naar de kwetsbaarheid, geeft aan dat het Android-apparaten intern volledig gaat uitfaseren. “Google die software van derden in de firmware van Android inbouwt en dit niet bekendmaakt aan verkopers of gebruikers, creëert een aanzienlijke kwetsbaarheid voor iedereen die op dit ecosysteem vertrouwt", vertelt Dane Stuckey, chief information security officer van Palantir, aan Wired. Hij zegt daarbij dat de interacties met Google tijdens de disclosureperiode 'ons vertrouwen in het ecosysteem ernstig hebben aangetast'. "Om onze klanten te beschermen, hebben we de moeilijke beslissing moeten nemen om af te stappen van Android in onze onderneming.”

Update, vrijdag: Een Google-woordvoerder heeft aan Tweakers het volgende statement verstrekt: "Dit is geen Android- of Pixel-kwetsbaarheid. Dit is een apk ontwikkeld door Smith Micro voor Verizons instore demoapparaten en wordt niet langer gebruikt. Exploitatie van deze app op een telefoon van een gebruiker vereist zowel fysieke toegang tot het apparaat als het wachtwoord van de gebruiker. We hebben geen bewijs gezien van actieve uitbuiting. Uit voorzorg zullen we deze app verwijderen van alle ondersteunde Pixel-apparaten die op de markt zijn met een komende Pixel software-update. De app is niet aanwezig op apparaten uit de Pixel 9-serie. We brengen ook andere Android-oem's op de hoogte."

Ter illustratie: de Google Pixel 6 en Pixel 6 Pro

Reacties (80)

venomcs 15 augustus 2024 20:28

De package name van deze app is com.customermobile.preload.vzw, je kan met ADB of met Universal Android Debloat kijken of je deze app hebt. Zo ja, kan je hem verwijderen. Met root kan dat ook zonder PC, anders even aansluiten en USB debugging aanzetten.

De app staat standaard als ''disabled'' en er is nog geen vulnerability die deze app remote kan uitbuiten, dus local access of een actieve malware-infectie is vereist, wat ook de reden is waarom Google dit weghalen geen hoge prioriteit heeft gegeven. Ik heb geen pixel, dus kan niet checken of NL-pixels deze app ook hebben.

Sowieso een goed idee om UAD op elke nieuwe telefoon te draaien om alle bloatware-rotzooi er af te gooien.

[Reactie gewijzigd door venomcs op 15 augustus 2024 20:34]

Cobesz @venomcs • 16 augustus 2024 10:50

Hier de commandos om te zoeken en verwijderen:

zoeken:
```bash
adb shell pm list packages | grep com.customermobile.preload.vzw
```

package:com.customermobile.preload.vzw

enablen (moest ik doen voordat ik mocht verwijderen):
```bash
adb shell pm enable com.customermobile.preload.vzw
```

Package com.customermobile.preload.vzw new state: enabled

verwijderen:
```bash
adb shell pm uninstall --user 0 com.customermobile.preload.vzw
```

Success

Op mijn pixel 6

[Reactie gewijzigd door Cobesz op 16 augustus 2024 10:52]

Anoniem: 334725 @venomcs • 15 augustus 2024 22:29

Pixel 7 pro. App was uitgeschakeld, moest hem eerst inschakelen voor het verwijderen. Staat bij "Verizon Store/Retail Demo Mode". Telefoon hier gekocht via belsimpel, met geen reden om te geloven dat het import is.

Terracotta @Anoniem: 334725 • 16 augustus 2024 08:54

Mja, het gaat dan ook over een inactieve app, er is bij sommige os-leveranciers een attitude dat een bug in een inactieve app geen kwaad kan, die app is toch niet actief. . Heb zo ooit een discussie gehad met iemand die vondt dat'k overdreef met het verwijderen van inactieve Apps. Het volstaat een bug te vinden die de app activeert om dan bugs in de app te kunnen exploitent, dat vond hij overdreven... Tsja.
Moest android nu zelf een optie geven om de omgeving zo clean mogelijk te maken zonder te moeten grijpen naar third party extensies. Oh wacht. Hij geeft al aan welke Apps amper tot niet gebruikt worden, waarom kan dit soort meuk daar niet ook onder vallen... Delete.

[Reactie gewijzigd door Terracotta op 16 augustus 2024 08:57]

Xerpan @Terracotta • 16 augustus 2024 09:29

De 'bug' geeft Bonobo al aan: je moet de app eerst activeren om hem te kunnen verwijderen.

xwizz @venomcs • 16 augustus 2024 01:50

Pixel 8 Pro hier, de app stond geïnstalleerd. Ik kon niets gerelateerd aan Verizon vinden in de app lijst op het toestel zelf, ook niet als je de systeem apps erbij zette. Ik weet niet zeker of dat ie ingeschakeld was. Adb stond ook niet zomaar toe om hem te verwijderen, adb zei [DELETE_FAILED_INTERNAL_ERROR].

"pm uninstall -k --user 0 com.customermobile.preload.vzw" in een adb shell werkte wel. Poof, gone.

PaulHelper @xwizz • 16 augustus 2024 07:32

Je hebt standaard niet de rechten om iets van het systeem te verwijderen, dat is juist een veilig heid/stabiliteit feature.
Alleen met root kan dat. Vandaar dat je het altijd met user moet doen.

[Reactie gewijzigd door PaulHelper op 16 augustus 2024 16:36]

xwizz @PaulHelper • 16 augustus 2024 16:35

Aha, dat verklaart wellicht waarom "adb uninstall com.customermobile.preload.vzwl" nee zei. Weer wat geleerd, dank u.

ericje627 @venomcs • 15 augustus 2024 22:42

Ik heb even gekeken op een Pixel 7 (gekocht in Nederland, model GVU6C) met standaard image van Android 13, daarop is het package aanwezig, maar inderdaad disabled. Output van adb:

package:com.customermobile.preload.vzw installer=null

Overigens zijn er nog twee Verizon-gerelateerde packages (op basis van de package naam) aanwezig, ook disabled:

package:com.verizon.llkagent
package:com.verizon.mips.services

Van de eerste kan ik zo snel niet vinden wat die doet. De tweede schijnt een app te zijn voor Verizon om (o.a.) hun aansluiting en telefoonverbinding te beheren.

Even los van het mogelijke risico van deze apps, vind ik het opmerkelijk dat de apps worden geïnstalleerd op deze toestellen, zelfs op toestellen die niet aan de betreffende provider zijn gebonden. Als Google dat voor meer providers dat zou doen dan vervuilt het de boel nogal.

[Reactie gewijzigd door ericje627 op 15 augustus 2024 22:42]

keigezellig123 @venomcs • 16 augustus 2024 09:30

Hoe kan ik met adb kijken of die er op staat?

Hielke Hoeve @keigezellig123 • 17 augustus 2024 18:49

Staat hier boven perfect uitgelegd:

Linkje naar comment

[Reactie gewijzigd door Hielke Hoeve op 17 augustus 2024 18:50]

gewafe8661 @venomcs • 16 augustus 2024 10:51

Sowieso een goed idee om UAD op elke nieuwe telefoon te draaien om alle bloatware-rotzooi er af te gooien.

Ik ben altijd benieuwd naar dit argument. Het voelt altijd een beetje als een puristen argument, want die vinden alles wat ze niet zelf installeren bloatware. Voor de meeste gebruikers is het echter prima om er niks mee te doen, want die 'bloatware' is gewoon een functie die ze of gebruiken of niet.

Bloatware is ook wel een ruim begrip geworden, want dit is dus gewoon een legitieme functie in de software die alleen niet overal wordt gebruikt. In dat opzicht kun je alles wel als bloatware aanmerken: ik gebruik ADB niet dus die troep mag er wel af, dat wordt dan het argument.

kuurtjes @venomcs • 16 augustus 2024 00:34

Wat een toevallig malware lijkende package naam

ndonkersloot 15 augustus 2024 20:18

Is er iets bekend of GrapheneOS dit ook levert? Je zou dat niet verwachten, maar goed, dit is ook al bizar te noemen..

[Reactie gewijzigd door ndonkersloot op 15 augustus 2024 20:19]

Cyberia404 @ndonkersloot • 15 augustus 2024 20:27

Deze app zit niet in GrapheneOS.

https://grapheneos.social/@GrapheneOS/112967309987371034

ndonkersloot @Cyberia404 • 15 augustus 2024 21:27

Super, zoals verwacht. Lekker scherp zijn ze ook

Marve79 @Cyberia404 • 15 augustus 2024 21:35

iVerify are scammers and anyone paying them money should rapidly stop doing it and remove their malware from their devices. The real security risk is giving remote code execution on your devices to one of these sketchy EDR companies lying about their capabilities and discoveries.

Worden ook geen lieve dingen gezegd over iverify.

Arjan P @Marve79 • 16 augustus 2024 02:29

Zonder bron is elke quote zinloos.

Marve79 @Arjan P • 16 augustus 2024 09:18

Was een quote uit die bron daarboven. Komt er op neer dat dit nergens over gaat. Want het is iets wat niet eens is ingeschakeld en fysieke toegang voor nodig is om dat wel te doen. Storm in een glas water dus. Dat je om zoiets al je Android telefoons gaat vervangen is bizar.

dixet @Arjan P • 16 augustus 2024 08:19

is een quote uit de bron die daarboven al wordt genoemd

JWL92 @Marve79 • 16 augustus 2024 00:00

linkje naar de brom?

jurroen @JWL92 • 16 augustus 2024 07:01

https://grapheneos.social/@GrapheneOS/112967310551489200

Jazco2nd 15 augustus 2024 20:11

Maar das dus alleen in US Pixel telefoons?
Die voor de test van de wereld zijn toch net een beetje anders ivm afwijkende netwerk en afwijkende provider deals?

Auteur

AverageNL Nieuwsredacteur @Jazco2nd • 15 augustus 2024 20:12

Nee, dit is volgens iVerify wereldwijd. Ik zal dat wat concreter benoemen in de tekst

Helium-3

@AverageNL • 15 augustus 2024 20:17

Bizar dat ik van Google een apk mee krijg van een softwarebedrijfje waar ik nog nooit van heb gehoord in opdracht van een provider waar ik nog nooit van heb gehoord. Ik wil echt wel geloven dat Google veel doet op het gebied van security, zéker met hun eigen telefoonlijn. Tot op de kleinste details wordt er vaak nagedacht over security. Maar dat er een gehele app de pijplijn van softwareproductie doorgaat zonder gezien te worden, terwijl derden dat wel opvalt, is wel echt bizar. Of heel erg onhandig, óf een mooie manier om een backdoor voor een overheid te verdoezelen als bug/foutje? Ik ben geen aluhoedje fan, dus ik ga er niet van uit, maar vind het ook niet ondenkbaar.

djwice

@Helium-3 • 15 augustus 2024 21:18

Heb je gekeken of de app op jou telefoon staat? Het kan wellicht zijn dat het alleen in Pixels (en andere Google producten die dat netwerk kunnen gebruiken) voorkomt in regio's waar Verizon en dochter bedrijven actief zijn (of waren) wordt ingebakken.

Oh .. het heeft zelfs onder eigennaam diensten in Duitsland en een BV in Nederland.
https://maps.app.goo.gl/EYYNzWGtBtMCyRWN8?g_st=ac

[Reactie gewijzigd door djwice op 15 augustus 2024 21:29]

ucsdcom

@Helium-3 • 16 augustus 2024 09:10

Bizar dat ik van Google een apk mee krijg van een softwarebedrijfje waar ik nog nooit van heb gehoord in opdracht van een provider waar ik nog nooit van heb gehoord. Ik wil echt wel geloven dat Google veel doet op het gebied van security, zéker met hun eigen telefoonlijn. Tot op de kleinste details wordt er vaak nagedacht over security. Maar dat er een gehele app de pijplijn van softwareproductie doorgaat zonder gezien te worden, terwijl derden dat wel opvalt, is wel echt bizar. Of heel erg onhandig, óf een mooie manier om een backdoor voor een overheid te verdoezelen als bug/foutje? Ik ben geen aluhoedje fan, dus ik ga er niet van uit, maar vind het ook niet ondenkbaar.

Op ieder toestel zit er vanalles wat gericht is op het ondersteunen van de wereldwijde operators. Van specifieke netwerk instellingen, Instellingen voor bellen over 4G via VoLTE, via volledige provider software (US operators en internationaal was o.a. Vodafone sterk in branded Android telefoons) naar backdoors voor veiligheids diensten.

Nu is het Google. Oneplus heeft eerder ook zoiets gehad. Dus reken er maar op dat dit vaker en bij meer toestellen het geval kan zijn. Ook bij andere merken.

Het is daarbij altijd de vraag: is dit een onschuldige vergissing, of is het een bewust ingebouwde mogelijkheid om een backdoor open te zetten voor veiligheidsdiensten of bepaalde regimes die vermomd zijn als "demo modus" etc.

Andere kant van het verhaal: als je op reis bent, dan wil je ook zonder al te veel moeite internet en telefonie gebruiken op je toestel. Dus ook jij verwacht toch wel dat die providervoorzieningen die jou daar online brrengen in de daar mogelijk locale afwijkende omstandigheden goed zijn opgenomen in de software. Ookal woon je in Nederland en zal je nooit daar naartoe reizen. De afwijkende settings zitten in je toestel en software ingebakken.

Maar deze app is inderdaad iets anders.

[Reactie gewijzigd door ucsdcom op 16 augustus 2024 09:59]

theobril @Helium-3 • 15 augustus 2024 20:26

Voor de goede orde: Verizon is wel een heel grote provider. Dat jij er nog nooit van gehoord hebt, ligt mogelijk niet aan Verizon.

kodak

Networking en security
Beveiliging en antivirus

@theobril • 15 augustus 2024 21:46

Dat gaat geheel aan het punt voorbij dat zelfs als zowel het softwarebedrijf als de provider onbekend kunnen zijn het niet acceptabel is. De gebruiker heeft namelijk niets met beide bedrijven te maken en hoeft ze ook niet te kennen. In hoeverre een bedrijf bekend is maakt het niet acceptabeler, want zelfs al ben je klant van een van de bedrijven dan is dit zeer onprofessionele en onveilige applicatie met onacceptabele risico's voor de gebruikers.

Helium-3

@theobril • 15 augustus 2024 20:26

Ik denk dat het er ook mee te maken kan hebben dat ik een consument in de EU ben en niet in de VS

theobril @Helium-3 • 15 augustus 2024 20:46

Voor de aardigheid heb ik gezocht op Verizon binnen tweakers: 550 artikelen. Hoewel de meeste tweakers een consument in de EU zijn, denk ik dat de meeste toch echt wel van verizon gehoord hebben.

Vicje @theobril • 15 augustus 2024 21:04

Ik vind dit zelf nu zo’n typische reactie hier op Tweakers wat maakt dat ik de nieuwsreacties minder leuk vind. Wat probeer je nu precies met je posts te bewerkstelligen? Helium-3 geeft zijn eigen beeld weer en jij knalt er vrolijk dat van anderen overheen en dus klopt dat van Helium niet? Er is niet 1 waarheid in dit geval en daar hoef je hem echt niet van te blijven overtuigen.

The Realone @Vicje • 16 augustus 2024 00:56

Dat mag zo zijn, maar zijn woorden "een of ander softwarebedrijfje waar ik nog nooit van gehoord heb" slaan natuurlijk ook nergens op. Dat je nog nooit van Verizon gehoord heb is nog een klein beetje aannemelijk, maar om het dan maar "een of ander softwarebedrijfje" te noemen is natuurlijk gewoon een vorm van stoken. Sowieso, als je Verizon niet kent, waarom noem je het dan "een softwarebedrijfje"?

RagingRaven @The Realone • 16 augustus 2024 10:52

Het onbekende softwarebedrijfje waarop gedoeld wordt is in dit geval "Smith Micro Software" en ik geef hem daarin groot gelijk, ik heb er ook nooit van gehoord.

De app in kwestie heet Showcase.apk en zou door Smith Micro Software gemaakt zijn voor telecomprovider Verizon.

Dus het slaat zeker wel ergens op

snollygoster @theobril • 15 augustus 2024 21:37

Er zit ook een kantoor of dc van ze, hier in Nederland:
https://maps.app.goo.gl/mwSw6kpmbQ7siFpz6

TheVivaldi @Helium-3 • 16 augustus 2024 14:20

Ik ben ook een consument in de EU, maar ik ken Verizon wel. Ik denk dus niet dat dat ermee te maken heeft.

Triblade_8472 @theobril • 15 augustus 2024 20:45

De app in kwestie heet Showcase.apk en zou door Smith Micro Software gemaakt zijn voor telecomprovider Verizon.

Is niet door Verizon gemaakt.

Dorank @theobril • 15 augustus 2024 21:36

Van de 5 grootste mobile providers van India heb ik nog nooit iets gehoord, het enige wat bekend voorkomt is nummer 3 waar vodafone in de naam zit (en de top 3 heeft meer subscribers van Verizon).

Van de 3 grootste mobile provider van China heb ik nog nooit gehoord.

Ik ken Verizon wel, aangezien ik daar zakelijk mee te maken had in Nederland als telefonie provider. Maar ik kan me prima voorstellen dat een meerderheid geen idee heeft van het bestaan van Verizon.

biteMark @Helium-3 • 15 augustus 2024 20:31

Tot op de kleinste details wordt er vaak nagedacht over security. Maar dat er een gehele app de pijplijn van softwareproductie doorgaat zonder gezien te worden, terwijl derden dat wel opvalt, is wel echt bizar.

Ik denk dat je hier teveel uitgaat van de goede wil van Google. Ik wil ze niet slecht praten - integendeel - maar dit zit er niet sinds gisteren in en er werken dagelijks ontwikkelaars aan Android.

FooLsKi @biteMark • 15 augustus 2024 21:25

Ik denk dat die app ergens bij Google op een interne lijst van standaard Android-apps is gezet, net zoals bijv. Messages en je dialer, en dat niemand er ooit aan gedacht heeft om die ervan te verwijderen. Devs die geen idee hebben wat die app precies is en zich domweg aan het standaardlijstje houden, en voor je het weet zit zoiets 5+ jaar in je builds.

Reinier 182 @Helium-3 • 15 augustus 2024 21:30

Is een grote provider in Amerika.

JWL92 @Helium-3 • 16 augustus 2024 00:20

nooit n amerikaanse (smart)phone review (of reclame) gezien in de afgelope 30 jaar?

satya @Helium-3 • 16 augustus 2024 09:51

Hoezo bizar, je weet ook waar alle fysieke onderdelen vandaan komen en wat daar al dan niet mee aan de hand is, wat de firmware states er van is etc.....

mdcoo @Jazco2nd • 15 augustus 2024 21:40

De titel had wel iets wat genuanceerder gemogen... De koppensnellers hebben nu dus het idee dat Google Pixel telefoons onveilig zijn. En zullen dat net zo hard door breefen aan mensen die al helemaal niet thuis zijn hierin.

It’s not clear if other Android devices also have “Showcase” installed, but Google is apparently “notifying other Android OEMs.”

https://9to5google.com/20...p-security-vulnerability/

[Reactie gewijzigd door mdcoo op 15 augustus 2024 21:45]

Ikzellef @Jazco2nd • 17 augustus 2024 12:43

Staat toch heel duidelijk in het artikel: wereldwijd
Niet alleen de hoofdpunten lezen

mocean 15 augustus 2024 20:19

Ik vind het bizar dat Google akkoord gaat met opnemen van een demo-app voor Verizon, die ze vervolgens op elke image installeren? Laat Verizon dat lekker zelf op een toestel installeren...

FooLsKi @mocean • 15 augustus 2024 21:33

Zo'n 7 jaar geleden waren de eerste Pixel-telefoons vziw enkel in de US te koop en het zou me niets verbazen als die Verizon exclusive waren. Dus ik kan snappen hoe en waarom die app erin is opgenomen. Het is best slordig van Google dat ze die lijst met standaardonderdelen voor latere OS-versies niet (goed) hebben gereviewed.

jdh009 @FooLsKi • 15 augustus 2024 23:44

Klopt, Verizon was de officiële verkoper van de Pixel 2 naast de webshop van Google zelf waar de modellen op alle netwerken konden worden gebruikt.

Ook de eerste Google Pixel telefoon, die in oktober 2016 werd gelanceerd, was in de Verenigde Staten exclusief te koop via Verizon als de enige officiële mobiele provider zover ik kan vinden.

Aankondiging van de Pixel 2:
https://www.verizon.com/a...xclusive-wireless-partner

This vulnerability was identified on Google Pixel devices starting from those sold after September 2017.

Mogelijk dus al sinds de pixel 1 of 2 en zeker de modellen erna.

[Reactie gewijzigd door jdh009 op 15 augustus 2024 23:47]

Thile @mocean • 15 augustus 2024 21:03

Verizon zegt tegen Google: zorg dat deze app draait, zo niet, geen Pixels via onze verkoopkanalen. Ik geloof dat in de VS de meeste verkopen nog steeds via de providers gaan. Verizon is wat dat betreft een maatje groter dan de Pixels van Google.

verytallman 15 augustus 2024 20:15

Met een alu hoedje op zou ik dit gewoon een achterdeur noemen... Op elke pixel telefoon staat dit wereldwijd, er is gewoon geen logische reden voor.

Ortep

@verytallman • 15 augustus 2024 20:57

Zet je alu hoedje maar weer af.
Om te beginnen is het lastig om voor verschillende landen verschillende firmware apart te gaan bijhouden. Één enkele is veel eenvoudiger. En in 2017 was de Pixel nog niet echt wijd verkrijgbaar buiten de VS.
Ten tweede werkt deze achterdeur alleen als je hem zelf open zet zoals je in het artikel kan lezen

JWL92 @Ortep • 15 augustus 2024 23:58

Om te beginnen is het lastig om voor verschillende landen verschillende firmware apart te gaan bijhouden

kan toch wel per regio... ZELFS XIAOMI DOET DAT!

PaulHelper @JWL92 • 16 augustus 2024 07:48

Ja tuurlijk kan dat ik weet niet wat Ortep doet en of hij ooit custom roms heeft bekeken of mee gespeeld maar daar moet je echt zorgen dat je de goede firmware pakt anders kan het zo dat je telefoon het niet meer doet over NL netwerken of bepaalde wifi banden het ineens niet meer doen.
Als bewijs ook
https://developers.google.com/android/ota

[Reactie gewijzigd door PaulHelper op 16 augustus 2024 07:48]

PaulHelper @Ortep • 16 augustus 2024 07:46

Uhm zulke dingen worden keihard geautomatiseerd om verschillende firmwares te onderhouden. Je hebt een base layer en daarover heb je dan regio specifieke code/functies of wat je ook wil. Dit heeft regelmatig ook te maken met radiofrequenties lokale wetgeving maar ook mogelijke extras zoals 5G eerder of Google Fi support.
Kijk voor de grap eens hier:
https://developers.google.com/android/ota.
Ik zie minstens 5 firmware versies. Zoals JP/EU, CA, Au, Verizon, Telus.
Ik heb tot nu toe volgens mij nog geen enkele telefoon gezien die maar 1 firmware image heeft die 100% global is. Als dat al was hadden ze sowieso nog iets specifieks zoals China of US versies.

flaskk @Ortep • 15 augustus 2024 21:05

Dat durf ik hard op tegen te spreken. had pas een iPhone op ali gekocht, bleek Chinees model te zijn, zowel hardware als software anders in elkaar. Oa 2 fysieke sims, geen wifi bellen, geen FaceTime en je kunt niet even stilletjes een foto maken want dat geluidje kun je niet uitzetten.

007Nightfire @flaskk • 16 augustus 2024 00:10

Wat spreekt je precies tegen?
Apple heeft inderdaad verschillende versies van iPhones, met name speciaal voor grote markten waar het financieel rendabel is om daar een speciale versie voor te maken. Eén enkele versie zou nog steeds makkelijker zijn en goedkoper, maar dat staat China niet toe.
Volgens mij is dat ook de reden waarom de Pixel telefoons niet in China ondersteund worden. Werkt de Play Store daar überhaupt? Volgens mij is een groot deel van Google's services in China onbruikbaar namelijk.
Het punt is dat bijvoorbeeld de telefoons voor Europa en Noord Amerika voldoen aan de regelgeving voor beide regio's en dan ook volgeladen worden met software voor beide regio's, in plaats van tal van verschillende versies per land. Dat is veel makkelijker en goedkoper. En niet verrassend onveiliger.

Over het alu hoedje; Ik denk dat aan een echte achterdeur wel meer aandacht besteed zou worden. Dan zouden ze niet gaan voor iets wat fysiek geactiveerd moet worden. Dan ga je voor iets wat standaard aanstaat en niemand vreemd van opkijkt, wat toch net iets anders doet dan verwacht. Toch?

twkr18526 15 augustus 2024 20:18

Ik vind dit wel een moedig besluit van Palintir en hopelijk een sterk signaal aan Google of ieder ander Android toestel fabrikant:

“Google die software van derden in de firmware van Android inbouwt en dit niet bekendmaakt aan verkopers of gebruikers, creëert een aanzienlijke kwetsbaarheid voor iedereen die op dit ecosysteem vertrouwt"

En vervolgens:

“Om onze klanten te beschermen, hebben we de moeilijke beslissing moeten nemen om af te stappen van Android in onze onderneming.”

catfish @twkr18526 • 16 augustus 2024 00:15

En wat gaan ze dan wel gebruiken? iPhone?
Want Apple is transparant over iOS?
Grappig...

starwars77 @catfish • 18 augustus 2024 12:47

Ja, iPhone. Blijkbaar hebben die een betere reputatie. Volgens mij duurde het patchen ze te lang en reageerde Google niet adequaat op meldingen van iVerify.

Freeaqingme 15 augustus 2024 20:26

Het gaat hier over 'Google Pixel Telefoons', maar dat lijkt me alleen te gaan om de Google Pixel telefoons met de standaard meegeleverde software? Dus dat als je er bijv. grapheneos op zet, je hier vermoedelijk geen last van hebt?

nst6ldr

Google Pixel

@Freeaqingme • 15 augustus 2024 21:36

Correct. GrapheneOS is uiteraard veiliger dan Android met PixelUI, ook in dit geval. Vaak pushen ze ook fixes voor exploits upstream naar AOSP zodat andere fabrikanten er ook baat bij hebben (alleen wat later).

Gerwin486741 16 augustus 2024 00:04

Ik had vanavond op m'n pixel 7 een security update met mandatory restart. 16 mb

JWL92 @Gerwin486741 • 16 augustus 2024 00:25

16.93MB op mn pixel 7a

kuurtjes @JWL92 • 16 augustus 2024 00:45

MB of MiB?

Theswitch 15 augustus 2024 20:26

Het gaat om com.customermobile.preload.vzw package name. Het rapport kan je https://d4kmbx04.na1.hubs...ZP6ZN1C4D_Mkfw8Gf6NJ3Y004 hier downloaden.

[Reactie gewijzigd door Theswitch op 15 augustus 2024 20:27]

bitpixl 15 augustus 2024 20:38

GrapheneOS gebruikers kunnen rustig slapen, GrapheneOS is gebasseerd op AOSP (Android Open Source Project) en daar zit deze file en/of andere files van Verizon standaard niet in.

https://discuss.grapheneo...eadline-about-showcaseapk

Op dit item kan niet meer gereageerd worden.

Google Pixel-telefoons bevatten kwetsbaarheid door verborgen Android-app

Lees meer

Reacties (80)

Sorteer op:

Weergave: