WICHTIG BITTE LESEN!!!

Originally shared by Kristian Köhntopp

Sideloading Ingress Clients

Es wird auf verschiedenen Wegen klar, warum ein Haufen Leute in der letzten  #ingress  Bannwelle ihre Accounts verloren haben: Offenbar prüft Niantic inzwischen Prüfsummen der Clients auf irgendeine Weise, und diese Personen haben modifizierte Clients verwendet – entweder bewußt (broot) oder unbewußt.

Wie zum Teufel verwendet man unbewußt einen modifizierten Client?

Indem man hört, daß ein neuer Ingress Client verfügbar ist, man selber das Binary aber wegen staggered Rollout in der Download-Lotterie des Play-Store noch nicht zugeteilt bekommen hat.

Und dann ungeduldig wird.

Und dann das vermeintliche APK aus einer fremden Quellen absaugt und gierig installiert.

Offenbar existieren Ingress Clients als Sideload, mit der richtigen Versinosnummer, mit dem richtigen aussehen, aber mit der falschen Prüfsumme. Das heißt, diese Clients unterscheiden sich vom Originalclient auf irgendeine, nicht sichtbare Weise.

Man darf jetzt spekulieren, wie sich das genau funktional auswirkt.

Leute, wenn Ihr solche Dinger installiert, dann gefährdet Ihr nicht nur Euren Ingress-Account, sondern im schlimmsten Fall Euren gesamten Google-Account und alles was da mit dran hängt und den gesamten Content Eures Telefons und alle anderen Accounts, die auf dem Telefon mit drauf hängen (Facebook, Twitter, …).

Die Android Security Architektur versucht auf verschiedene Weise, das zu verhindern (*1), aber wenn Ihr der in den Rücken fallt, dann kann sie das nicht. Und zaubern kann sie auch nicht.

Seid nicht dumm. Wartet auf das APK im Play Store.

(*1) Ein APK ist signiert, aber eine CA gibt es nicht. Ein neues APK installiert sich, wenn es mit demselben Key signiert worden ist wie sein Vorgänger.

Wenn ihr also das alte Binary vom Device kratzen müßt, weil sich das neue APK sich sonst nicht installiert, dann hat sich der Signierschlüssel vom Binary geändert. Das heißt: ihr werdet gerade verarscht.

Wenn Ihr schon einen Sideload macht, dann installiert erst das alte Binary aus dem Play Store und danach manuell den Sideload. Geht der dann nicht rein, ist das ein todsicheres Zeichen für ein schimmliges Binary.

Ein Android-Binary läuft auf dem Telefon als ein eigener User, und seit Android 4.4 auch in einer SELinux-Schutzhülle. Es kann nur auf wenige Dateien zugreifen und es kann nur mit den im Manifest der Anwendung deklarierten Rechten agieren.

Indem man erst das alte Binary aus dem Play Store lädt und das fragwürdige Binary darüber installiert, sieht man nicht nur, ob die Signatur des Herausgebers unverändert bleibt (das APK installiert nicht, wenn sich für dieselbe Anwendung der Herausgeber in einem Update ändert), sondern eine Rechteeskalation würde von Android auch hervorgehoben werden und die neuen Rechte gesondert angezeigt – wo sie dann manuell bestätigt werden müssen.

Aber das ist alles Unsinn: Wer schlau ist, wartet auf das APK im Play Store.