Ein weiterer geheimer Browser von Google
(matan-h.com)- Ein versteckter Browser in Google Play Services lässt sich über Website-Links in der Contacts-App öffnen und kann die allgemeinen Einschränkungen der Google-Kindersicherung sowie den lock-down mode umgehen
- Die Umgehung ist möglich, weil auch im lock-down mode Google Play Services und die Contacts-App für Telefonkontakte verfügbar bleiben und die von Contacts geöffneten deeplinks nicht von der Kindersicherungs-Sperre erfasst werden
- Führt zum Android-„What’s new“-Bildschirm und kann über die Google-Hilfe und Google-Seiten wie ein Browser genutzt werden
- Auch screen pinning ab Android 11+ lässt sich umgehen, indem man in der Contacts-App
https://podcasts.google.comöffnet, ein Google-Podcast-Popup aufruft und dann zum Standardbrowser wechselt - Google nahm die Meldungen zur Umgehung der Kindersicherung und des screen pinning als separate Fälle entgegen, antwortete beim screen-pinning-Bypass jedoch, dies sei intended behavior, und verwies auch die doppelte Bearbeitung auf ein separates Prämienprogramm
Über Contacts-Links geöffneter Browser in Google Play Services
- In Google Play Services gibt es einen über Links erreichbaren geheimen Browser, der sich über das Website-Feld eines Kontakts in der Contacts-App öffnen lässt
- Der Ablauf: In der Contacts-App einen Kontakt bearbeiten oder neu erstellen, im Feld „Website“
https://gds.google.com/gmsdropseintragen, speichern und anschließend den Link öffnen - Dieser Link ist ein deeplink zum Android-„What’s new“-Bildschirm
- Über „Show me“ und „Learn more“ gelangt man in eine Browseransicht
- Danach kann man im Hamburger-Menü „Google Help“ antippen und im Menü erneut „Google“ auswählen, um zur Google-Seite zu wechseln
- Dieser Browser kann in einem Google-Konto angemeldet sein oder auch nicht
- Wenn man sich dort bei Google abmeldet, hat das keine Auswirkungen auf den Chrome-Browser
- Im lock-down mode sperrt Google Apps einschließlich des Android-Launchers und Teilen des Systems, lässt aber Google Play Services, das für Popups und das Anwenden von Einschränkungen genutzt wird, sowie die Contacts-App für Telefonkontakte verfügbar
- Die Kindersicherung erlaubt das Öffnen von deeplinks nicht, doch beim Antippen des Website-Felds eines Kontakts wird der Link von der Contacts-App geöffnet und daher nicht blockiert
Umgehung von Android screen pinning und Googles Antwort
- Android screen pinning ist eine Funktion in Android 11+, mit der der Bildschirm auf eine bestimmte App fixiert wird, sodass ohne Erlaubnis nicht zu anderen Apps gewechselt werden kann
- Derselbe
gmsdrops-Link kann im screen-pinning-Zustand nicht genutzt werden, weil er eine neue App öffnet - Stattdessen öffnet sich der Google Podcast-deeplink nicht als vollständige App, sondern als Popup-Fenster
- Trägt man
https://podcasts.google.comin das Website-Feld der Contacts-App ein und öffnet den Link, während die App fixiert ist, erscheint ein Google-Podcast-Popup-Fenster - Über das Google-Kontosymbol und „Content policies“ kann man zum Standardbrowser wechseln
- Danach lässt sich über Google Help und das Google-Menü zur Google-Seite navigieren
- Trägt man
- An Google wurden zwei Fälle separat gemeldet
- Umgehung der Kindersicherung
- Umgehung von Android screen pinning
- Google führte den Fall zur Umgehung der Kindersicherung mit dem Fall zur Umgehung des screen pinning zusammen, woraufhin die Behandlung als Duplikat unklar wurde
- Googles Antwort zur Umgehung von screen pinning lautete: „Android screen pinning bypassing is the intended behavior“
- Zur Duplikatbehandlung wurde der Fall als Duplikat von „potentially another issue“ geschlossen; zudem gab es sinngemäß die Antwort, dass es sich wegen eines separaten Prämienprogramms nicht um ihr Problem handle
1 Kommentare
Meinungen auf Hacker News
Wenn man ein Team ist, das Hinweise auf Sicherheitslücken entgegennimmt, sollte man nicht sagen: „Das ist Sache eines anderen internen Teams, frag dort nach.“
Eigentlich sollte fast jeder innerhalb einer Organisation, der einen plausiblen Hinweis auf eine Schwachstelle erhält, dafür sorgen, dass er an die richtige Person weitergeleitet wird; das ist nichts, was man einfach abwimmelt.
Andererseits ist Supportarbeit, ob für externe Kunden oder interne Stakeholder, wie ein Schwarzer-Peter-Spiel: Wer als Erstes nicht an jemand anderen weiterreichen kann, verbrennt sich.
Es wäre schön, wenn alle Kundenbeschwerden lösen würden, unabhängig davon, wer tatsächlich Befugnis oder Verantwortung hat, aber in der Realität verhalten sich viele Menschen nach der Kopenhagener Deutung der Ethik.
Schon das Weiterleiten an die verantwortliche Person ist riskant, und wer sich darüber hinaus einbringt, wird unabhängig von der tatsächlichen Zuständigkeit in das Problem hineingezogen und dafür verantwortlich gemacht.
Man kann das ein Prinzipal-Agent-Problem nennen, oder auch „Überleben in einer Welt, in der Antragsteller Jagd auf jemanden machen, der ihre Anfrage erfüllt“.
Früher habe ich versucht, alle internen Anfragen zu erledigen, die auch nur entfernt mit meiner Arbeit zu tun hatten, aber mein direkter Manager sagte mir, ich solle für jede Hilfe, die länger als eine Minute dauert, eine Projekt-ID oder einen Abrechnungscode verlangen. Sonst würde ich nicht mehr zu der Arbeit kommen, für die tatsächlich bezahlt wird.
„Ich kenne keinen Kontakt in einer anderen Abteilung bei Google“, „Ich kenne keine E-Mail-Adresse von irgendwem in einem anderen Google-Team“ – da fragt man sich wirklich, was das soll.
Es ist zwar ein Designfehler in einer dem OS hinzugefügten Funktion, aber ob das zwingend eine große Untersuchung erfordert, ist eine andere Frage.
Es klang nicht so, als hätten sie gesagt: „Wir werden uns das nicht einmal ansehen.“
Selbst in unserem Unternehmen hätte ich keine Ahnung, wie man das machen sollte.
Als ich klein war, standen in den Lobbys von Einrichtungen wie Banken Computerterminals mit speziellen Browsern, die nur die Website des Unternehmens öffnen konnten, und damals waren auch Best Viewed In-Badges verbreitet.
Wenn ich mit meinen Eltern auf Besorgungen mitging, suchte ich solche Computer, klickte mich etwa zu Help-Seiten durch und fand dann so ein Badge; darüber konnte man die Beschränkung des Ein-Site-Browsers umgehen und zu Seiten wie netscape.com gelangen.
Von dort aus fand man Links zu Suchmaschinen und konnte sich ansehen, was man wollte.
Also öffnete ich mit CTRL+ALT+DEL den Task-Manager und beendete die Demo-Software.
Hartnäckigere Demos starteten sofort wieder, also öffnete ich msconfig, entfernte sie aus den Autostart-Programmen und startete neu.
Leute, die danebenstanden, waren beeindruckt und baten mich, das auch mit ihrem PC zu machen, damit sie Minesweeper oder Pinball ausprobieren konnten.
Heute klingt das amateurhaft, aber Mitte der 90er war CTRL+ALT+DEL eine Art Power-Tool, das nur Eingeweihte kannten.
Wenn man in MS Word „URL öffnen“ auswählte und eine Suchmaschine oder die gewünschte Website eingab, öffnete sich der Browser und man konnte den Webfilter umgehen.
Diese Server zeigten normalerweise die motd mit more an und leiteten dann zu Software wie lynx weiter, nutzten aber keinen restricted mode, sodass man mit
!sheine Shell öffnen konnte.Das waren gute Zeiten.
Weil man E-Mail im Web öffnen konnte, schickte ich mir einen Link zu einer Suchmaschine per Mail und öffnete ihn aus der E-Mail per Rechtsklick im selben Frame.
Danach konnte man überallhin, was sich über die Suchergebnisse finden ließ.
Ich habe zwar selbst in den 2000ern in der Highschool Beschränkungen umgangen, aber es wäre schön, wenn jemand, der vorbeikommt, das genauer erklären könnte.
Googles Kindersicherung lässt sehr viel zu wünschen übrig.
Es gibt schon seit Langem den Wunsch, die Play-Store-App deaktivieren zu können, aber bis heute geht das ohne adb nicht, und adb ist keine gute Lösung, weil es andere Probleme verursacht.
Es fühlt sich so an, als würden echte Kinder die Kindersicherung nicht testen.
Eine Zeit lang ließ sich ein YouTube-Zeitlimit sehr leicht umgehen: Man öffnete den Play Store, ging in der Screenshot-Liste zu einer App, in der ein Video zu sehen war, und wechselte von dort zu YouTube.
Mein Sohn hat das selbst entdeckt und mir gezeigt.
Ich habe ein fünfseitiges Dokument geschrieben, in dem ich dieses Problem zusammenfasse, aber ich habe niemanden, dem ich es schicken könnte.
Der größte Frust entsteht bei zwei älteren Kindern, die keine Kleinkinder mehr sind, und mehreren Google-Geräten: Smartphones, Tablets, Google TV und PCs, auf denen sie mit Google-Konten angemeldet sind.
Google scheint Kindersicherung als Aufsichtssituation zu verstehen, in der „Billys Telefon physisch von den Eltern übergeben und danach wieder eingesammelt wird“.
Grundsätzlich ist sie nicht auf Kontoebene, sondern auf Geräteebene angesiedelt, was umständlich und leicht zu umgehen ist.
Wenn Jill zum Beispiel mit ihrem Konto Zugriff auf drei Google-TVs im Haus hat, lässt Family Link für jeden Fernseher separat festlegen, wie viele Stunden pro Tag erlaubt sind.
Für Jill ist ein Fernseher aber einfach ein Fernseher; wenn sie allein zu Hause ist, verbraucht sie das Kontingent des ersten Fernsehers und geht dann zum nächsten.
Ich habe keine Belege dafür, aber es wirkt, als würden unterschiedliche Produktteams in Wirklichkeit nicht eng zusammenarbeiten oder sogar dafür belohnt, nicht zusammenzuarbeiten; vielleicht sind solche Teams innerhalb von Google auch Sackgassen-Teams.
Es scheint, als hätten die Produkt- und Engineering-Leute, die zum Family-Link-Team kommen, entweder keine echten Kinder, zu junge Kinder oder höchstens ein kleines Kind.
In dem Moment, in dem man die Bedienungshilfen-Berechtigung erhält, kann man das Gerät des Nutzers vollständig steuern.
Man hätte die Berechtigungen aufteilen und fein granularere Steuerungs-APIs bereitstellen können, aber es wirkt, als sei das Design auf den extremen Fall ausgerichtet, dass vollständig blinde Nutzer eine Bedienungshilfen-App als Schnittstelle für alle Interaktionen verwenden müssen.
Das Ergebnis ist, dass man einer App vollständig vertrauen und ihr einen Blankoscheck geben muss, mit dem sie auf dem Gerät alles tun kann, selbst wenn man nur eine einzige Funktion dieser API nutzen möchte.
Am Ende entsteht allein aus dem Grund ein riesiges Loch in der Plattform-Sicherheit, dass „dies das einzige Nutzungsszenario ist, das wir vorgesehen haben, und für andere Zwecke machen wir keine Kompromisse“.
Wenn man ein Kind nicht gerade im Keller einsperrt, um es völlig von seiner Peergroup zu isolieren, kann man technisch gegen ein auch nur etwas interessiertes Kind kaum gewinnen.
Diese Funktion funktioniert am besten als weiche Grenze: so, dass eine Umgehung zu eindeutigem, nicht wegzudiskutierendem Ungehorsam wird.
Letztlich ist es Kindersicherung und keine Sicherheit gegen die NSA, und sie technisch perfekt zu machen, könnte für alle schlechter sein.
Es ist eine Funktion, die eingebaut wurde, damit sich Verbraucher sicherer fühlen, aber wenn man sie wirklich verwenden will, gibt man schnell auf.
Ein kleines Beispiel: In iOS Screen Time kann man Websites auf eine Allowlist beschränken, was nützlich klingt, aber dadurch gehen massenhaft Dinge wie Login-Bildschirme verschiedener Apps kaputt.
Es gibt auch keinen Hinweis darauf, welche URL man erlauben muss, um etwas zu reparieren.
Bei moderner Technik denke ich manchmal: „Das ist so kompliziert und kaputt, dass es unmöglich viele echte Nutzer haben kann“, und bei Kindersicherung fühlt es sich genau so an.
Letztlich ist sie nur ein Ersatz für Eltern.
Entweder man interessiert sich für sein Kind und weiß, was es tut, oder eben nicht.
Wenn man glaubt, dass das Kind für irgendetwas im Web anfällig ist, ist es wahrscheinlich besser, ihm von vornherein kein Smartphone zu geben.
Wenn das Kind alt genug ist, um es zu verstehen, braucht es keine Software-Kindersicherung, sondern Eltern; und gute Eltern brauchen keine Kindersicherung in den Apps ihrer Kinder.
Kindersicherung verhindert außerdem, Apps aus anderen Quellen zu installieren, dabei bevorzuge ich F-Droid-Apps gegenüber Play-Store-Apps.
Schließlich lehrt, trainiert und verstärkt diese Funktion die Illusion, dass wir von irgendeinem Softwareunternehmen kontrolliert und „vor Gefahren geschützt“ werden.
Das ist ein Hacking-Trick wie die Umgehung des Windows-98-Anmeldebildschirms.
https://i.imgur.com/BULPmCI.gif
Ehrlich gesagt hätte ich nicht erwartet, dass Google beim Systemdesign auf das Niveau von Microsoft Windows 98 absinkt.
Auch normale Nutzer können die Schritte nachmachen.
Ein großer Teil von Sicherheit scheint darin zu bestehen, die Angriffsfläche zu minimieren, damit man weniger Dinge bedenken muss.
Warum um alles in der Welt sollte man aus einem Login-Dialog heraus Tooltips drucken können müssen?
Sobald Drucken ins Spiel kommt, kommen alle möglichen unsicheren Drittanbieter-Komponenten mit hinein.
Selbst wenn man das Drucken von Tooltips oder Hilfetexten erlaubt, hätte es einen Sicherheitskontext geben müssen, in dem solche Funktionen deaktiviert sind.
Bei PDF ist es ähnlich: 99 % der beliebigen Zusatzfunktionen wie 3D-Modelle oder Scripting wurden für Sicherheits-Exploits genutzt.
Es ist besser, die Voreinstellung einfach zu halten und solche Funktionen zu vermeiden.
Dieses klassische Meme kommt mir in den Sinn: https://imgur.com/BULPmCI?r
Ich habe einmal eine ähnliche Technik wie im Originaltext für einen FRP-Bypass auf einem Pixel 2 verwendet, das ich gebraucht auf Craigslist gekauft hatte.
Mir kam auch der Gedanke, dass der Moment, als ich als Kind aus Langeweile stundenlang auf diesen Bildschirm starrte, ihn schließlich knackte und zum ersten Mal dieses „Aha-Gefühl“ bekam, wohl die Richtung meines ganzen Lebens bestimmt hat.
Ich erinnere mich an meinen ersten „Hack“ und daran, wie ich im Inneren von Computersystemen herumhantierte; daraus wurde dann eine Laufbahn in IT und Engineering
Beim Raubkopieren von Halo PC habe ich den Familiencomputer mit einem Trojaner lahmgelegt und musste herausfinden, wie ich ihn repariere, bevor mein Vater nach Hause kam
Auch als meine Eltern plötzlich eine Kindersicherung wie NetNanny auf unserem eigenen PC installierten, musste ich sie umgehen. Da nutzte ich das Internet schon seit ein paar Jahren, und vielleicht war wegen der oben erwähnten schlampigen Raubkopie ein Brief von Comcast gekommen
Beim Versuch, das Netbook wieder brauchbar zu machen, ohne Spuren der Änderungen zu hinterlassen, kam ich mit Linux Live CD und Linux in Berührung
Schön zu hören, dass die Hacker von morgen immer noch so eine Ausbildung bekommen
Ich fand Link auf Link auf Link, der beliebige Telnet-Verbindungen herstellen konnte, und versuchte so, die Beschränkung zu umgehen, die den kostenlosen Einwahldienst nur für den eigenen Dienst nutzbar machen sollte
Zum Beispiel wollte ich auf einem öffentlichen Server von tamu.edu Nethack spielen; den genauen Domainnamen weiß ich heute nicht mehr
Ein Klassiker
Es gibt auch einen früheren verwandten Beitrag
Google has a secret browser hidden inside the settings - https://news.ycombinator.com/item?id=36478206 - Juni 2023, 312 Kommentare
Ich habe gelesen, dass Google Play Services sich selbst neue Berechtigungen erteilen kann[1]
Wie ist das möglich? Hat es root-Rechte?
[1]https://developers.google.com/android/guides/permissions
Aber die Liste der Berechtigungen, auf die solche Apps zugreifen können, ist so breit, dass sie sich praktisch wie root nutzen lassen, wenn Entwickler genug davon definieren
Es ist nicht der tatsächliche Nutzer
root, wird aber blind vertraut und kann Dinge wie App-Installationen ohne Nutzerbestätigung durchführenWie in einem anderen Blogbeitrag zu GMS behandelt, kann die JS-Bridge in einem privilegierten Kontext ausgeführt werden
Bei der Installation von Android hat man dem im Grunde zugestimmt, indem man der Datenschutzerklärung von Google zugestimmt hat
Zum Beispiel mit GrapheneOS
Sie kann bereits Apps ohne Zustimmung des Nutzers installieren und entfernen
In der Vergangenheit gab es deswegen auch schon Probleme, aber es ist nicht genug passiert
GrapheneOS mit sandboxed Play Services scheint nicht betroffen zu sein
Die Phone-App scheint Web-URLs von Kontakten weder sehen noch öffnen zu können, und auch die Contacts-App scheitert im Pinning-Modus daran, die beiden im Artikel genannten URLs zu öffnen
Wer die frühere Diskussion von 2023 sehen möchte, findet sie hier, 312 Kommentare
https://news.ycombinator.com/item?id=36478206