1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › Spyware-Vorwurf: Google…

Problem dürfte Libravatar gewesen sein

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Problem dürfte Libravatar gewesen sein

    Autor: Tuxgamer12 20.05.22 - 11:50

    Zumindest schreibt er ja hier
    https://forum.xda-developers.com/t/app-5-0-fairemail-fully-featured-open-source-privacy-oriented-email-app.3824168/page-1089#post-86913771

    "Edit: removing a link in the change log (!) to Libravatar seems to have fixed the problem before."

    Also die Sache mit Libravatar:
    * Das Libravatar-Feature übermittelt tatsächlich ALLE Email-Adressen (vollständig) an einen Server.
    * Das Feature ist grundsätzlich in Google-Play Releases deaktiviert
    * Der Quellcode, um die Email-Adressen hochzuladen ist jedoch vorhanden! Wird eben nur nicht aufgerufen, weil boolean anders gesetzt ist.

    Dass die Beschreibung aus dem Review-Process absolut Unbrauchbar und mehr Rätselraten als sonst etwas ist - brauchen wir nicht darüber zu disktuieren.

    Aber grundsätzlich muss ich Google schon recht geben.
    Wenn Google Code findet, der eindeutig gegen die Richtlinien verstößt, wird die App nicht zugelassen - ganz einfach.
    Und nicht: Google beginnt dann einen Nachweis zu führen: Der Code wird doch nie aufgerufen (was im allgemeinen nicht einmal geht) um die App doch zulassen zu können.

    Ich kann schon verstehen, wieso der Entwickler gekränkt ist. Aber es gelten nun mal die gleichen Richtlinien für seine gut gemeinte Open-Source App, wie für jede potentiell böswillige App jeder Datenkrake auch.



    2 mal bearbeitet, zuletzt am 20.05.22 11:51 durch Tuxgamer12.

  2. Re: Problem dürfte Libravatar gewesen sein

    Autor: spYro 20.05.22 - 11:57

    Bzgl. deinem letzten Absatz: Niemand hat behauptet es wäre schlecht, dass Code geprüft wird.
    Darum geht es im Artikel aber überhaupt nicht.
    Es ist aber leider Fakt, dass Google (ebenso wie Youtube etc) sich erlauben zu Sperren und Blocken, ohne eine Chance zu geben das Problem zu beheben. Du als Einzelperson hast da keine Chance. Du bekommst keine Infos, was das Problem ist, du hast keinen Ansprechpartner und keinen Support.
    Nur als riesen Firma oder großer Influencer hast du bei Google&Co direkte Ansprechpartner, die solche Probleme dann "schnell und unter der Hand" lösen.
    Darum geht es hier im Artikel. Nicht darum, dass ein Algorithmus vllt verdächtigen Code findet.

  3. Re: Problem dürfte Libravatar gewesen sein

    Autor: ashahaghdsa 20.05.22 - 12:23

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > * Das Libravatar-Feature übermittelt tatsächlich ALLE Email-Adressen
    > (vollständig) an einen Server.

    Nun ja, es wird der MD5 hash übertragen. Der lässt sich mit hinreichend Aufwand im Zweifelsfall reversen, vor allem alle gmail adressen und alle, die in irgendeiner gehackten Datenbank stecken (also fast alle). Aber als vollständig würde ich das jetzt auch nicht bezeichnen.

  4. Re: Problem dürfte Libravatar gewesen sein

    Autor: ikhaya 20.05.22 - 13:40

    Dann streich ich die Funktion, beide Seiten reden mit einander, Google prüft nochmal und gut ist es.
    Halte ich jetzt nicht für eine Funktion die wichtig genug wäre darüber Streit anzufangen^^

  5. Re: Problem dürfte Libravatar gewesen sein

    Autor: masterx244 20.05.22 - 14:22

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Dann streich ich die Funktion, beide Seiten reden mit einander, Google
    > prüft nochmal und gut ist es.
    > Halte ich jetzt nicht für eine Funktion die wichtig genug wäre darüber
    > Streit anzufangen^^

    Das "reden miteinander" ist bei G00gle für Kleinentwickler unmöglich da ANfragen dort in /dev/null archiviert werden

  6. Re: Problem dürfte Libravatar gewesen sein

    Autor: ashahaghdsa 20.05.22 - 15:45

    Wie schon beschrieben: Bei Google war der Code deaktiviert. Wäre interessant zu wissen, ob der Compiler den Code dennoch ins Binary eingebaut hat. Theoretisch hätte der Code wegoptimiert werden können.

  7. Re: Problem dürfte Libravatar gewesen sein

    Autor: ikhaya 21.05.22 - 08:24

    Könnte auch sein sie scannen den Code im Allgemeinen und machen keinen Unterschied ob der Code aktiv wird oder nicht. Aber der kritische Punkt ist in der Tat die fehlende Kommunikation.

  8. Re: Problem dürfte Libravatar gewesen sein

    Autor: gunterkoenigsmann 21.05.22 - 14:52

    Ich vermute, dass bei Google niemand wirklich eine Antwort auf Fragen geben kann, da die Reviews der Pakete eine KI übernimmt, die wahrscheinlich gar nicht sagen kann wie sie zu diesem Urteil kommt...

  9. Re: Problem dürfte Libravatar gewesen sein

    Autor: Trockenobst 22.05.22 - 04:40

    spYro schrieb:
    --------------------------------------------------------------------------------
    > Es ist aber leider Fakt, dass Google (ebenso wie Youtube etc) sich erlauben
    > zu Sperren und Blocken, ohne eine Chance zu geben das Problem zu beheben.
    In 99% der Fälle ist das nicht die Wahrheit. Gerade wenn die Leute dann in Foren; Reddit sich beschweren, kommt dann meist raus dass sie was halb schattiges gemacht haben.
    Da würde ich bitte Links zu aktuellen Fällen haben wo das "ohne Grund" passiert ist.

    > Du als Einzelperson hast da keine Chance. Du bekommst keine Infos, was das
    > Problem ist, du hast keinen Ansprechpartner und keinen Support.
    Nehmen wir mal an das stimmt. Nun sagt Google du hast in dem Video einen Song benutzt. Der Besitzer des Songs will 5.000¤ von dir. Dann sagst du dann "hm, zum Glück haben die meinen Channel nicht gesperrt, ich zahl das lieber sofort!" Google wird nicht wild einfach Channel sperren. Die können nicht wissen ob Du in fünf Jahren drei Millionen Subscriber hast. Das wäre hirnrissig. Vieles was Google macht, hilft den Kleinen. Aber sie halten dir nicht die Hand dabei, weil man zu doof ist 10h Videos ala "Wie werde ich vernünftiger Youtuber" zu schauen.
    Beim Appstore gibt es Checklisten mit ca. 100 Punkten im Web. Die ganzen Nuubs lesen die nicht mal durch und dann ist es die große Verschwörung.

    > Nur als riesen Firma oder großer Influencer hast du bei Google&Co direkte
    > Ansprechpartner, die solche Probleme dann "schnell und unter der Hand" lösen.
    Z.B auch die 5.000¤ für den Song zahlen den man benutzt hat. Während der kleine Boy dachte er könnte deutschen Rap in seinen Trash Streams von Call of Duty nutzen. Es gibt gefühlt Millionen von Channels mit 100 Views, warum sind die alle noch da.

  10. Re: Problem dürfte Libravatar gewesen sein

    Autor: gunterkoenigsmann 22.05.22 - 08:26

    So einfach ist das nicht: Die ganzen Plattformen haben die Aufgabe bekommen, Fake news etc. zu entfernen. Aber gleichzeitig sollen sie die freie Meinungsäußerung nicht behindern, Wahlversprechen durchlassen, auch wenn die auf die Definition "Lüge" passen und da richtig Ressourcen investieren. Memes sind in einem Land ein Kulturgut und in einem Anderen ist eine Sekunde aus einem aktuellen Nintendo- Spiel eine Urheberrechtsverletzung. Sagt Nintendo und plötzlich muss man beim Filtern der Inhalte gleich noch prozessieren.

    Wenn Google das nur halbherzig macht, manchmal malicious compliance walten lässt und manchmal komplett nicht nachvollziehbare Entscheidungen trifft, versteh ich das dann; wenn die was von mir zensieren würden und ich würd mir nen Anwalt nehmen würde der mir sicher sagen, ich solle sagen, was Google macht ist für mich nicht nachvollziehbar.

    Bei Software ist das meines Erachtens nach aber ein ganz anderes gelagertes Problem: Du kannst nicht jedes Programm Codezeile für Codezeile reviewen, selbst wenn es nur von 10 Leuten heruntergeladen word und selbst wenn: Findest Du dabei eventuellen obfuscated code, der irgendwas böses machst?

    Oder Du suchst nach genau diesen 5 Codezeilen, die Malware anzeigen können, wissend, dass, wenn Du jemals sagst, wonach Suchst, diese Zeilen obfuscated werden. Oder Du stellst eine KI ein, fütterst sie mit legalen Apps und Malware und bekommst dann ein nichtssagendes Urteil wie "8 out of 21 AIs find your code strange". Wenn der Entwickler nachfragt, kannst Du dann echte Menschen suchen lassen, was dann so strange ist, aber machst Du soviel Aufwand wegen einer App, die keinen Umsatz macht?

  11. Re: Problem dürfte Libravatar gewesen sein

    Autor: treysis 23.05.22 - 08:50

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Könnte auch sein sie scannen den Code im Allgemeinen und machen keinen
    > Unterschied ob der Code aktiv wird oder nicht. Aber der kritische Punkt ist
    > in der Tat die fehlende Kommunikation.

    Wie soll Google das denn pragmatisch tun? Austesten, unter welchen Bedingungen "use_Libravatar = 1" wird? Man müsste da schon mit #ifdev (oder wie das bei Java/Kotlin heißt) nehmen. Dann wird der Code vom Compiler auch gar nicht erst ins Binary übernommen.

  12. Re: Problem dürfte Libravatar gewesen sein

    Autor: ashahaghdsa 23.05.22 - 09:13

    Ich hab nochmal nachgeforscht: Der Code landet nicht im Binary. Im Gradle Build File gibt es konfigurationen für Play, Fdroid, Github und Amazon. Da wird eine Variable gesetzt und die Source Datei der Gravatar Routine durch eine dummy Datei ersetzt. Der Aufruf der Dummy Datei wird dann durch die Variable dennoch unterbunden. Also das wird in der Play version doppelt nicht genutzt.

  13. Re: Problem dürfte Libravatar gewesen sein

    Autor: treysis 23.05.22 - 09:20

    ashahaghdsa schrieb:
    --------------------------------------------------------------------------------
    > Ich hab nochmal nachgeforscht: Der Code landet nicht im Binary. Im Gradle
    > Build File gibt es konfigurationen für Play, Fdroid, Github und Amazon. Da
    > wird eine Variable gesetzt und die Source Datei der Gravatar Routine durch
    > eine dummy Datei ersetzt. Der Aufruf der Dummy Datei wird dann durch die
    > Variable dennoch unterbunden. Also das wird in der Play version doppelt
    > nicht genutzt.

    Ah, danke für die Analyse. Dann ist Libravatar eher doch nicht der Übeltäter?! Hm...

  14. Re: Problem dürfte Libravatar gewesen sein

    Autor: ashahaghdsa 23.05.22 - 09:27

    Da Google keine Details preisgibt, kann man nur Raten. Er meinte, dass Google die App auch schonmal zurückgewiesen hat, weil Gravatar noch im Changelog auftauchte. Vielleicht haben die auch den Source analysiert und nicht verstanden, dass es nicht eingebaut wurde? Vielleicht hat er ausversehen den falschen Build eingereicht? Wobei der vermutlich automatisch Signiert wird und dann der falsche Signaturkey verwendet würde?

  15. Re: Problem dürfte Libravatar gewesen sein

    Autor: gunterkoenigsmann 23.05.22 - 09:41

    Andererseits ist ein Mailprogramm etwas, was on Anfang an suspekt ist: Es macht Netzwerkverbindungen auf und hält die evtl. dauerhaft offen, was schon fast sowas wie ein Server ist. Versucht, regelmäßig Kontakt mit dem Netz aufzunehmen, will SD-Karten-Rechte für Attachments, das Adressbuch, hat kompliziertes HTML-Rendering, das Dinge nachladen kann (Bilder)...

    Ich betreue ein open-Source-Programm, bei dem regelmäßig die die KI diverser Virusscanner Alarm schlägt, da es mit einem kleinen Zusatztool kommt, das ein Bit in einem shared memory segment setzt, um einem anderen Prozess zu sagen, dass der User auf "abort" gedrückt hat (unter Linux macht das der Kill-Befehl, aber unter Windows hab ich nie ne Möglichkeit gefunden, einem Konsolenprogramm, das im Hintergrund und ohne eigenes Konsolenfenster läuft, ein Ctrl+C von dem GUI-Programm aus zu senden, das das Konsolenprogramm per Batchfile gestartet hat). Da kann ich alle paar Monate eine Handvoll Virenscannerhersteller anschreiben und die können die paar Kilobyte analysieren und Whitelisten. Aber falls das Problem ist, dass eine KI in einem riesigen executable sagt: "Das macht mir Angst": Wie kann man mit der aushandeln, was man verbessern muss?

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior IT-Systemadministrator*in (m/w/d) Netzwerk
    DKMS gemeinnützige GmbH, Köln,Tübingen
  2. Wirtschaftsinformatiker*in als Applikations- / Prozessmanager*in Analytik (m/w/d)
    CURRENTA GmbH & Co. OHG, Leverkusen
  3. (Senior) Consultant IBM Integration (w/m/d)
    ITARICON Gesellschaft für IT-Architektur und Integrationsberatung mbH, Dresden
  4. Produktmanagerin / Produktmanager (m/w/d) Online / Offline
    Staatliche Lotterie- und Spielbankverwaltung | Abteilung 1 Referat 12, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Technics EAH-A800 im Praxistest: Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer
Technics EAH-A800 im Praxistest
Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer

Technics' neuer ANC-Kopfhörer EAH-A800 ist eine der besten Alternativen zu Sonys Oberklasse-Kopfhörer WH-1000XM5. Im Bereich Akkulaufzeit liefert er sogar Spitzenleistung.
Ein Test von Ingo Pakalski


    Macbook Pro M2 (2022) im Test: Neues Macbook, neues Glück?
    Macbook Pro M2 (2022) im Test
    Neues Macbook, neues Glück?

    Das Macbook Pro bekommt als erstes den M2-Chip. Im Test stellt sich Apples SoC als tolle Evolution heraus, die im alten Chassis gefangen ist.
    Ein Test von Oliver Nickel

    1. Apple & Chipkrise Halbe SSD im Macbook Pro ist viel langsamer
    2. Notebook Eine zweite Chance für ein 2007er Macbook Pro
    3. Mac Attack Apple plant 15-Zoll-Macbook-Air und neues 12-Zoll-Modell

    Strom durch erneuerbare Energien: Die Stromwende bis 2035 braucht enormes Tempo
    Strom durch erneuerbare Energien
    Die Stromwende bis 2035 braucht enormes Tempo

    Um Strom auf erneuerbare Energien umzustellen, müssen neben Wind- und Solarenergie auch die Stromnetze massiv ausgebaut werden - und zwar rasant.
    Von Hanno Böck

    1. Wirtschaftsumfrage Energiekosten bremsen Investitionen aus
    2. Energieversorgung Kohle war 2021 wichtigste Stromquelle in Deutschlands
    3. Energieversorgung Terrapower bekommt Unterstützung aus Japan