Un avis sur MicroG, LineageOS, Fakestore et YalpStore


#1

Bonjour à tous,

Je suis à la recherche d’une explication claire de microG et des implications en terme de securité que son installation implique.

J’ai pour le moment une installation de lineageOS avec les PlayServices et le PlayStore (et donc Google). Deux alternatives existent: ne pas installer les gapps ou installer microG.

Si j’ai bien compris, microG comprend du signature spoofing (imitation de signature faite par les playservices) et cela représente un risque ou pas. C’est selon… (voici un exemple de review: https://blogs.fsfe.org/larma/2016/microg-signature-spoofing-security/ )

A titre personnel, j’ai besoin de certaines applis (banking) dispo uniquement sur le playstore et de positionnement précis (pris en charge par les PlayServices ou via UnifiedNLP et donc microG).

Est-ce que quelqu’un utilise microG (FakeStore, YalpStore, le positionnement) et a une connaissance sur les risques encourus?

Merci!


#2

Voila une question fort intéressante.
Je suis aussi utilisateur de lineage os. Les dépendance aux services google play sont toujours une véritable plaie. Je ne connaissait pas FakeStore et microG. Je manque aussi d’information sur les appli préinstallées (sms, contacts…). Ça reste les même que sous Android ? Bref je suis preneur de toute information sur le sujet.

Bref je suis le sujet.


#3

Juste pour info, il y a des images de LineageOS avec microG près installé sur https://download.lineage.microg.org/

Reste à savoir si c’est sécurisé…


#4

Je suis tombé sur ce post sur le forum de fairphone https://forum.fairphone.com/t/lineageos-fork-including-microg/34877/5 . En gros, ils disent que micro-G ajoute effectivement une vulnérabilité mais son exploitation nécessite les droits root… A partir du moment où un script/appli s’exécute avec ce niveau de droit sur le téléphone, il peut déjà faire ce qu’il veut… De ce fait la vulnérabilité “n’en est pas vraiment une” (c’est une vulnérabilité techniquement mais si il faut être root pour l’exploiter. Dans cette situation, il y a pas mal de choses au delà de la vulnérabilité pour lesquelles il faut s’inquiéter…)

Si je tombe sur d’autre info, je continuerai à les partager ici :wink:


#5

J’utilise une image lineageos microg depuis juillet 2018 en passant par l’App Aurora store pour les quelques applis nécessitant les “services” Google / uniquement dispo sur le play store.
Le tout sans Google account ni bloatware sur mon tel.

Je ne reviendrai plus en arrière (OpenGapps = Google apps)


#6

Salut!

Tournant sous /e/ depuis hier sur mon Fairphone 2, je m’interroge plus que jamais sur la véritable dégooglisation de mon téléphone.

J’ai installé /e/ sur mon Fairphone2 avec en tête l’envie de me dégoogliser un max, et je suis relativement satisfaite.
Est-ce que l’utilisation de microG (installé automatiquement sur /e/) ne me fait pas replonger dans google justement?
Du fait que /e/ soit encore très frais, il n’est pas encore vraiment à mon gout et nécessite certaines modifications de l’utilisateur. Par exemple, le launcher est encore un peu kraspek et surtout ne permet pas trop de modifications. La communauté /e/ suggère par exemple d’installer un autre launcher (du type Evie par exemple), ce qui nécessite de passer par le Yalp Store (ou encore Aurora).
Mais si je fais ça, est-ce que je ne me regooglise pas de fait?
J’avoue avoir du mal à trouver des infos critiques sur l’utilisation de Yalp et sur sa manière de gérer les informations transmises à google.
J’ai posé la question sur le forum /e/, mais j’aimerais bien avoir votre avis.


#7

Hello !

Voici un tableau qui résume le taux de déGooglisation selon la ROM utilisée :

ROM Applications du Google Play utilisables ? taux de déGooglisation Commentaire
Stock ROM (Samsung, Huawei, etc.) oui avec compte Google 0% “owned” by Google
LineageOS seul oui via APK récupéré sur ? si pas de dépendance au GSF 100% Fort probable que les apps installées dépendant de près ou de loin du GSF se plantent
LineageOS + OpenGapps oui avec compte Google 0% “owned” by Google
LineageOS + MicroG (équivalent fonctionnel de /e/) yes 100% De base, rien ne fuite vers Google tant que des apps “respectueuses” sont installées via Yalp/Fake/Aurora store

"owned" by Google : Même sans installer une quelconque app, le téléphone va discuter régulièrement avec les serveurs de Google et fuiter potentiellement/sûrement des infos personnelles.

GSF : Google Services Framework

C’est la vision que j’ai de part mon passage par ces 4 phases depuis que j’utilise un ordiphone :wink:

  • Avec les GoogleApps et les OpenGapps, il n’y a pas de déGooglisation, toutes “Open” que soient les OpenGapps.
  • Avec LineageOS seul, la déGooglisation est totale, mais l’installation d’une app par exemple de gestion de compte bancaire (c’est un exemple) etc. relève du miracle car celles-ci dépendent impérativement du GSF.
  • Avec MicroG, le GSF est “simulé” et les applis dépendant du GSF sont donc utilisables. Tant qu’aucune appli provenant d’un store non-libre est installée, la déGooglisation est encore totale. Par contre si, via [Yalp/Fake/Aurora]Store tu installes Google Maps bah… Welcome back Google :wink:

[Yalp/Fake/Aurora]Store utilise un compte Google anonyme. Mais aucune idée de la façon dont c’est implémenté techniquement. Là aussi, si on utilise un compte Google, ça a moins d’intérêt.

A mon avis, tu devrais plutôt utiliser la ROM de microG pour le fairphone en attendant que /e/ soit opérationnel plutôt que d’utiliser un launcher non libre : https://reports.exodus-privacy.eu.org/en/reports/24497/

C’est mon avis, il n’engage que moi et je peux me tromper !

A+