PosteID (SPID Provider) on GrapheneOS

xplosionmind

I am using CieID with no issues. Sometimes SPID is required, though…

Perenzo93

I can confirm everything that xplosionmind reported.
I set up my main account without using Google services and tried to install Posteid from the Aurora Store, but it doesn't work, which seems normal to me so far.
I also set up a second account where I activated Google services for the apps that require them, and I was able to install Posteid there. I launched it and a notification from Grapheneos appeared, informing me that the app previously used the API. So far, so good, I guess.
Then the same message from xplosionmind appeared inside the app: “An error occurred while starting the app. We recommend that you try again and check the store for any app updates.”
This app is very important in Italy, so I hope the problem gets resolved soon. For now, I am forced to keep my old smartphone in order to use it, as it is an essential app.

fph

Currently https://grapheneos.org/articles/attestation-compatibility-guide says PosteID "bans" GrapheneOS, but that seems false: there are multiple reports of the app working fine when installed from Play Store with sandboxed Play Services. Also IO does not ban GOS outright; it only disables the digital wallet feature without strong integrity.

I suggest fixing that page: as it is it probably keeps many potential users from Italy away from GOS unnecessarily.

gokuquarto

fph I can't personally speak for IO since i've not tried it but PosteID as of now (at least for me) it's unusable. The error mentioned in the messages before it's stil there.

enthusiast

I have Pixel 8 Pro and PosteID works fine.

Fundamental_Physics

PosteID funziona senza alcun problema sul mio Pixel 6a. Come ha detto @gokuquarto la lista delle app bandite sul sito di GrapheneOS è errata o non aggiornata, dato che sia PosteID che IO funzionano, anche se IO non consente di usare il portafoglio digitale.

Jacopotediosi

Fundamental_Physics sono l'autore della PR che ha aggiunto PosteID a quella pagina. PosteID non funziona su GrapheneOS, perché da qualche mese controlla la Play Integrity. A te sta continuando a funzionare perché eri già autenticato nell'app quando hanno aggiornato le API. Prova a cancellare i dati dell'app e scoprirai tu stesso che l'applicazione smetterà di funzionarti.

eclefino

PosteID doesn't work on both main and secondary profile of my Pixel 9 (I have google services installed). It says:

Si è verificato un errore in fase di avvio dell’App. Ti consigliamo di riprovare e di controllare l’eventuale disponibilità sullo store di aggiornamenti dell’App.

The IO app works fine, I think that it's not an issue with Play Integrity but the PosteID app itself.
If you try to install PosteID on a normal stock android that doesn't have the last firmware update, it will complain with the same error message and fail to start. Maybe it's doing some strange O.S. version checks?

I am trying to decompile the app and understand what may be the cause. I even tried to patch it and jump directly to the login page but still doesn't work

Here's some useful material that I found online:

https://github.com/simone36050/PosteID-seed-extractor/tree/dev-posteid-2024
https://github.com/simone36050/PosteID-seed-extractor/issues/3
https://github.com/GrapheneOS/grapheneos.org/pull/1330
https://lemmy.world/post/9486582

Kaothicc

Jacopotediosi quindi siamo fregati? L'unica alternativa è procedere con CIE?

Fundamental_Physics

Jacopotediosi Ah ecco perché. Beh dai, finché PosteID continua ad andare uso quello, se smette di funzionare ritorno ad usare CIE come hai suggerito tu

Jacopotediosi

Kaothicc Oltre a Poste Italiane, ci sono altri 11 provider di SPID, se proprio CIE non ti piace. In ogni caso credo che prima o poi SPID verrà soppiantato da CIE.

gokuquarto

Jacopotediosi Quello di lepida sembrava interessante, non solo é gratuito in teoria ma si può utilzizare anche con codice otp come spiegato nel link di lemmy di @eclefino senza utilizzare l'app ufficiale.

eclefino

gokuquarto ho continuato a indagare sui possibili controlli di play integrity. Possiedo un telefono samsung rooted con Android 11, stock OS e moduli magisk che mi permettono di passare STRONG_INTEGRITY. PosteID si avvia correttamente pur dando warning di root e mi fa interrogare il backend di poste senza problemi. Per capire se l'app effettivamente controlla la STRONG e DEVICE INTEGRITY ho voluto disattivare i moduli magisk così da passare solo la BASIC, cancellare app e dati di PosteID, riscaricarla e vedere se mi faceva entrare. Con mia grande sorpresa sono riuscito ad entrare nell'app PosteID anche solo con BASIC INTEGRITY e con i soliti warning di root. Ora 2 sono le cose: o il backend sta facendo "caching" della mia vecchia sessione e sta trustando il device perchè in passato superava la STRONG INTEGRITY oppure il backend si accontenta della BASIC INTEGRITY. Ho anche provato a fare modifiche all'apk ma senza successo, play integrity rileva che l'apk è stato modificato. Nemmeno se scarichi PosteID da AuroraStore ti funziona. L'unica cosa che ha funzionato è stata scaricare PosteID da play store, collegarsi con adb, tirare fuori l'apk originale e gli split e reinstallarli con opzione -i "com.android.vending" :

adb shell pm list packages -f | grep poste

adb pull /data/app/~~YTt2....................==/posteitaliane.posteapp.appposteid-qy1tZmd93Qe_m47s0CopMQ==/base.apk

adb pull /data/app/~~YTt2....................==/posteitaliane.posteapp.appposteid-qy1tZmd93Qe_m47s0CopMQ==/split_config.arm64_v8a.apk

adb pull /data/app/~~YTt2....................==/posteitaliane.posteapp.appposteid-qy1tZmd93Qe_m47s0CopMQ==/split_config.it.apk

adb pull /data/app/~~YTt2....................==/posteitaliane.posteapp.appposteid-qy1tZmd93Qe_m47s0CopMQ==/split_config.xxhdpi.apk

e poi reinstallarli con

adb install-multiple -i "com.android.vending" base.apk split_config.xxhdpi.apk split_config.it.apk split_config.arm64_v8a.apk

(-i "com.android.vending" è importante)

purtroppo non serve a molto e bisogna indagare di più. Se ci fosse un modo di modificare l'apk si potrebbe pensare di usare un dispositivo con root per estrarre il contenuto della directory /data/ e iniettare il token di registrazione ottenuto da play integrity in un nuovo apk da riutilizzare su un altro dispositivo (Graphene).

allego materiale su play integrity:
https://developer.android.com/google/play/integrity/overview?hl=it
https://www.youtube.com/watch?v=dqUTX6hR9Mk&t=16s

Jacopotediosi

eclefino o il backend sta facendo "caching" della mia vecchia sessione e sta trustando il device perchè in passato superava la STRONG INTEGRITY

Credo sia così

eclefino

Jacopotediosi se così fosse allora uno potrebbe fare la pazzia di fare il root a grapheneOS, installare i moduli che fanno passare i controlli di STRONG INTEGRITY, installare PosteID, avviarlo (non c'è bisogno di accedere con le credenziali, il backend a questo punto si salva il tuo dispositivo), disinstallare PosteID, rimuovere la root e magisk (per preservare la sicurezza di graphene), reinstallare PosteID e in teoria dovrebbe funzionare (sempre che tu non debba rinnovare il token ogni tot)

Jacopotediosi

eclefino Non è decisamente più semplice pretendere che Poste smetta di bannare GrapheneOS, o usare un servizio diverso?
Il Punto è che Poste sta facendo scegliere a Google se possiamo o meno usare una app che serve per identificarci nei servizi dello Stato.
Io una (più di una) mail a Poste con in copia il CTO l'ho mandata, e vi invito a fare lo stesso.

eclefino

Jacopotediosi sicuramente hai ragione e devono essere bombardati di email finchè non si risolve questa situazione.
Oggi ho ritentato l'accesso con il BASIC INTEGRITY e continuava a funzionare, poi ho cancellato i dati dell'app, l'ho riaperta ma compare un nuovo tipo di errore AI-01 dove chiede di aggiornare l'app. Sono andato su play store e ho visto che è uscito l'aggiornamento di PosteID, l'ho scaricato ma niente da fare, mi dà di nuovo lo stesso errore. Se non avessi cancellato i dati dell'app e non avessi aggiornato probabilmente funzionava ancora con la BASIC INTEGRITY. L'errore AI-01 ora è comparso anche su Graphene.

Ho provato a riabilitare nel telefono con root i moduli per passare STRONG INTEGRITY e con grande stupore non mi fa più entrare e vedo lo stesso errore AI-01. Non so cosa stanno facendo ma sono riusciti a peggiorare ulteriormente l'app, ora nemmeno con la STRONG INTEGRITY mi fa passare, spero che sia un problema di caching. Vi tengo aggiornati

VehicularClatter298

eclefino
Using another provider is the easy way, but doesn't really solve the problem, in fact.
Even though it seems like a precarious solution, I'm looking forward to hear the result of your try.

Moreover, the problem itself can be solved at its root either by making the case for compatibility with Poste itself, as Jacopo was suggesting (which might as well work),

Jacopotediosi Io una (più di una) mail a Poste con in copia il CTO l'ho mandata, e vi invito a fare lo stesso.

or through higher, EU-level regulation tackling the gradual closing down of the Android environment. That would solve many other things...

Jacopotediosi

eclefino l'errore AI-01 è esattamente l'errore del fallimento della Play Integrity durante il primo avvio dell'app

eclefino

Jacopotediosi ho riprovato poco fa ad accedere con root e STRONG INTEGRITY e stavolta riesco a entrare di nuovo senza errore AI-01. E' confermato che il backend ha una sorta di caching/timeout e quindi bisogna riprovare determinate azioni dopo un certo intervallo di tempo (almeno 5/6 ore da questo test empirico).

Dal test precedente sappiamo che se tolgo i moduli che mi fanno passare la STRONG INTEGRITY riesco ad accedere comunque anche con la BASIC INTEGRITY. Un'altra cosa molto interessante e utile che ho dimenticato di dire è che SUBITO dopo il downgrade da STRONG a BASIC non importa se cancelli i dati dell'app, riesci comunque ad autenticarti perchè il backend fa caching della sessione STRONG. Se cancelli i dati dell'app 1 giorno dopo ottieni errore AI-01 e devi rifare la tarantella di rimettere i moduli di STRONG INTEGRITY. Se non li cancelli e lasci tutto com'è c'è la possibilità che tu non debba mai rifare l'autenticazione di integrity iniziale e che quindi anche se passi solo la BASIC riesci sempre ad accedere da quel momento in poi.

Ipotesi teorica di bypass:

1) prendi il tuo telefono graphene
2) sblocca bootloader (perderai i dati)
3) Fai il root con magisk e installa i moduli per passare strong integrity
4) Scarica PosteID e fai l'accesso iniziale (non c'è bisogno di fare login)
5) Ora bisogna fare veloce, il backend ha in cache il tuo deviceID registrato come STRONG INTEGRITY
6) disinstalla magisk così da non avere più il root e preservare la sicurezza di graphene (se non ti interessa avere il bootloader sbloccato puoi anche fermarti qui)
7) blocca nuovamente il bootloader (perderai i dati ma non fa niente, il backend ha in cache il tuo deviceID)
8) reinstalla google services, play store, loggati e scarica PosteID
9) apri PosteID e il backend dovrebbe avere ancora in cache la tua sessione o bloccarti con errore AI-01
10) se riesci a entrare non toccare più l'app, non aggiornarla e non cancellare i dati

NOTA 1:
Subito dopo il punto 2 invece di fare il root a GrapheneOS si potrebbe ripristinare lo stock OS di google che è più semplice da rootare

NOTA 2:
Per passare la strong integrity su device rooted consiglio di seguire in sequenza questi 3 tutorial:
https://www.youtube.com/watch?v=ZmH1qWk8BUU
a questo punto dovresti passare la BASIC, in quest altro ti dice come fare con la keybox:
https://www.youtube.com/watch?v=GdqL8xCvGIU
quest ultimo è quello definitivo che ti fa passare DEVICE e STRONG:
https://www.youtube.com/watch?v=OfwRthgXJ3A

VehicularClatter298

An easier and safer workaround (since somebody is suggesting to root the device, or even going back to stock): just switch identity provider. There's a dozen. A good one is SielteID, which works on GrapheneOS. Setup is quick and free, if you have an Italian digital ID (CIE).

The Poste app is truly invasive, e. g. it asks for the QUERY_ALL_PACKAGES permission in the name of "security". You have everything to gain by switching.

eclefino

VehicularClatter298 for sure, you can switch identity provider but sometimes in Italy you are forced to use this doomed app and you have to keep a secondary device "just in case". I think that if you have the time and the knowledge to do it then you can temporary root, do the trick, re-lock the bootloader and go back to secure GrapheneOS again and use the "cache bug" to bypass authentication. Sure, it's hard and as for now it's not guarantee to work

« Previous Page Next Page »