Volkswagen comienza a bloquear a los usuarios de GrapheneOS

 (discuss.grapheneos.org)
1 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Usuarios de GrapheneOS están sufriendo fallos de inicio de sesión y errores de conexión con el servidor en la app de Volkswagen, mientras que la misma cuenta sí funciona en Android stock o en iPhone
  • GrapheneOS detectó que la app de Volkswagen usa la Play Integrity API, y también se compartieron casos similares con la app My SEAT, que queda bloqueada en GrapheneOS tras una Device Integrity Check
  • Volkswagen Digital Services respondió que custom ROMs como GrapheneOS y LineageOS quedan fuera de los entornos compatibles, y que no puede ofrecer soporte técnico ante limitaciones funcionales en esos sistemas
  • Los intentos de solución alternativa, como reinstalar desde Play Store, usar Sandboxed Google Play, ajustar permisos de Play Services, iniciar sesión con una cuenta de Google o activar el Exploit protection compatibility mode, dieron resultados dispares según el usuario
  • Hay preocupación porque las funciones remotas del auto basadas en app queden atadas a políticas de certificación del sistema operativo, lo que podría cortar el acceso a servicios ya ofrecidos; esto derivó en reseñas en Play Store, consultas al soporte y discusiones sobre reclamos ante la UE

Problemas de inicio de sesión en la app de Volkswagen en GrapheneOS

  • Varios usuarios sufrieron fallos de inicio de sesión o errores de conexión con el servidor en la app de Volkswagen
    • Los mensajes de error eran del tipo: “No se puede conectar al servidor”, “Es posible que tu cuenta no haya permitido la conexión”, “Error de inicio de sesión” y “actualiza la app o vuelve a instalarla desde la tienda de apps del smartphone”
    • Un usuario indicó que el problema ocurría en la app de Volkswagen versión 3.61.0, con nombre de paquete com.volkswagen.weconnect
  • También hubo casos en los que la misma cuenta o servicio funcionaba normalmente en otros dispositivos
    • Un usuario explicó que no funcionaba en GrapheneOS, pero sí en un dispositivo con Android stock
    • También se compartieron experiencias de uso sin problemas en iPhone o incluso en iPhones viejos
  • Una de las respuestas iniciales de Volkswagen fue que había una incidencia del sistema que afectaba el inicio de sesión de la app, y recomendó borrar la app y reinstalarla
    • Después, algunos usuarios dijeron que volvió a funcionar, pero otros siguieron con fallas

Play Integrity API y exclusión del soporte

  • Un usuario compartió que GrapheneOS le avisó que “Volkswagen used the Play Integrity API
    • Al principio escribió “Pay Integrity API”, pero luego lo corrigió a “Play, not Pay”
  • En la app My SEAT apareció un patrón similar
    • My SEAT App V2.17 pedía actualización, y según el reporte V2.18 tampoco funcionó
    • La app mostraba “App is under maintenance”, pero GrapheneOS notificó que esta app usa Device Integrity Check
    • El usuario interpretó que esta verificación estaba fallando, igual que en la app de Volkswagen
  • Como los servicios remotos por app del SEAT Mii son gratis por 10 años, hubo quien comentó que el impacto es menor que cuando se bloquea un servicio pago
  • Un usuario comparó el caso con la única app bancaria de su país que usa Play Integrity API: según dijo, esa app sí funciona en GrapheneOS si están instalados Google Play y Google Play Services

Intentos de solución y resultados dispares

  • Algunos usuarios explicaron que la app de Volkswagen volvió a funcionar tras instalarla directamente desde Play Store y actualizar GrapheneOS
    • Eliminaron la versión instalada desde Aurora Store
    • La reinstalaron desde Play Store
    • Aplicaron una actualización de GrapheneOS
    • Iniciaron sesión en la app con Play Services activado
    • Confirmaron que funcionaba incluso después de ingresar el PIN de la app
    • Después, incluso al desactivar Play Services, la pantalla principal seguía mostrando cierre de puertas, climatización apagada y ubicación aproximada
  • También hubo reportes de que la app de Volkswagen funciona en un entorno con Sandboxed Google Play, pero de forma inestable
    • A veces no sube datos o aparece con frecuencia “Unfortunately your data could not be loaded.”
    • El mismo usuario añadió que en un iPhone viejo funciona sin problemas
  • Se reportó que, tras conceder a Play Services el permiso de Contacts and accounts, los datos parecieron volver a cargar
    • Surgió la hipótesis de que Volkswagen podría estar comprobando si hay una cuenta de Google iniciada
    • También se comentó que Google Contacts Sync dentro de Google Services podría ser necesario, aunque no con certeza total
  • Ese mismo método no funcionó para todos
    • Hubo casos en los que, aun agregando permisos a Play Services e iniciando sesión con una cuenta de Google, seguía apareciendo el mismo error
    • También se reportó que activar el Exploit protection compatibility mode no ayudó
    • Persistieron casos en los que la app no funcionaba aun con Play Services y la versión más reciente de GrapheneOS
  • Un usuario dijo que antes funcionaba bien, pero que tras quedar desconectado en cierto momento ya no tuvo forma de volver a iniciar sesión

Respuesta oficial de Volkswagen y reacción de los usuarios

  • Volkswagen Digital Services respondió que solo ofrece soporte para el uso de la app de Volkswagen en dispositivos iOS y en versiones compatibles del sistema operativo Android
  • Los dispositivos con sistemas operativos alternativos instalados no forman parte del entorno compatible de apps de Volkswagen AG
    • Se mencionan explícitamente GrapheneOS, LineageOS y custom ROMs similares
    • En esos entornos pueden producirse limitaciones funcionales o ausencia de funciones
    • Volkswagen indicó que en esos casos no puede ofrecer soporte técnico
  • Volkswagen explicó que la app depende de componentes del sistema relacionados con la seguridad y de estándares Android certificados para garantizar un uso estable y seguro de sus servicios digitales
  • Otro usuario comentó que el soporte de Volkswagen le pidió verificar si el dispositivo era Play Protect certified
    • La ruta indicada fue Play Store > icono de perfil > Settings > About
    • Señaló que los dispositivos con GrapheneOS aparecen como no certificados
    • También compartió que la ayuda de Google sugiere, para dispositivos no certificados, flashear la compilación Android firmada por el fabricante que venía preinstalada originalmente
  • Los usuarios cuestionaron la coherencia entre la lógica de “seguridad” de Volkswagen y el hecho de permitir dispositivos viejos con Android 10
    • Un usuario compartió un borrador de respuesta señalando que la app VW Connect funciona normalmente en un dispositivo de respaldo con Android 10, pese a ser inseguro
    • También surgió la opinión de que la Android Hardware Attestation API podría cumplir con los requisitos de confidencialidad e integridad del dispositivo del cliente
    • Se compartió además una respuesta que critica que Google sea el único gatekeeper, por no alinearse con las promesas de soberanía digital de Volkswagen

Reseñas, pedidos de soporte y discusión sobre reclamos

  • Los usuarios propusieron enviar correos al soporte de Volkswagen o SEAT y dejar reseñas en Play Store mencionando el problema
    • Se compartió el contacto de soporte de Volkswagen: connect-support@volkswagen.de
    • También se dijo que ya hay varias reseñas de la app de Volkswagen que mencionan el problema con GrapheneOS
  • Algunos usuarios incluso avanzaron con la cancelación del contrato de software
    • El motivo de cancelación fue que la app de Android no funciona
  • También se discutió la posibilidad de presentar reclamos ante la Comisión Europea
    • Un usuario escribió que un borrador de reclamo generado por Google AI incluía EU Data Act, interoperabilidad y violaciones a la equidad digital
    • Otro preguntó a dónde debía enviarse la carta de reclamo
  • También continuaron las opiniones escépticas sobre las apps de autos en general
    • Un usuario señaló que los vehículos modernos pueden reportar telemetría extensa al fabricante, al concesionario y a terceros mediante el módem celular
    • Consideró que conectar el teléfono al vehículo agrega otra vía potencial de fuga de datos
  • Como caso relacionado, también hubo un reporte de que la app MyHyundai se cierra apenas inicia desde la versión v1.1.5 y que en otros teléfonos sí funciona, aunque no se confirmó su relación con el problema de Volkswagen

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Comentarios en Hacker News

  • Es sorprendente lo mucho que Volkswagen sigue metiendo la pata
    Ahorita estoy viendo autos eléctricos y, por varias razones, el grupo Volkswagen era mi primera opción. En particular porque la implementación de asistencia a la conducción era buena
    Hace 3 semanas pedí una cotización al concesionario e iba a hacer el pedido, pero la API para integración con la comunidad se apagó y decidí esperar a ver qué pasaba. Ahora además, como usuario de GrapheneOS, voy a descartar por completo la compra
    No entiendo por qué Volkswagen toma esta decisión. Casi no les costaba nada no bloquear la API no oficial ni bloquear a usuarios de GrapheneOS o Android sin certificación de Play Protect, no afectaba negativamente a los usuarios comunes, y podían ganarse el apoyo y entusiasmo de usuarios avanzados para diferenciarse de otras marcas. Al final, esos datos eran datos del usuario

    • Las empresas alemanas, especialmente fabricantes tradicionales como VW, son muy malas para entender las plataformas abiertas
      Ven todo primero desde la perspectiva de responsabilidad legal y cumplimiento normativo. Piensan algo como: si alguien corre la app en una ROM personalizada, manipula la app y ocurre algún daño sumamente hipotético, entonces podrían ser responsables por no haber evitado esa situación
      En la práctica la probabilidad es casi cero, pero prefieren empeorar el producto antes que aceptar incluso ese riesgo mínimo. Así es como suelen moverse las grandes empresas alemanas
    • Deberías decírselo al concesionario para explicarle por qué cambiaste de opinión
    • VW parece pensar que los usuarios de Graphene no representan una escala significativa. En algún lado, alguien hasta podría ascender por haber alineado la infraestructura de VW con algún tipo de “estándar”
    • Sigo manejando un Golf que compré nuevo en 2014 y me gusta, así que para VW debería haber sido fácil venderme un vehículo de reemplazo
      Pero VW no deja de cometer errores. Reúne información que no debería recolectar y, por prácticas de seguridad deficientes, expone incluso información que no debería quedar al alcance de hackers
      Y ahora resulta que hasta bloquean GrapheneOS, así que es casi imposible que VW me vuelva a vender otro ‘Dub’
    • Yo también voy a comprar un auto pronto y estaba viendo el VW i4 o el Škoda Enyaq, pero esto me está haciendo reconsiderarlo seriamente
      Esta vez quería apoyar a la industria local y comprar un producto europeo, pero se lo están poniendo demasiado difícil ellos mismos. Y mejor ni hablemos de Stellantis

  • Lamentablemente eso no es todo. Lo que hizo VW fue cerrar por completo la API para cualquier cosa que no tenga certificación Play Protect
    Así que varias funciones geniales que eran posibles gracias a proyectos impulsados por la comunidad ahora quedaron bloqueadas
    La “app” que ofrece VW es 60% publicidad y 30% funcionalidad, y sinceramente prefería usar la integración con Home Assistant para todo. Automatizaciones como “cuándo precalentar el auto” eran más fáciles e intuitivas desde afuera que con la función nativa
    Eso también significa que del lado del vehículo ya no se puede hacer automatización del control de carga
    Se puede decir que “nunca fue algo prometido oficialmente”, pero para algunos usuarios, incluyéndome, esa API de pago sí era un punto de compra

    • Fuera de Tesla, las apps de autos suelen ser horribles de usar. La app de Tesla también tiene defectos, como que pesa muchísimo, pero al menos no te hace querer sacarte los ojos
      Ojalá Apple hiciera una app “Cars” como la app “Watch” para estandarizar esto
    • Yo también estoy de acuerdo. De mi lado trato de dejar quejas, calificaciones y reseñas cada vez. Aunque sea una acción de bajo esfuerzo, les hace perder tiempo y, si es una empresa regulada, puede empeorar aunque sea un poco sus estadísticas de reclamaciones
      Si suficientes usuarios se mueven, sí puede hacer diferencia. Si dejas como palabras clave preocupaciones válidas como teatro de seguridad, mentiras, la posición monopólica de Google o conductas anticompetitivas, sus respuestas también pueden volverse más cuidadosas y las quejas ante reguladores pueden ganar fuerza
    • Cada vez que veo que meten un intermediario de suscripción y entrenan a la gente para verlo como algo normal, me duele
      Ojalá Iroh networking se vuelva estándar pronto
      https://www.iroh.computer/
    • Esto debería contar como un reclamo de garantía. Si te vendieron un auto con cierto conjunto de funciones y luego con una actualización lo convierten en otro auto sin esas funciones, ya no es el mismo auto
      Lo rompieron, así que deberían arreglarlo o compensar por ese valor
    • “Play Protect” está perjudicando al ecosistema de terceros exactamente como parecía que había sido diseñado para hacerlo
      Cada vez me alejo más de cualquier proveedor de servicios que no te deja usar su servicio sin apps dependientes de Play Services. Pero cambiar de auto es mucho más difícil

  • Manejar un auto rentado en Alemania casi te hace querer apoyar la quiebra continua de la industria automotriz alemana. Ya hace falta un reinicio completo
    Lo más triste es que la ley de la UE obliga a incluir módems en los vehículos y, en la práctica, asistencias de conducción intrusivas que te quitan constantemente la vista del camino y hacen que manejar sea menos seguro
    A menos que haya un reinicio mucho mayor también a nivel político y social, es difícil esperar siquiera autos decentes en Europa en un futuro cercano
    [1] https://www.youtube.com/watch?v=f-S76WEl25k

    • Hace poco vi un reportaje sobre operadores que reciben llamadas de emergencia, y mostraban cómo en accidentes la llamada automática del auto llega mucho antes que la de cualquier persona. Seguramente es por ese módem del vehículo
      No significa que el módem deba ser obligatorio ni que el usuario no deba poder controlarlo. Pero sí parece bastante razonable que, si una automotriz quiere poner un módem, al menos haga llamadas automáticas de emergencia por defecto
      Aunque sería todavía más razonable que no hiciera nada hasta que el usuario lo permitiera y solo actuara al detectar un choque… pero el problema son las ganancias
    • Hace poco renté un Cupra por una semana y las funciones de asistencia no fueron molestas, sino útiles. Fue una sorpresa bastante agradable
      Mejor ni empecemos con las asistencias de Toyota o Hyundai. Por cierto, el auto del video enlazado es un Toyota
    • Quien haya hecho que el auto empiece a pitar fuertísimo apenas te acercas al límite de velocidad claramente nunca ha manejado un auto
      La mejor forma de apagar ese sonido es seguir rebasando el límite o ir muy por debajo de él
    • A los pocos minutos te acuerdas de una “función” que no desactivaste, y al intentar apagarla terminas distrayéndote más
      El asistente de mantenimiento de carril está roto y es peligroso, el asistente automático de luces altas también es peligroso, y el control crucero automático también lo es
      La detección y evitación de colisiones también es peligrosa en zonas estrechas y con muchos edificios en Reino Unido, porque con bastante frecuencia cree por error que va a haber un choque. El reconocimiento de señales de velocidad también está roto
      Incluso los limpiaparabrisas automáticos, después de años, siguen lejísimos de ser perfectos. Deberían haber demostrado eso primero antes de confiarles funciones más importantes

  • No sé cuánta gente haría esto, pero si el Reino Unido prohíbe las VPN, Graphene podría convertirse en un objetivo importante.
    Bastaría con comprar un Pixel, instalar Graphene, usar F-Droid, no registrarse en Google Play y luego descargar Tor Browser.
    Eso permitiría acceso a Internet resistente a la censura sin entregar una identificación.
    Lo interesante es que Pixel es un teléfono bastante popular en el Reino Unido. Si hubiera que comprar un dispositivo de nicho, sería difícil que lo usaran más que unos cientos de personas, pero en el Reino Unido podría haber unas 100 mil unidades de Pixel y todavía se pueden comprar para ponerles Graphene.
    La presión contra el Internet libre en el Reino Unido avanzó muy rápido. Hubo años de desinterés en los que no se lograron fijar salvaguardas en la ley, pero una vez que empezó el movimiento, empujaron todo con muchísima rapidez.
    En la práctica, vamos corriendo rápido hacia un futuro donde el uso de Internet estará ligado a la identificación. Hay que crear vías de escape mientras todavía sea posible.

    • En el Reino Unido debe haber decenas de millones de PCs x86 con BIOS desbloqueado. El problema no es ejecutar dispositivos abiertos.
      El verdadero problema es el software. Si el gobierno obliga a los servicios en línea a usar una API de verificación monopolística, ¿qué se supone que hagan los usuarios de Linux?
      Da miedo que las prohibiciones avancen tan rápido. El problema más grande viene después. Cuando se den cuenta de que prohibir no funciona muy bien en la práctica, el siguiente paso lógico será restringir fuertemente el tráfico de Internet.
    • https://www.androidauthority.com/google-pixel-organized-crim...
      Según se informa, un funcionario policial que lidera la lucha antidrogas en Cataluña dijo: “Cada vez que veo un Google Pixel, sospecho que podría ser de un narcotraficante”.
      Parece que algunos países o regiones ya están apuntando a los Pixel. La razón real es GrapheneOS.
    • De verdad no entiendo por qué la gente sigue evitando decir lo obvio.
      No deberíamos usar el teléfono como dispositivo principal de entretenimiento.
      Hay que tener dos teléfonos. Uno es el teléfono real que usas, y el otro es el teléfono para la “policía y los bancos”.
    • Me arrepiento de no haberme registrado en Discord cuando introdujo por primera vez el reconocimiento facial. En ese momento, incluso estudiantes de secundaria engañaban fácilmente la verificación de identidad con fotos de memes.
      Claramente tiene valor registrarse con ambición en la mayoría de los servicios y luego seguir siendo usuario existente antes de que aprieten más las cadenas.
      En el mundo real lo detesto de verdad. Home Depot instaló cámaras Flock y reconocimiento facial a gran escala, y una tienda de comestibles puso torniquetes; desde entonces no he vuelto a poner un pie en ninguno de los dos lugares. Sigo saliéndome poco a poco de la economía minorista del mundo físico.
    • ¿Quién dijo que el Reino Unido va a prohibir las VPN?
      Pregunta seria. Estoy en el Reino Unido y es la primera vez que escucho eso.

  • Que VW bloquee el acceso al servidor de un tercero ya es un problema, pero lo más impactante es que haya que acceder a los servidores de VW para obtener los datos de carga.
    Ese tipo de datos debería estar disponible directamente de forma local desde el vehículo.

    • Los datos históricos no están en el vehículo sino agregados en alguna “nube”, pero al menos por ahora todavía se pueden recopilar y agregar localmente.
      Car Scanner Pro y ABRP (A Better Route Planner) son muy populares entre usuarios de vehículos eléctricos justamente para eso, y ambos son compatibles con los EV de VW.
      Leen el OBD estándar y los IDs de diagnóstico propietarios del fabricante a través del puerto OBD para obtener el estado de carga de la batería, voltaje, temperatura, velocidad, consumo y otros datos de funcionamiento, y vuelven a realizar la agregación y los cálculos que VW hace del lado del servidor.

  • Google Play ha sido una gran carga para la innovación y la seguridad del ecosistema móvil.
    Más bien espero que la IA termine matando el ecosistema de apps móviles, y que llegue el momento en que todos los fabricantes de teléfonos incluyan en sus dispositivos un sistema para “crear apps directamente con vibe coding” y se rompa el monopolio de Google Play.

    • No creo que vaya a pasar. Quizá sería posible para una minoría de usuarios, como la gente que usa Linux todos los días, y sin duda apoyo esa dirección.
      Podría darse una situación en la que cada quien prepare su propia comida, es decir, sus apps hechas con vibe coding, y solo de vez en cuando salga a comer afuera, es decir, use una tienda oficial de apps.
      Las hojas de cálculo son parecidas. Se puede hacer bastante con ellas, pero la mayoría de la gente todavía compra y usa software cerrado.
      Este texto me lo recuerda: https://www.robinsloan.com/notes/home-cooked-app/
    • En el futuro, para una startup podría ser más fácil fabricar su propio dispositivo móvil que ofrecer una función específica en las plataformas de Google y Apple.
      En esas plataformas, mis datos se usan en mi contra, y aunque el dispositivo pueda grabar las 24 horas, no existe un remedio real que garantice la privacidad.
    • Volvamos a hace 15 años, cuando todo el mundo alababa el ecosistema móvil.
      ¿De verdad nadie imaginó que esto iba a pasar, o todos se dejaron engañar demasiado fácilmente por el abrazo y la puñalada de Facebook?

  • Si esta es una razón para descartar una compra, entonces también deberías evitar KIA.
    La app KIA Connect tampoco funciona en GrapheneOS por usar NSHC DxShield.
    [1] https://en.nshc.net/

  • No me daría pena si VW desapareciera.
    Los autos no eran originalmente computadoras con ruedas.
    Yo compré un Suzuki modelo 2025, con transmisión manual, sin actualizaciones de firmware y sin conexión a Internet. GrapheneOS Android Auto solo puede usarse cuando el teléfono está conectado al auto.
    Es extraño que las empresas sigan cometiendo errores así de malos en 2026.

  • Cuando contacten al soporte de Volkswagen, es mejor no poner simplemente el sistema operativo como “GrapheneOS”.
    Recomiendo mucho describirlo como Android, “Android (GrapheneOS)” o “GrapheneOS Android”.
    Si solo ponen “GrapheneOS”, le facilitan a VW responder que no dan soporte a ese sistema operativo.

  • Aplicaciones como estas necesitan APIs abiertas y una ley que permita a los usuarios crear sus propios frontends basados en esas APIs
    Entonces también serían posibles versiones de la app más enfocadas en la privacidad

    • Si se paga por el derecho a usar la app, una ley así tendría sentido
      No parece probable que una ley así llegue también a las apps gratuitas. Eso es porque controlar la experiencia del cliente es clave para poder ofrecerlas gratis
      Otra razón por la que muchas apps gratuitas no tienen un nivel de pago es que, a menudo, las personas que sí pagarían son precisamente el grupo clave necesario para subsidiar a una base de usuarios menos atractiva y así mantener la rentabilidad general
      No significa que esta estructura sea deseable, pero en cuanto entra un servidor en juego, no se puede ignorar la viabilidad económica de mantener ese endpoint
      Idealmente, debería ser una estructura federada en la que se pudiera apuntar el auto o el dispositivo a un endpoint operado por el usuario, pero eso también cuesta. Mantener software donde el cliente y el servidor están controlados por la misma entidad es mucho más fácil que cuando no es así
    • https://www.stopkillinggames.com/en
    • La https://en.wikipedia.org/wiki/Magnuson%E2%80%93Moss_Warranty... de 1975 tiene más elementos cercanos a lo que uno querría de lo que parece
      Y esta ley fue redactada pensando en los sistemas de infoentretenimiento, es decir, la radio