Ich bin auch ein Fan von GrapheneOS. Allerdings würde ich gerne für eine Sache Aufmerksamkeit schaffen: GrapheneOS unterstützt kein Advanced Mobile Location (AML).
AML ist dafür da, dass bei einem Notruf via 112 der Standort des Smartphones automatisch an die Leitstelle gesendet wird. Im Notfall kann das ggf. lebensrettend sein. Dieses Feature ist bei Android jedoch leider Teil der proprietären Google Play Services und deswegen nicht auf GrapheneOS verfügbar – auch nicht, wenn man die Sandboxed Play Services nachinstalliert.
Damit möchte ich nicht von GrapheneOS abraten, aber man sollte davon wissen und abwägen, was einem wichtig ist.
Wie haben die Menschen vor knapp 5 Jahren nur überleben können — ohne AML?
Ich kann mich noch schwach an vor 2018 erinnern, als alle Menschen darbend am Wegesrand lagen und vor sich hin starben. Im Prinzip existieren wir gar nicht mehr. So doll schlimm ist das.
Andere sehen das als Vorteil. Manche haben nicht einmal eine SIM in ihrem Gerät, sondern nehmen für solche Fälle eine Knochen der nicht einmal GPS an Bord hat. Oder gehen ganz ohne alles aus dem Haus.
ich bin auch gerne zynisch.
Aber ich bin auch First Responder. Wir bekommen einen Nachricht in einer APP mit Adresse oder Standortangabe.
Außerhalb von Ortschaften ist das sehr schwierig. Und seit einiger Zeit gibt es einen Button „Navigiere zur Einsatzstelle“. Und das ist erstaunlich genau.
Ein Wanderer mit Herzinfarkt im Wald profitiert von der schnelleren Erreichbarkeit. Habe so einen Fall selbst erlebt.
Kommt selten vor. Trotzdem ist es gut zu wissen, dass ggf. das datensichere Smartphone diese Funktion nicht hat.
Und jeder, der das weiß kann entscheiden ob er dieses Risiko eingehen will.
ich denke, Zynismus ist hier fehl am Platz.
Zum einen ist es in einer Demokratie zwar schon ein wichtiges Ziel, dass möglichst jeder möglichst alles verstehen kann, da das aber nicht geht, ist es wichtig Stellvertreter wählen zu können. Die Entwickler hinter solchen Distributionen wie Graphene OS geben wir diese Möglichkeit. Das sieht man schön bei den BSDs. Es gibt unterschiedliche BSD Versionen wie OpenBSD, FreeBSD, NetBSD usw. Die haben alle unterschiedliche Ausrichtungen, teilen aber untereinander Code und Ideen. Da passiert dann eine Art „technischer Diskurs“ aus dem man auswählen kann.
Dann muss man meiner Meinung nach einen Unterschied zwischen „Freier Software“ und „Open Source“ machen. „Freie Software“ meint, dass man als Nutzer gleichberechtigter Teilnehmer an einem Projekt ist. Wenn mir nicht gefällt, wohin sich das Projekt bewegt, dann kann ich einen Fork machen (lassen) und dann halt den verwenden. Ich kann Dinge die mir nicht passen einfach rausnehmen. Dazu sollte ich natürlich den Quellcode haben, aber die Leute dahinter sehen so was als etwas völlig normales und gesundes an. So wie wenn man ein Gericht kocht und Zutaten rausnimmt/ändert die man nicht mag.
„Open Source“ ist hingegen eine kommerzielle Gegenbewegung. Man bleibt bei der traditionellen Machtstruktur des „Herstellers“ und des „Nutzers“, liefert aber den Quellcode mit aus. Forks und eigene Änderungen sind zwar rechtlich erlaubt, werden aber mit unterschiedlichen Methoden erschwert. (Markenrecht, proprietäre Teile, usw) Das ist das was Android heute ist. Der Nutzer soll nicht die „Enshittification“ ausbauen können, sondern gefälligst das „fressen“ was man ihm vorwirft.
Das große technische Problem mit Smartphones ist auch, dass jedes Smartphone ziemlich unterschiedlich ist. Der Großteil davon wird über den zentralen Mikrochip, dem „System on a Chip“ (SoC) bestimmt. Da ist (quasi) das ganze Mobiltelefon drin. Die Hersteller kochen da, ganz bewusst, ihr eigenes Süppchen, denn wenn es da einen Standard gäbe, könnten die Mobiltelefonhersteller ja ihre SoC-Hersteller beliebig wechseln. Deshalb ist es für solche Projekte extrem schwierig mehr als nur ein paar wenige Modelle zu unterstützen.
Im PC-Bereich ist das übrigens fundamental anders. Da sind alle PCs (zumindest mit x86-Prozessor) grundlegend gleich. Das ist eine homogene Plattform auf der ich eine große Auswahl an Betriebssystemen habe.
Solche Sandboxes sind im Übrigen nicht unumstritten. Ein großes Problem ist, dass in den AppStores so unglaublich viel fragwürdige Software drin ist, beispielsweise Software die jeden Klick an „Drittfirmen“ schickt. Da kann halt auch ein Graphene OS nur wenig machen.
Ich persönlich habe ja mit der Mobiltelefonwelt abgeschlossen. Das ist alles so die „Sickergrube der IT“. Da ist all das drin, was man in den 1990ern geglaubt hat überwunden zu haben. Leider wird man häufig dazu gezwungen. Dafür hab ich halt noch solche Geräte. Ich hab da aber nix drauf, was ich eh nicht teil-veröffentliche. Bestenfalls höre ich damit noch Podcasts oder navigiere zu einer Position im Osmand.
Was das „Teilen von Code“ angeht, das gabs bei GrapheneOS auch mal, Stichwort AOSP Alliance. Leider sind die Entwickler von GrapheneOS dann irgendwann falsch abgebogen, so dass die anderen Teilnehmer der AOSP Alliance entschieden haben, GrapheneOS rauszuwerfen. Seitdem schießt GrapheneOS auf alles und jeden, der nicht die reine Lehre der absoluten Smartphone-Sicherheit vertritt. Übrigens ein weiterer Grund, warum ich GrapheneOS nicht nutze.
Unfug und FUD (Fear, uncertainty, and doubt). Die „Anderen“ (/e/, LineageOS, CalyxOS, etc.) kamen irgendwann auf die Idee es Google gleich zu machen und die Nutzerdaten selbst lukrativ an Datenkraken zu verhökern. Da wollte GrapheneOS nicht mitmachen. LineageOS signiert ihre Firmware (builds) nicht, sodass jeder mit einem USB-Stick das Ding kompromitieren kann. CalyxOS mit ihrem nachgestricktem Google-Play/Store namens „microG“ kann nicht beweisen, dass sie besser sind als alle Google-Programmierer und zerstört damit auch die Sandbox-Sicherheit per se.
Dass CalyxOS irgendwelche Nutzerdaten lukrativ an Datenkraken verhökert, kannst du doch sicher belegen, oder? Nicht? Dann kann sich der geneigte Leser ja die Frage danach, wer hier Unfug und FUD verbreitet, selbst beantworten.
Norbert
Weil ich meine Aussage zur AOSP Alliance selber nicht belegt habe, hier noch der entsprechende Commit auf dem AOSP Alliance Repo:
Diese Folge habe ich gehört, bis Flo angefangen hat über /e/OS zu sprechen, da ist mir die Hutschnur geplatzt und ich habe den Rest übersprungen. Was für ein Haufen an Halbwahrheiten in nur so wenigen Sekunden!
Zunächst einmal ist microg kein »Google durch die Hintertür« wie hier dargestellt. microg stellt SCHEINBAR Google-Services zur Verfügung; d. h. für eine App sieht es so aus, als wären die Services vorhanden, tatsächlich ist es aber andere Software, die nur so tut, als wäre sie Google.
Sicherheitsupdates: Nein, e/OS/ basiert nicht auf der neuesten Android-Version und nein, das ist kein Problem. Es ist nämlich nicht so wie beim iPhone, dass du immer unbedingt die neuste OS-Version erwarten kannst. Es ist leider völlig normal, dass die Version nicht immer die neueste ist, weil die Hersteller bedeutende Anpassungen am Android vornehmen müssen. Das kostet Zeit und Mühe und du bist auf den guten Willen der Hersteller angewiesen. Murena, die französische Firma hinter /e/OS, unterstützt die Geräte dabei deutlich länger als die Hersteller selbst und die Sicherheits-Updates für die »alten« Android-Versionen werden in etwa genauso schnell ausgeliefert wie von den Telefonherstellern selbst.
/e/OS ist vermutlich nicht ganz so sicher, wie Graphene. Das ist aber auch nicht der Schwerpunkt; der liegt stattdessen auf Benutzerfreundlichkeit und Privatsphäre. Vom technischen Standpunkt kann ich nicht viel dazu sagen, weil ich nicht in der Materie drin bin, aber du kannst dir einfach ein Telefon fertig mit /e/OS kaufen, deine Kontakte und Kalendereinträge automatisch in die Cloud von Murena hochladen (allerdings bei weniger kostenlosem Speicherplatz als bei Google) und im vorinstalliertem Store installierst du dir dann die Bezahl-App deiner Bank und bezahlst kontaktlos, wenn du das möchtest.
Hatte ähnliche Gedanken. microG ist tatsächlich einer der Gründe, warum GrapheneOS für mich keine Option ist. Ich möchte keine proprietären Play Services auf meinem Smartphone, die ich nicht kontrollieren kann, vor allem, weil man denen auch unter GrapheneOS so viele Berechtigungen geben muss, damit sie funktionieren, dass die Frage gestattet sei, was das ganze dann am Ende eigentlich noch bringt.
Ein anderer Grund ist, dass Hardware von Google für mich nicht in Frage kommt. Das Pixel 9a ist, was die Reparierbarkeit angeht, übrigens besonders furchtbar: https://www.youtube.com/watch?v=MQttn6TFq70
Der Vorteil bei GrapheneOS ist, dass man den originalen Google-Playstore in einem zweiten User-Profil auf dem Gerät installieren kann ohne dass er dort irgendetwas von den sonstigen Apps und privaten Daten überhaupt mitbekommt. Dort ist er natürlich auch ge-Sandbox-t.
Ich benutze das immer laufende Admin-Profil („Eigentümer“), auf dem kaum Software installiert ist (spezifische Admin-Apps), dann ein Profil das ich quasi täglich nutze („Daily“) mit all der Software, die ich gewöhnlich nutze (Offline-Karten, Podcastplayer, Messenger, P2P-Torrent, Kalender, Office, Wetter,…), ein separiertes Profil („EvilDeamon“) für den Google-Playstore und Google-Apps (Camera/Foto) und ein Profil („Test“) für Apps, die ich mal ausprobieren möchte ohne nachdenken zu müssen, ob sie heimlich mit anderen Apps interagieren. Das Test-Profil kann man schnell anlegen und falls man alles darin loswerden möchte auch schnell wieder rückstandslos löschen – und neu anlegen (dauert 10 Sekunden).
Flo sagte zwar:
“Na ja, also nach bestem Wissen und Gewissen beantworte ich diese Frage mit, ja, ich kenne nicht alle 100 Millionen Apps im App Store, im Play Store, die da irgendwie was Probleme machen könnten und nicht jede Sicherheitslücke. Aber wenn du die Network Permissions einer App entziehst, was soll sie dann noch groß machen und dich tracken, wenn sie die Daten irgendwo mehr hinschicken kann? Man muss so ein bisschen überlegen, wie zielführend man das System benutzt, weil wenn ich jetzt zum Beispiel Grafino OS installiere und dann Sandbox Google Play einrichte, mir dann die ganzen Google Apps runterlade und ihnen, weil ich vielleicht manche Sachen doch verwenden will, wie Google Kalender und mich dort in mein Google Account einlogge und den dann auch im System hinterlege, dann könnte es natürlich sein, dass Google Kalender auch Informationen aus Google Fotos sendet, weil Google Kalender hat ja Network Permissions zum Beispiel.”
Aber über App‑Intents (womit Apps miteinander wie vorgesehen sprechen sollen und beispielsweise URLs mit einem Payload aufrufen können), Sicherheitslücken auf einem sogar noch gerooteten Gerät und andere Exfiltrationstechniken kann man (eher theoretisch) immer noch Daten abgreifen. Das passiert jedoch nicht automatisch. Dafür braucht es entweder eine bewusste Nutzereingabe oder ein zweites, bereits kompromittiertes Gerät, das die Daten aktiv ausliest. Ohne passendes Umfeld kann eine einzelne App mit abgeschalteter Netzwerkberechtigung nichts exfiltrieren.
Ein Beispielsweise lohnendes Ziel wäre ein gehackter PC, der bei einer TAN‑Abfrage über Lautsprecher oder Mikrofon einen akustischen Covert‑Channel nutzt. Selbst einfache PC‑Speaker können als improvisiertes Mikrofon dienen. So könnte der PC eine SMS‑TAN vom Smartphone akustisch auslesen und an die Schadsoftware weitergeben – ganz ohne Internetzugriff der App auf dem Telefon. Also: keine unseriösen Apps mit Nachrichten-Zugriff nutzen, scheint die Lösung, nicht das Internet am Handy (pro App) abdrehen. Und wenn jemand glaubt, er wird nicht bis zu einer Überweisung gephisht: Selbstüberschätzung, selbst Profis die 40h/Woche in der IT-Security arbeiten lassen sich Privat noch veralbern, wenn der Prozess nur typisch genug nach kaputtem Spezialfalls (also Normalfall bei einer Bank) aussieht.
Du hast natürlich grundsätzlich Recht damit, dass Netzwerkfreigabe vs App-Intents schon was anderes sind, weil für App-zu-App Kommunikation erst mal beide Apps überhaupt miteinander reden wollen müssen.
Nichtsdestotrotz ist das mit den App-Intents mMn so eine Sache. Ich denke vielen Anwender*innen sind die Implikationen davon nicht 100%ig bewusst, bzw ist ihnen vielleicht auch unklar wovor die (gehärtete) Sandbox genau schützt.
Hier ein doch recht realistiaches Szenario:
Eine User*in installiert Play Services und gibt Play Services die Netzwerkfreigabe (aus welchen Gründen auch immer).
Danach installiert die User*in noch eine weitere App (z.B. ein random mobile Game), gibt aber dafür die Netzwerkberechtigung nicht frei.
Trotzdem könnte das Verhalten der User*in in der 2. App von der App-Herausgeber*in getrackt werden, weil die App über Intents mit Play Services reden kann. Play Services nimmt die Firebase-Tracking-Daten gern an und kann dir Datem mit der eigenen Netzwerkfreigabe dann einfach ausleiten. Die App-Herausgeber*in hat im Firebase-Analytics Dashboard am Ende einfach Zugruff auf die Daten.
Ich glaube vielen Leuten ist ganz grundsätzlich gar nicht wirklich bewusst, dass Apps auch ohne Netzwerkfreigabe miteinander kommunizieren können.
Noch weniger ist glaube ich klar, dass Google auch bereit dazu ist Tracking Daten für andere App-Anbieter*innen auszuleiten.
Ich bin seit 14 Jahren mit LineageOS (bzw. damals CyanogenMod) unterwegs und kenne daher die Alltagsprobleme mit inoffiziellen Androids. Um das meiste lässt sich herumfrickeln oder alternative Lösungen finden, das benötigt allerdings immer etwas Aufwand. Leider erzwingen Apps teilweise völlig sinnlose Beschränkungen, was z. B. auch beim Bezahlen oder bei Banking aufschlägt. Seit etwa einem halben Jahr bietet Paypal eine eigene Kontaktlosbezahlfunktion über ihre eigene App, statt per Google an. Das funktioniert bei mir wunderbar. Falls man also Paypal sowieso verwendet, und die Convenience haben möchte, ist das einen Blick wert 🙂
Hallo Graphine OS kling ja echt interessant. was mir im Podcast aber nicht so klar geworden ist, ist ob es Einschränkungen bei Apps gibt, die großen Wert darauf legen auf nicht gehäckten Telefonen installiert zu sein.
Banking Apps würden mir hier als erstes einfallen.
Hat da jemand Erfahrungen?
Hallo Holger, herzlichen Glückwunsch zu deinem Wagnis mal was anderes auszuprobieren und GrapheneOS zu benutzen und darüber zu berichten. Ich habe den Sprung vor einem halben Jahr vollzogen und bin ebenso begeistert, wie du. Alles Schritt für Schritt keine Eile beim Entdecken der Möglichkeiten. Die tragbare Sensorüberwachungsplattform der globalen Konzerne (Apple, Google, Samsung, Chinaware) wurde endlich wieder der tragbare, persönliche und nützliche Hosentaschencomputer, der er sein sollte. Ach ja, und telefonieren soll man damit auch können.
Beides sehr angenehme Zeitgenossen, die von der Erstinstallation, über Profile einrichten, die besten App-Stores (Obtainium!) und Scopes (Dateizugriffsrechte einzelner Apps) alles nachvollziehbar erklären. Auf deren Youtube-Kanälen einfach nach „grapheneos“ suchen und dann und wann eine Folge schauen.
Wenn man mit testosterongeladenem Affenstallgeruch zurecht kommt, kann man sich auch angucken, was Adam Curry bei Joe Rogan dazu zu sagen hat (https://youtu.be/C-cmEsaI_ew). Curry hat auch eine eigene Webseite „No Agenda Phone“ (https://noagendaphone.com/) aufgesetzt. Die FAQs dort sind sehr lesenswert.
Ansonsten: Toller Gastredner, Florian, und allgemein tolle Folge. Nicht zu technisch, nicht zu tief und dennoch umfassend und begeisternd. Vielleicht gibts ja eine Update-Folge irgendwann.
Bei der ein oder anderen Sache wäre ich gerne technisch noch etwas tiefer eingestiegen, zum Beispiel um besser zu verstehen auf welche Weise microG „alle Security-Mauern niederreißt“. Gibt es da bestimmte Audiodump-Folgen zum empfehlen, Holgi oder Flo? Sich dort durch das Archiv zu pflügen um anhand der Shownotes die Themen zu raten ist leider etwas mühselig 😐
Vermutlich ging es dabei um das für microG nötige Signature Spoofing. Das kann man richtig implementieren, so wie es z.B. CalyxOS in der Vergangenheit getan hat, dann reißt es keine Mauern nieder:
GrapheneOS ist sicher ganz cool. Aber dass es so eingeschränkt ist auf wenige Modelle, ist schon schade. Ich habe zum Beispiel noch ein älteres Tablet rumfliegen, das an sich noch super funktioniert, aber keine Updates mehr bekommt und daher ein latentes Sicherheitsrisiko ist. Das ist neben der Google-Freiheit noch eine weitere Lücke, die nur teilweise geschlossen ist.
Alternative Betriebssysteme wie GrapheneOS eignen sich eher nicht, wenn man Diabetes hat oder aufgrund von Blindheit/Sehbehinderung auf Screenreader angewiesen ist. Hier scheinen Apple-Geräte leider immer noch die Nase vorne zu haben.
Ich bin auch ein Fan von GrapheneOS. Allerdings würde ich gerne für eine Sache Aufmerksamkeit schaffen: GrapheneOS unterstützt kein Advanced Mobile Location (AML).
AML ist dafür da, dass bei einem Notruf via 112 der Standort des Smartphones automatisch an die Leitstelle gesendet wird. Im Notfall kann das ggf. lebensrettend sein. Dieses Feature ist bei Android jedoch leider Teil der proprietären Google Play Services und deswegen nicht auf GrapheneOS verfügbar – auch nicht, wenn man die Sandboxed Play Services nachinstalliert.
Damit möchte ich nicht von GrapheneOS abraten, aber man sollte davon wissen und abwägen, was einem wichtig ist.
Wie haben die Menschen vor knapp 5 Jahren nur überleben können — ohne AML?
Ich kann mich noch schwach an vor 2018 erinnern, als alle Menschen darbend am Wegesrand lagen und vor sich hin starben. Im Prinzip existieren wir gar nicht mehr. So doll schlimm ist das.
Andere sehen das als Vorteil. Manche haben nicht einmal eine SIM in ihrem Gerät, sondern nehmen für solche Fälle eine Knochen der nicht einmal GPS an Bord hat. Oder gehen ganz ohne alles aus dem Haus.
ich bin auch gerne zynisch.
Aber ich bin auch First Responder. Wir bekommen einen Nachricht in einer APP mit Adresse oder Standortangabe.
Außerhalb von Ortschaften ist das sehr schwierig. Und seit einiger Zeit gibt es einen Button „Navigiere zur Einsatzstelle“. Und das ist erstaunlich genau.
Ein Wanderer mit Herzinfarkt im Wald profitiert von der schnelleren Erreichbarkeit. Habe so einen Fall selbst erlebt.
Kommt selten vor. Trotzdem ist es gut zu wissen, dass ggf. das datensichere Smartphone diese Funktion nicht hat.
Und jeder, der das weiß kann entscheiden ob er dieses Risiko eingehen will.
ich denke, Zynismus ist hier fehl am Platz.
Ein paar Punkte die ich anmerken möchte.
Zum einen ist es in einer Demokratie zwar schon ein wichtiges Ziel, dass möglichst jeder möglichst alles verstehen kann, da das aber nicht geht, ist es wichtig Stellvertreter wählen zu können. Die Entwickler hinter solchen Distributionen wie Graphene OS geben wir diese Möglichkeit. Das sieht man schön bei den BSDs. Es gibt unterschiedliche BSD Versionen wie OpenBSD, FreeBSD, NetBSD usw. Die haben alle unterschiedliche Ausrichtungen, teilen aber untereinander Code und Ideen. Da passiert dann eine Art „technischer Diskurs“ aus dem man auswählen kann.
Dann muss man meiner Meinung nach einen Unterschied zwischen „Freier Software“ und „Open Source“ machen. „Freie Software“ meint, dass man als Nutzer gleichberechtigter Teilnehmer an einem Projekt ist. Wenn mir nicht gefällt, wohin sich das Projekt bewegt, dann kann ich einen Fork machen (lassen) und dann halt den verwenden. Ich kann Dinge die mir nicht passen einfach rausnehmen. Dazu sollte ich natürlich den Quellcode haben, aber die Leute dahinter sehen so was als etwas völlig normales und gesundes an. So wie wenn man ein Gericht kocht und Zutaten rausnimmt/ändert die man nicht mag.
„Open Source“ ist hingegen eine kommerzielle Gegenbewegung. Man bleibt bei der traditionellen Machtstruktur des „Herstellers“ und des „Nutzers“, liefert aber den Quellcode mit aus. Forks und eigene Änderungen sind zwar rechtlich erlaubt, werden aber mit unterschiedlichen Methoden erschwert. (Markenrecht, proprietäre Teile, usw) Das ist das was Android heute ist. Der Nutzer soll nicht die „Enshittification“ ausbauen können, sondern gefälligst das „fressen“ was man ihm vorwirft.
Das große technische Problem mit Smartphones ist auch, dass jedes Smartphone ziemlich unterschiedlich ist. Der Großteil davon wird über den zentralen Mikrochip, dem „System on a Chip“ (SoC) bestimmt. Da ist (quasi) das ganze Mobiltelefon drin. Die Hersteller kochen da, ganz bewusst, ihr eigenes Süppchen, denn wenn es da einen Standard gäbe, könnten die Mobiltelefonhersteller ja ihre SoC-Hersteller beliebig wechseln. Deshalb ist es für solche Projekte extrem schwierig mehr als nur ein paar wenige Modelle zu unterstützen.
Im PC-Bereich ist das übrigens fundamental anders. Da sind alle PCs (zumindest mit x86-Prozessor) grundlegend gleich. Das ist eine homogene Plattform auf der ich eine große Auswahl an Betriebssystemen habe.
Solche Sandboxes sind im Übrigen nicht unumstritten. Ein großes Problem ist, dass in den AppStores so unglaublich viel fragwürdige Software drin ist, beispielsweise Software die jeden Klick an „Drittfirmen“ schickt. Da kann halt auch ein Graphene OS nur wenig machen.
Ich persönlich habe ja mit der Mobiltelefonwelt abgeschlossen. Das ist alles so die „Sickergrube der IT“. Da ist all das drin, was man in den 1990ern geglaubt hat überwunden zu haben. Leider wird man häufig dazu gezwungen. Dafür hab ich halt noch solche Geräte. Ich hab da aber nix drauf, was ich eh nicht teil-veröffentliche. Bestenfalls höre ich damit noch Podcasts oder navigiere zu einer Position im Osmand.
Was das „Teilen von Code“ angeht, das gabs bei GrapheneOS auch mal, Stichwort AOSP Alliance. Leider sind die Entwickler von GrapheneOS dann irgendwann falsch abgebogen, so dass die anderen Teilnehmer der AOSP Alliance entschieden haben, GrapheneOS rauszuwerfen. Seitdem schießt GrapheneOS auf alles und jeden, der nicht die reine Lehre der absoluten Smartphone-Sicherheit vertritt. Übrigens ein weiterer Grund, warum ich GrapheneOS nicht nutze.
Unfug und FUD (Fear, uncertainty, and doubt). Die „Anderen“ (/e/, LineageOS, CalyxOS, etc.) kamen irgendwann auf die Idee es Google gleich zu machen und die Nutzerdaten selbst lukrativ an Datenkraken zu verhökern. Da wollte GrapheneOS nicht mitmachen. LineageOS signiert ihre Firmware (builds) nicht, sodass jeder mit einem USB-Stick das Ding kompromitieren kann. CalyxOS mit ihrem nachgestricktem Google-Play/Store namens „microG“ kann nicht beweisen, dass sie besser sind als alle Google-Programmierer und zerstört damit auch die Sandbox-Sicherheit per se.
Dass CalyxOS irgendwelche Nutzerdaten lukrativ an Datenkraken verhökert, kannst du doch sicher belegen, oder? Nicht? Dann kann sich der geneigte Leser ja die Frage danach, wer hier Unfug und FUD verbreitet, selbst beantworten.
Weil ich meine Aussage zur AOSP Alliance selber nicht belegt habe, hier noch der entsprechende Commit auf dem AOSP Alliance Repo:
https://github.com/AOSPAlliance/README/commit/cbd2a95cba7c2af13d397f3b2057cb05006e110f
Moin!
Diese Folge habe ich gehört, bis Flo angefangen hat über /e/OS zu sprechen, da ist mir die Hutschnur geplatzt und ich habe den Rest übersprungen. Was für ein Haufen an Halbwahrheiten in nur so wenigen Sekunden!
Zunächst einmal ist microg kein »Google durch die Hintertür« wie hier dargestellt. microg stellt SCHEINBAR Google-Services zur Verfügung; d. h. für eine App sieht es so aus, als wären die Services vorhanden, tatsächlich ist es aber andere Software, die nur so tut, als wäre sie Google.
Sicherheitsupdates: Nein, e/OS/ basiert nicht auf der neuesten Android-Version und nein, das ist kein Problem. Es ist nämlich nicht so wie beim iPhone, dass du immer unbedingt die neuste OS-Version erwarten kannst. Es ist leider völlig normal, dass die Version nicht immer die neueste ist, weil die Hersteller bedeutende Anpassungen am Android vornehmen müssen. Das kostet Zeit und Mühe und du bist auf den guten Willen der Hersteller angewiesen. Murena, die französische Firma hinter /e/OS, unterstützt die Geräte dabei deutlich länger als die Hersteller selbst und die Sicherheits-Updates für die »alten« Android-Versionen werden in etwa genauso schnell ausgeliefert wie von den Telefonherstellern selbst.
/e/OS ist vermutlich nicht ganz so sicher, wie Graphene. Das ist aber auch nicht der Schwerpunkt; der liegt stattdessen auf Benutzerfreundlichkeit und Privatsphäre. Vom technischen Standpunkt kann ich nicht viel dazu sagen, weil ich nicht in der Materie drin bin, aber du kannst dir einfach ein Telefon fertig mit /e/OS kaufen, deine Kontakte und Kalendereinträge automatisch in die Cloud von Murena hochladen (allerdings bei weniger kostenlosem Speicherplatz als bei Google) und im vorinstalliertem Store installierst du dir dann die Bezahl-App deiner Bank und bezahlst kontaktlos, wenn du das möchtest.
LG
Proedie
Hatte ähnliche Gedanken. microG ist tatsächlich einer der Gründe, warum GrapheneOS für mich keine Option ist. Ich möchte keine proprietären Play Services auf meinem Smartphone, die ich nicht kontrollieren kann, vor allem, weil man denen auch unter GrapheneOS so viele Berechtigungen geben muss, damit sie funktionieren, dass die Frage gestattet sei, was das ganze dann am Ende eigentlich noch bringt.
Ein anderer Grund ist, dass Hardware von Google für mich nicht in Frage kommt. Das Pixel 9a ist, was die Reparierbarkeit angeht, übrigens besonders furchtbar: https://www.youtube.com/watch?v=MQttn6TFq70
Der Vorteil bei GrapheneOS ist, dass man den originalen Google-Playstore in einem zweiten User-Profil auf dem Gerät installieren kann ohne dass er dort irgendetwas von den sonstigen Apps und privaten Daten überhaupt mitbekommt. Dort ist er natürlich auch ge-Sandbox-t.
Ich benutze das immer laufende Admin-Profil („Eigentümer“), auf dem kaum Software installiert ist (spezifische Admin-Apps), dann ein Profil das ich quasi täglich nutze („Daily“) mit all der Software, die ich gewöhnlich nutze (Offline-Karten, Podcastplayer, Messenger, P2P-Torrent, Kalender, Office, Wetter,…), ein separiertes Profil („EvilDeamon“) für den Google-Playstore und Google-Apps (Camera/Foto) und ein Profil („Test“) für Apps, die ich mal ausprobieren möchte ohne nachdenken zu müssen, ob sie heimlich mit anderen Apps interagieren. Das Test-Profil kann man schnell anlegen und falls man alles darin loswerden möchte auch schnell wieder rückstandslos löschen – und neu anlegen (dauert 10 Sekunden).
Flo sagte zwar:
“Na ja, also nach bestem Wissen und Gewissen beantworte ich diese Frage mit, ja, ich kenne nicht alle 100 Millionen Apps im App Store, im Play Store, die da irgendwie was Probleme machen könnten und nicht jede Sicherheitslücke. Aber wenn du die Network Permissions einer App entziehst, was soll sie dann noch groß machen und dich tracken, wenn sie die Daten irgendwo mehr hinschicken kann? Man muss so ein bisschen überlegen, wie zielführend man das System benutzt, weil wenn ich jetzt zum Beispiel Grafino OS installiere und dann Sandbox Google Play einrichte, mir dann die ganzen Google Apps runterlade und ihnen, weil ich vielleicht manche Sachen doch verwenden will, wie Google Kalender und mich dort in mein Google Account einlogge und den dann auch im System hinterlege, dann könnte es natürlich sein, dass Google Kalender auch Informationen aus Google Fotos sendet, weil Google Kalender hat ja Network Permissions zum Beispiel.”
Aber über App‑Intents (womit Apps miteinander wie vorgesehen sprechen sollen und beispielsweise URLs mit einem Payload aufrufen können), Sicherheitslücken auf einem sogar noch gerooteten Gerät und andere Exfiltrationstechniken kann man (eher theoretisch) immer noch Daten abgreifen. Das passiert jedoch nicht automatisch. Dafür braucht es entweder eine bewusste Nutzereingabe oder ein zweites, bereits kompromittiertes Gerät, das die Daten aktiv ausliest. Ohne passendes Umfeld kann eine einzelne App mit abgeschalteter Netzwerkberechtigung nichts exfiltrieren.
Ein Beispielsweise lohnendes Ziel wäre ein gehackter PC, der bei einer TAN‑Abfrage über Lautsprecher oder Mikrofon einen akustischen Covert‑Channel nutzt. Selbst einfache PC‑Speaker können als improvisiertes Mikrofon dienen. So könnte der PC eine SMS‑TAN vom Smartphone akustisch auslesen und an die Schadsoftware weitergeben – ganz ohne Internetzugriff der App auf dem Telefon. Also: keine unseriösen Apps mit Nachrichten-Zugriff nutzen, scheint die Lösung, nicht das Internet am Handy (pro App) abdrehen. Und wenn jemand glaubt, er wird nicht bis zu einer Überweisung gephisht: Selbstüberschätzung, selbst Profis die 40h/Woche in der IT-Security arbeiten lassen sich Privat noch veralbern, wenn der Prozess nur typisch genug nach kaputtem Spezialfalls (also Normalfall bei einer Bank) aussieht.
Du hast natürlich grundsätzlich Recht damit, dass Netzwerkfreigabe vs App-Intents schon was anderes sind, weil für App-zu-App Kommunikation erst mal beide Apps überhaupt miteinander reden wollen müssen.
Nichtsdestotrotz ist das mit den App-Intents mMn so eine Sache. Ich denke vielen Anwender*innen sind die Implikationen davon nicht 100%ig bewusst, bzw ist ihnen vielleicht auch unklar wovor die (gehärtete) Sandbox genau schützt.
Hier ein doch recht realistiaches Szenario:
Eine User*in installiert Play Services und gibt Play Services die Netzwerkfreigabe (aus welchen Gründen auch immer).
Danach installiert die User*in noch eine weitere App (z.B. ein random mobile Game), gibt aber dafür die Netzwerkberechtigung nicht frei.
Trotzdem könnte das Verhalten der User*in in der 2. App von der App-Herausgeber*in getrackt werden, weil die App über Intents mit Play Services reden kann. Play Services nimmt die Firebase-Tracking-Daten gern an und kann dir Datem mit der eigenen Netzwerkfreigabe dann einfach ausleiten. Die App-Herausgeber*in hat im Firebase-Analytics Dashboard am Ende einfach Zugruff auf die Daten.
Ich glaube vielen Leuten ist ganz grundsätzlich gar nicht wirklich bewusst, dass Apps auch ohne Netzwerkfreigabe miteinander kommunizieren können.
Noch weniger ist glaube ich klar, dass Google auch bereit dazu ist Tracking Daten für andere App-Anbieter*innen auszuleiten.
Nur generelles Feedback:
Das Konzept für die Sendung, Nerd erklärt Holgi Technik, finde ich echt gut. Das war ein Teil warum ich auch NSFW gehört habe.
Ich bin seit 14 Jahren mit LineageOS (bzw. damals CyanogenMod) unterwegs und kenne daher die Alltagsprobleme mit inoffiziellen Androids. Um das meiste lässt sich herumfrickeln oder alternative Lösungen finden, das benötigt allerdings immer etwas Aufwand. Leider erzwingen Apps teilweise völlig sinnlose Beschränkungen, was z. B. auch beim Bezahlen oder bei Banking aufschlägt. Seit etwa einem halben Jahr bietet Paypal eine eigene Kontaktlosbezahlfunktion über ihre eigene App, statt per Google an. Das funktioniert bei mir wunderbar. Falls man also Paypal sowieso verwendet, und die Convenience haben möchte, ist das einen Blick wert 🙂
Hallo Graphine OS kling ja echt interessant. was mir im Podcast aber nicht so klar geworden ist, ist ob es Einschränkungen bei Apps gibt, die großen Wert darauf legen auf nicht gehäckten Telefonen installiert zu sein.
Banking Apps würden mir hier als erstes einfallen.
Hat da jemand Erfahrungen?
ING läuft bei mir.
Banking Applications Compatibility with GrapheneOS
(Bank-Apps, die mit GrapheneOS funktionieren)
Liste: https://privsec.dev/posts/android/banking-applications-compatibility-with-grapheneos/
Nach Staaten sortiert (z. Bsp. D/A/CH*).
* Deutschland/Australien/China… natürlich
Hallo Holger, herzlichen Glückwunsch zu deinem Wagnis mal was anderes auszuprobieren und GrapheneOS zu benutzen und darüber zu berichten. Ich habe den Sprung vor einem halben Jahr vollzogen und bin ebenso begeistert, wie du. Alles Schritt für Schritt keine Eile beim Entdecken der Möglichkeiten. Die tragbare Sensorüberwachungsplattform der globalen Konzerne (Apple, Google, Samsung, Chinaware) wurde endlich wieder der tragbare, persönliche und nützliche Hosentaschencomputer, der er sein sollte. Ach ja, und telefonieren soll man damit auch können.
Besonders hilfreich in den Anfangstagen waren Youtube-Videos von:
– Side Of Burritos
(https://www.youtube.com/@sideofburritos/videos)
– Naomi Brockwell TV
(https://www.youtube.com/@NaomiBrockwellTV/videos)
Beides sehr angenehme Zeitgenossen, die von der Erstinstallation, über Profile einrichten, die besten App-Stores (Obtainium!) und Scopes (Dateizugriffsrechte einzelner Apps) alles nachvollziehbar erklären. Auf deren Youtube-Kanälen einfach nach „grapheneos“ suchen und dann und wann eine Folge schauen.
Wenn man mit testosterongeladenem Affenstallgeruch zurecht kommt, kann man sich auch angucken, was Adam Curry bei Joe Rogan dazu zu sagen hat (https://youtu.be/C-cmEsaI_ew). Curry hat auch eine eigene Webseite „No Agenda Phone“ (https://noagendaphone.com/) aufgesetzt. Die FAQs dort sind sehr lesenswert.
Ansonsten: Toller Gastredner, Florian, und allgemein tolle Folge. Nicht zu technisch, nicht zu tief und dennoch umfassend und begeisternd. Vielleicht gibts ja eine Update-Folge irgendwann.
Super interessante Folge, danke dafür.
Bei der ein oder anderen Sache wäre ich gerne technisch noch etwas tiefer eingestiegen, zum Beispiel um besser zu verstehen auf welche Weise microG „alle Security-Mauern niederreißt“. Gibt es da bestimmte Audiodump-Folgen zum empfehlen, Holgi oder Flo? Sich dort durch das Archiv zu pflügen um anhand der Shownotes die Themen zu raten ist leider etwas mühselig 😐
Vermutlich ging es dabei um das für microG nötige Signature Spoofing. Das kann man richtig implementieren, so wie es z.B. CalyxOS in der Vergangenheit getan hat, dann reißt es keine Mauern nieder:
https://calyxos.org/docs/tech/microg-details/
Disclaimer: Bei CalyxOS gibt es gerade eine kreative Pause:
https://calyxos.org/news/2025/08/01/a-letter-to-our-community/
GrapheneOS ist sicher ganz cool. Aber dass es so eingeschränkt ist auf wenige Modelle, ist schon schade. Ich habe zum Beispiel noch ein älteres Tablet rumfliegen, das an sich noch super funktioniert, aber keine Updates mehr bekommt und daher ein latentes Sicherheitsrisiko ist. Das ist neben der Google-Freiheit noch eine weitere Lücke, die nur teilweise geschlossen ist.
Alternative Betriebssysteme wie GrapheneOS eignen sich eher nicht, wenn man Diabetes hat oder aufgrund von Blindheit/Sehbehinderung auf Screenreader angewiesen ist. Hier scheinen Apple-Geräte leider immer noch die Nase vorne zu haben.
Jau, hat Flo ja auch in der Sendung gesagt, dass das nichts für alle und jede ist.