1. GrapheneOS – Warum kein anderes System?
  2. GrapheneOS – Viele Maßnahmen für die Sicherheit
  3. GrapheneOS – Installation und Einrichtung
  4. GrapheneOS – Eine Sammlung von F-Droid Apps
  5. GrapheneOS – Updates ohne Risiko

GrapheneOS ist ein Custom ROM, aber nicht irgendeines. Die Entwickler behaupten ein besonders sicheres Custom ROM auszuliefern und bieten dieses auch nur für Hardware an, die besondere Sicherheitsstandards erfüllt. Doch könnte man nicht was anderes verwenden?

Vor Kurzem berichtete ich bereits von meinem Plan, GrapheneOS einzusetzen. Nachdem nun die ersten experimentellen Builds für das Google Pixel 6 zur Verfügung stehen, möchte ich die Serie zu GrapheneOS beginnen. Zuerst ist daher die Frage zu klären, warum man kein anderes ROM oder Betriebssystem nehmen kann. Es gibt schließlich zahlreiche proprietäre und quelloffene Systeme.

Wenn Herstellersoftware, dann Apple

Man sollte sich nichts vormachen, jede Modifikation am Betriebssystem, selbst wenn es so professionell dokumentiert ist wie GrapheneOS, bedeutet für die meisten Menschen einen zu großen Aufwand. Hier fehlt die Zeit, das Interesse, die Kenntnisse oder eine Kombination aus allem.

Wenn man keine Modifikation am System vornehmen möchte, jenseits der Veränderung irgendwelcher Einstellungen oder Installation von Apps, dann empfehle ich nach wie vor iPhones. Diese sind nicht perfekt, es fließen immer noch Daten an Apple ab und man ist von den Entscheidungen in Cupertino abhängig, aber man bekommt ein ganz passables Datenschutzniveau und die Geräte sind sehr sicher. Die extrem geschlossene Plattform hat eben auch Vorteile und nicht nur Nachteile.

Der Vorteil von Apples iOS ist somit lediglich relativ und liegt vor allem daran, wie schlecht Android in der Variante ist, wie wir es bei auslieferten Geräten vorfinden (genannt Stock Android). Stock Android bedeutet in der Regel nicht nur massiven Datenabfluss an Google, sondern auch an mindestens einen weiteren Hersteller. Angesichts der gegenwärtigen Marktanteile sogar oft ein chinesischer Anbieter und damit an ein Unternehmen, das zwangsläufiger Teil des größten, restriktivsten und immer übergriffigeren Überwachungsstaates der Welt ist. Hinzu kommen ungelöste Probleme bei der Updateversorgung, strukturelle Probleme im System etc. pp. Stock Android ist der Traum für jeden Produzenten von bösartiger Software – vom gewöhnlichen Kriminellen bis hin zu staatlichen Akteuren.

Warum nicht LineageOS, Murena (/e/) oder eine andere ROM?

Der Datenschutz macht es somit unumgänglich sich von Stock Android und den proprietären Google-Bestandteilen von Android zu lösen. Das ist nur leider gar nicht so einfach. Ist man bereit, ein alternatives System (eine sogenannte Custom ROM) zu installieren, gibt es zahlreiche Alternativen. Es waren früher mal mehr, aber noch immer gibt es – abhängig vom jeweiligen Gerät – ein paar verschiedene Systeme zur Auswahl. Leider sind diese allesamt nicht nur positiv, vor allem wenn man den Sicherheitsaspekt in den Vordergrund stellt.

Alle diese Custom ROMs basieren auf dem Android Open Source Project (AOSP) und passen dieses an. Eine Zusammenstellung der wichtigsten Begriffe habe ich hier mal erstellt. Die bekannteste Variante ist immer noch LineageOS und dieses bildet auch die Basis für viele andere ROMs. Nur sehr wenige ROMs basieren direkt auf AOSP. Hier ist wichtig sich zu vergegenwärtigen, dass die Modder-Szene nicht automatisch an Datenschutz und Sicherheit interessiert ist. Die Verbindung beider Interessengruppen ist eher ein Zweckbündnis. Vieles von dem, was auf XDA Developers so passiert (fehlende Offenlegung des Codes, Rooten, Bootloader öffnen, Software aus zweifelhaften Quellen via Downloadlink zu einem Filehoster beziehen) widerspricht Datenschutz und Sicherheit.

Das hat verschiedene Probleme zur Folge. Solche, die LineageOS-spezifisch sind und die sich durch die meisten ROMs ziehen und negative Auswirkungen auf die Sicherheit durch die Nutzung eines Custom ROM allgemein.

Die LineageOS-spezifischen Probleme sind mannigfaltig und sowohl technischer als auch organisatorischer Natur. Das Projekt hat – zählt man CyanongenMod dazu – eine lange Entwicklungsgeschichte hinter sich und passt AOSP seit vielen Jahren mit vielfältigen Erweiterungen an. Dabei hat man einige hartnäckige Probleme und Bugs ins System getragen, die man nicht beheben kann oder möchte. XDA Developers ist voll von entsprechenden Berichten über hartnäckige Neustart-Probleme und vieles andere. Hier kann man betroffen sein, muss aber nicht. Das ist auch abhängig vom Gerät. Hinzu kommt eine dünne Entwicklerdecke, die das Mehraugenprinzip als zentrales Sicherheitsprinzip von Open Source unterminiert. Schaut man sich die Änderungen im Code an, stößt man oft auf Commits, bei denen ein und derselbe Entwickler die Änderung vorgenommen, den Review durchgeführt und die Verifizierung abgenommen hat. Vor allem im Bereich der Geräteunterstützung ist das keine Seltenheit. Je kleiner das ROM, desto größer das Problem.

Hinzu kommen Probleme, die jenseits der Möglichkeiten von LineageOS & Co sind. Updates beziehen sich immer nur auf AOSP. Firmware und Kernel müssen vom Hersteller aktualisiert werden. Stellt der Hersteller den Support ein, ist es mit Kernel-Updates nicht mehr weit. Firmware-Updates müssen zudem am System vorbei vorgenommen werden. Das ist keineswegs trivial und passiert deshalb oft nicht. Angesichts der zentralen Bedeutung von Firmware, können dadurch Geräte scheunentorgroße Sicherheitslücken aufweisen. Naturgemäß muss man zudem seinen Bootloader öffnen und ein Custom Recovery installieren. Das System wird dadurch für einen Angreifer unsicherer als ein Stock Android (zur Erinnerung: Datenschutz ungleich Sicherheit).

Das gilt auch für das aktuell sehr populäre Murena (zuvor /e/) und andere LineageOS-Abkömmlinge und sorgt letztlich für den Ausschluss nahezu aller Custom ROMs.

Eine Alternative wäre lediglich CalyxOS, das eine ähnliche Zielsetzung wie GrapheneOS verfolgt, es dem Anwender aber etwas leichter machen soll. CalyxOS ist vor allem für jene Anwender von Interesse, die auf microG wert legen, was mir aber nicht auf das Gerät kommt.

Und Linux? Wann steht das endlich zur Verfügung?

Seitdem ich mich mit Smartphones befasse warte ich auf ein „richtiges“ Linux für Smartphones. Es ist so traurig, aber die Zustandsbeschreibung, die ich 2018 schrieb, gilt eigentlich immer noch.

Linux scheitert mobil daran, dass dort alle negativen Eigenschaften der Community zum tragen kommen und keine der positiven. Zersplitterte Projekte ohne wirtschaftliche Perspektive basteln nebeneinander her und anstelle die neue Geräteklasse zu nutzen, um überholte Strukturen abzulösen, übertragt man die alten Pfadabhängigkeiten des Desktop-Ökosystems auf die mobilen Geräte. Zahlungskräftige Sponsoren fehlen zudem fast vollständig und somit ist Linux im Mobilbereich ein interessantes Beispiel dafür, was passiert, wenn die so oft schutzartig vorgebrachte Ehrenamtlichkeit der Entwicklung tatsächlich mal eintritt: Nicht viel!

Anstelle hier wenigstens aufzuholen, verliert man ganz im Gegenteil immer stärker den Anschluss. Möglicherweise ist man hier bereits endgültig abgehängt, da wird sich substanziell aller Voraussicht nach nichts mehr ändern. Und selbst wenn da noch was kommt, erfüllt es zwar das Kriterium Open Source, aber hinsichtlich elementarer Sicherheitsfunktionen, die sich in den letzten Jahren auf diversen Plattformen eingebürgert haben, hinkt man technisch weit hinterher. Wie eben der Desktop auch.

Diese Problembeschreibung gilt auch für Systeme wie Sailfish OS, das im Gegensatz zu AOSP nicht mal komplett quelloffen ist und bei dem sich die Entwicklerfirma Jolla zudem inzwischen in fragwürdiger finanzieller Abhängigkeit von Russland befindet. Damit ist das absolut keine Option.

Zusammenfassung und Ausblick

Diese Zustandsbeschreibung ist für langjährige Leser dieses Blogs sicher nicht neu, sondern zieht sich durch meine Artikel zu dem Thema. Dazu erhalte ich Widerspruch und interessante Kommentare. In einem jener Kommentare legte man mir GrapheneOS nahe, das viele der Schwächen von Custom ROMs umgeht und ein besonders sicheres System liefert. Ein Überblick über GrapheneOS folgt im nächsten Teil der Serie.

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

10 Ergänzungen

  1. Regel 3 UbuntuUsers Planet: „Der Feed enthält den gesamten Beitrag.“
    Kannst Du Dich da künftig bitte dran halten? Dankeschön.

  2. Wieder mal ein guter Artikel, der die Probleme bei sogenannten „Custom ROMs“ aufzeigt: offener und nicht sperrbarer Bootloader, alte Kernel, keine HW-Aktualisierungen, meist im userdebug-Modus ausgeführt: offen wie Scheunentore. Und dann faseln die ahnungslosen Nutzer was von mehr Sicherheit und Updates zur Weiternutzung ihrer vom Hersteller nicht mehr versorgten Telefone. Selbst die monatlichen Sicherheitsupdates sind nur fake, weil sie aufgrund der Android-Struktur ohne die fehlenden Firmwareupdates gar nicht vorhanden sein KÖNNEN! Da wird nur ein Textstring auf das aktuelle Datum gesetzt und fertig. Diese Systeme werden sogar von mobilsicher.de und der fsfe empfohlen! Wenn selbst die keine Ahnung haben… *kopfschüttel*

    Es gibt einen Grund, warum GrapheneOS nur auf Pixels läuft und nach Einstellung des Herstellersupports für Firmwareupdates auch nicht mehr weiter supportet werden: weil es wegen der Sicherheit nicht geht.

    Zwei Ergänzungen:

    1. Es gibt keine „Custom ROMs“. Ein ROM ist ein „Read-Only Memory“, also nichts mit dem Betriebssystem zu tun hat, wenn sich auch auf XDA der Begriff „ROM“ für ein Betriebssystem (OS) entwickelt hat – kein Mensch weiß warum. (Aber der Deutsche sagt ja zu einer Umhängetasche auch body bag, was eigentlich ein Leichensack ist :-))
    GrapheneOS ist eben das: ein OS (wie alle anderen auch). Die Entwickler weisen in Chats öfter darauf hin und bevorzugen den Begriff „AftermarketOS“ statt „Custom ROMs“.

    2. GrapheneOS kann sogar Google Play Services als dedizierte Apps ohne spezielle Zugriffsrechte ausführen, dazu sind keine unsicheren Kernelanpassungen wie z.B. signature spoofing nötig für microG wie bei CalyxOS.

    Im Endeffekt kann man für ein sicheres Android einzig und allein ein Pixeltelefon mit GrapheneOS empfehlen und nutzen; alles andere sind nur schlechte Kompromisse und Augenwischerei.

  3. Achso, Gerrit: Wenn du noch Tipps zu GrapheneOS (Nutzung, Apps etc.) für deinen Artikel brauchst… Ich nutze das seit einem 3/4 Jahr auf ne Pixel 4a. Sag bescheid.

    • Wenn du irgendwelche Tipps oder so hast, kannst du mir gerne eine Mail schicken. Bisher habe ich die Artikel abgesehen von einem allgemeinen Einführungsartikel zu GrapheneOS noch nicht durchgeplant.

    • Ich habe es begründet und ich habe auf einen Artikel verwiesen, in dem ich das weiter ausgeführt habe. Du schickst mir einen Link zu einer Seite, die bei Apple auf die abschaltbare Datenerhebung im Rahmen der iCloud verweist und 2FA als Hindernis für die Strafverfolgungsbehörden nennt. Dieselbe Seite nennt all diese Möglichkeiten und Einschränkungen für Google nicht. Vielleicht sollte man lesen, was man verlinkt.

  4. Und was hältst du von Ubuntu Touch? Dieses OS hat sich das letztes Jahr stark verbessert und basiert demnächst auf Ubuntu 20.04. Falls du Ubuntu Touch mal testen willst, empfehle ich dir den Port für das Pixel 3A anzuschauen, die Performance ist der Hammer! Sponsoren gibt es für Ubports die hinter Ubuntu Touch stecken auch, mit dem Vollaphone kann man sogar ein deutsches Handy mit Ubuntu Touch erwerben. Ich finde Ubports hat das geschafft, was Canonical nicht geschafft hat. 😉

    • Ich habe zu Ubuntu Touch ehrlich gesagt keine Meinung.

      Ich bewundere die Entwickler, die es wider aller Erwartungen geschafft haben das System zu pflegen und zu modernisieren, nachdem Canonical damals so plötzlich hingeworfen hat. Die spärliche Hardwareauswahl zeigt aber auch Probleme im System und ich habe mal gelesen, dass Ubuntu Touch technisch eine Sackgasse ist. Aber das ist nur Hörensagen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein