LineageOS ist oftmals die einzige Möglichkeit, ein alternatives Betriebssystem auf Android-Hardware aufzuspielen. LineageOS hat viele Probleme und auf manches wurde hier im Blog bereits eingegangen. Wichtig ist ein Verständnis für den Unterschied von Sicherheit und Datenschutz.
In der neuen Serie zu GrapheneOS und vor allem im ersten Teil hatte ich einen extrem kritischen Blick auf LineageOS und vergleichbare Systeme wie Murena bzw. /e/ geworfen. Der Grund dafür ist schlicht und ergreifend: Sie sind nicht sicher. Sie sind sogar unsicherer als die meisten Stock Android-Systeme. Mit diesen Aussagen hatte ich für Verunsicherung gesorgt und möchte das deshalb noch ein wenig präzisieren.
Die an LineageOS beteiligten Entwickler leisten tolle Arbeit und viele der Geräte-Maintainer bemühen sich sehr die Geräte bestmöglich zu unterstützen und mehr als nur die AOSP-Updates weiterzureichen. Von dieser tollen Arbeit habe ich z. B. bei meinem Samsung Galaxy S10 das ganze Jahr profitiert. Diese Entwickler können aber nur mit den Möglichkeiten arbeiten, die ihnen die Hardware bietet. Vor allem im Bereich der Sicherheit führt das nicht weit.
Grundsätzlich ist hier der Unterschied von Datenschutz und Sicherheit zu beachten, der durch eine pauschale Verwendung beider Begriffe und ihrer permanenten Vermengungen vielen nicht ganz klar ist.
Beim Datenschutz geht es schlicht darum, dass mit meinen Daten kein Schindluder getrieben wird. Das Versprechen natürlich alle Unternehmen, aber weil es nicht überprüfbar ist, gibt es das Prinzip der Datensparsamkeit. Das bedeutet, Daten, die nicht erhoben werden, können auch nicht missbräuchlich verwendet oder entwendet werden. Datensparsamkeit als Prinzip gerät immer stärker aus dem Blickfeld, vor allem wenn digitale Werbung ins Spiel kommt. Android ist in seiner normalen Variante so ziemlich das exakte Gegenteil von Datensparsamkeit.
Nutzt man also ein LineageOS ohne Play Services und Play Store und überwiegend oder gar ausschließlich mit freien Apps von F-Droid, dann minimiert man die Datenabflüsse vor allem zu Google immens. Das gilt aber wirklich nur dann. Sobald man den Play Store nutzt oder massiv proprietäre Apps mit den obligatorischen Bibliotheken von Google, Facebook & Co, sind die Datenschutzgewinne schnell dahin. LineageOS ist in seiner Basisvariante ohne Play-Dienste für den Datenschutz ziemlich gut geeignet. Ein paar kleinere Handgriffe, um die letzten Datenabflüsse an Google zu unterbinden, kann man als Anwender selbst noch erledigen, aber die Standardkonfiguration ist ziemlich gut.
Bei der Sicherheit geht es weniger um Telemetriedaten oder Tracking im Internet, sondern um wirklichen Abfluss von gespeicherten Daten, möglicherweise gar die Kompromittierung des Geräts mit dem Ziel, den Besitzer zu überwachen. Die Liste der Opfer in der Pegasus-Affäre sollte einem vor Augen führen, dass der potenziell betroffene Personenkreis größer ist, als man so denkt. Diese Form der Überwachung wird vermutlich eher zu- denn abnehmen. Der auch in Europa zu beobachtende Aufstieg der Autokratien mit ihren vielen imaginierten internen und externen Feinden dürfte seinen Teil dazu beitragen. Viele der NSO-Opfer hätten nicht gedacht, dass sie gezielt überwacht werden. Und hier kommen die Nachteile von LineageOS zum Tragen.
Der Übersichtlichkeit fasse ich die wichtigsten Probleme in einer Liste zusammen:
- Bestenfalls besitzt man ein offiziell unterstütztes Gerät, ansonsten bezieht man bereits das Betriebssystem über Foren wie XDA Developers und damit über eine definitiv nicht vertrauenswürdige Quelle.
- LineageOS garantiert keine Updatezeiträume. Geräte können jederzeit ohne Angabe von Gründen aus dem Support fallen und erhalten dann keine Sicherheitsupdates mehr. Wenn der Maintainer nur zeitweilig das Interesse verliert, fällt das dem Anwender vermutlich nicht mal auf, weil die wöchentlichen LinageOS-Updates trotzdem kommen – halt nur ohne die monatlichen Herstellerupdates.
- Fehlende Updates von Firmware und schlimmstenfalls sogar Kernel machen das Smartphone, abhängig vom Modell, Monat für Monat angreifbarer.
- Für die Installation muss man den Bootloader öffnen, der danach auch nicht mehr geschlossen werden kann. Der verifizierte Start ist damit unmöglich und es ist für Angreifer mit physischem Zugriff auf das Gerät relativ leicht das System zu manipulieren.
- Viele auf XDA Developers verbreiteten Betriebssysteme deaktivieren gar die dateibasierte Verschlüsselung von Android, um über ein Recovery wie TWRP jederzeit auf die Daten zugreifen zu können. Wodurch aber eben selbst blutige Anfänger problemlos per Anleitung aus dem Netz Daten vom Gerät auslesen könnten.
- Die nicht zu erklärende Beliebtheit des „Rootens“ führt zu noch mehr Problemen. Der Anwender hat nun Rootrechte auf seinem System, die er mit dubiosen Tools wie Magisk eingezogen hat. Damit kann der Anwender per Definition einfach alles mit dem Gerät anstellen. Das gilt natürlich auch für Schadsoftware, die man sich irgendwie einfängt.
Aus diesen Gründen ist LineageOS unter den richtigen Voraussetzungen zwar gut für den Datenschutz, aber schlecht bis katastrophal für die Sicherheit. Das ist ein nicht aufzulösender Widerspruch mit dem Anwender leben müssen, so sie nicht Hardware oder Betriebssystem wechseln möchten. Ob das jetzt ein Problem darstellt, hängt von den Einsatzszenarien und der individuellen Risikoanalyse ab.
„Der Grund dafür liegt im Unterschied von Datenschutz und Sicherheit, der durch eine pauschale Verwendung beider Begriffe und ihrer permanenten Vermengungen vielen nicht ganz klar ist.“
Und da trägst Du selber dazu bei indem Du zwischen „Datensicherheit“ und „Sicherheit“ wechselst wie Bernd-August als gäb’s kein Morgen. Wording ist wichtig. Du könntest Deinen Teil dazu beitragen indem Du jetzt mal so langsam präzise wirst…
btw: Dein Post fängt an mit „LineageOS ist oftmals die einzige Möglichkeit…“ DANKE. FERTIG. AUS. Hier ist die gesamte Diskussion beendet. GrapheneOS ist schlicht keine Option! Das ist ein OS das ausschließlich Google-Hardware supported. Mit anderen Worten: es ist KEINE Option!
Dumm im Internet rumhusten können wir alle (beweis ich ja grad selbst), vllt bau’st Du einfach mal ein OS dass es besser macht? Nein? Ja gut. Dann halt nich…
„Und da trägst Du selber dazu bei indem Du zwischen „Datensicherheit“ und „Sicherheit“ wechselst wie Bernd-August als gäb’s kein Morgen. Wording ist wichtig. Du könntest Deinen Teil dazu beitragen indem Du jetzt mal so langsam präzise wirst…“
Was ist an diesem Blogpost unpräzise?
„Hier ist die gesamte Diskussion beendet. GrapheneOS ist schlicht keine Option! Das ist ein OS das ausschließlich Google-Hardware supported. Mit anderen Worten: es ist KEINE Option!“
Warum ist das keine Option?
„Dumm im Internet rumhusten können wir alle (beweis ich ja grad selbst), vllt bau’st Du einfach mal ein OS dass es besser macht? Nein? Ja gut. Dann halt nich…“
Warum dieses Totschlagargument? Warum soll ich etwas selbst entwickeln, wenn es mit GrapheneOS und CalyxOS zwei gute Optionen gibt? Mal abgesehen davon, dass viele der oben geschilderten Sicherheitsprobleme strukturell bedingt sind und sich nicht ändern lassen, wenn man diese Hardware kauft.
Respekt, dass du so gefasst reagierst. Und unverständlich, dass Anna so einen Hals bekommen hat. Bzgl. LineageOS nennst du Contra-Argumente, ohne auszuschließen, dass es auch Pro-Argumente gibt oder dass es bei anderen Alternativen *noch mehr* Contra-Argumente gäbe. Offenbar ist es schwer auszuhalten, dass es kein Schwarz-Weiß bzw. keine eindeutig beste Option gibt.
Für mich war es sehr hiflreich, dass du die Contra-Argumente mal an einer Stelle auflistest. Mir fehlt sogar noch der Punkt, dass selbst Builts für offiziell unterstützte Geräte von keinem Laien und vermutlich auch von so gut wie keinem Entwickler, der ihn verwendet, überprüft werden. Vielleicht noch, von welchem Code der Built kommt, aber was genau im Code sich verändert hat? Oder irre ich mich da?
Es gibt Geräte, wie z.B. das Fairphone 3(+), bei dem nach der Installation von LineageOS der Bootloader wieder geschlossen werden kann. Das ist aber in der Tat die Ausnahme.
Danke für den Hinweis. Das wusste ich nicht und ist sehr interessant, weil es ein sehr wichtiges Problem behebt. Ich behalte das für die Zukunft im Hinterkopf.
Das erweitert den Bereich der Möglichkeiten für jene Anwender, die verständlicherweise keine Google-Hardware erwerben möchten.
Ich möchte noch iodéOS reinwerfen. Das basiert auf LineageOS, hat aber zusätzlich einen integrierten Werbeblocker, einen App Manager wo man die vorinstallierten Apps wieder deinstallieren kann (u.a. sind F-Droid und Aurora Store) und erzwingt eine Geräteverschlüsselung. Unterstützt werden Smartphones, die sie auch über die Webseite verkaufen (u.a auch das S9, was beim offiziellen LineageOS-Support rausgeflogen sind). In Verbindung mit einem Fairphone fallen so einige der aufgelistene Probleme weg.
„Die nicht zu erklärende Beliebtheit des „Rootens““.
Weshalb hat man denn auf den gewöhnlichen Betriebssystemen wie Windows oder Macos von Hause aus root Zugriff?
Es ist wie überall im Leben, mit sachlicher Unkenntniss kann man ungewollt und unbemerkt Schaden anrichten.
Und genau so lange versucht jeder mit Ahnung von Sicherheit, den Leuten die tägliche Arbeit mit diesen Adminaccounts auszureden. Das ist also kein Argument.
Soweit alles korrekt aaaaber wie kann eine Firewall genutzt werden, ohne root oder eine wirklich allumfassende Systemsicherung funktionieren? Natürlich könnte das implementiert sein und es bedürfte keiner root-Rechte mehr, was ich mir sehr wünschen würde… aber wir reden über eine Google-Betriebssystem … und das mag so viele Daten wie möglich … und nicht das Abfließen verhindern.
Und wofür brauchst du eine Firewall? LineageOS ist ohne Google Apps, es sei denn du installierst diese nach.
Mit der Firewall entscheide ich, mit welchen Adressen ein APP kommunizieren darf. Pauschal zu sagen, APP darf ins Netz oder nicht, reicht nicht. Abgesehen davon, Microsoft bringt eine standardmäßig mit und Linux sowieso. Warum Android nicht (Frage ist rein rhetorisch)? Wie bei Windows und Co. auch, könnte sie genutzt werden oder eben nicht. Es wäre zumindest eine Möglichkeit, der Datensammelwut entgegenzuwirken, sofern man daran Interesse hat. Das SeedVault nur sichert, wenn der APP-Entwickler das erlaubt, ist ein weiterer Murks – warum? Mit ordentlicher Verschlüsselung ist angeblich alles sicher … aber ein Backup nicht? Es sollte endlich aufgehört werden, den User zu gängeln. Wie sonst auch, muss (und sollte) jeder frei entscheiden können … und root wäre nicht notwendig, wenn es die erwähnten Funktionen, vollständig implementiert gäbe. Sollte es eine Lösung geben, die ich bislang nicht kenne, dann gerne, ansonsten … genug davon.
Man könnte auch einfach nur Apps verwenden, die nicht ungefragt Daten übertragen. Dann braucht es keine Firewall. Firewall ist Symptombekämpfung und keine konsequente Lösung.
Man könnte auch mit dem Fahrrad fahren und nicht das Auto nehmen, um 1000 km zu fahren. So macht eine Diskussion keinen Sinn! Da ich kein APP-Entwickler bin, kann ich nur das verwenden, was angeboten wird und du darfst mir glauben, dass ich immer nach einer datensparsamen Lösung suche. Nur für manches gibt es keine Alternative, also muss man selbst bestimmen (können), wohin Daten fließen. Aber um den Konjunktiv auch zu verwenden, man könnte (gern per Gesetz) dafür sorgen, dass die Datensammelflut aufhört! Welcher User hat denn, auch nur im Ansatz, generell bereitwillig zugestimmt, dass alles was irgendwie über ihn in Erfahrung gebracht werden kann, auch abgezogen werden darf, vorzugsweise unter dem Deckmantel der Zustimmung zu den Nutzungsbedingungen.
Na ja, eine Lösung hat hier auch keiner … und deshalb wird root benötigt – Selbstbestimmung ist ein wertvolles Gut! Braucht aber anscheinend nicht jeder ….