Android 15: Vertrauliches Profil unter GrapheneOS optimal nutzen

Ich habe nun durch das Letzte update Android 15 erhalten und somit diese vertrauliches „Profil“ kennengelernt.
Schon es als Profil zu bezeichnen ist falsch. Nennt es Geheimfach oder Container, mehr ist es leider nicht, keine eigene Netzwerkverbindung vorhanden.
Kein Vergleich zu der Funktionalität eines Work Profils mit der App shelter. Wenn das durch GrapheneOS umgestzt werden würde, hätte es auch den Namen „Profil“ verdient.
Aktuell habe ich da nicht mal eine Verwendung für und ein weiteres Google Konto anlegen ist eher auch Kontraproduktiv.

Ich glaube du hast Profile unter Android nicht verstanden, wenn du denkst, dass ein Work Profile mit einer spezifischen App wie Shelter die Referenz ist für ein Profil ist. Warum sollten andere es deshalb nicht so nennen wie der offizielle Begriff ist?

Wenn sich „normale“ weitere Profile so verhalten würden wie ein „Arbeitsprofil“ dann würde ich sie gern benutzen. So setze ich lieber auf ein „verwaltetes“ Gerät und verzichte seit Android 11 auf weitere Profile jeglicher Art, auch wenn die „Verwaltung“ „normaler“ weiterer Profile auch greift. Aber die Speicherverwaltung funkt mir da zu oft dazwischen und beendet Apps, die laufen sollen, Benachrichtigungen fehlen hingegen.

Dann schon eher eine der „Virtualisierungen“ wie „Virtual Android“ bzw. „Virtual Master“ oder „Pseudo“-Virtualisierungen wie „Parallel Space“, solange ich denen nicht extra Verbindungen oder gar Werbung freigeben muß, für nur eine App. Auch schon getan, weil eine App sich am „verwalteten“ Gerät störte, obwohl ungerootet.

Doch? Es belegt z.B. einen separaten VPN-Slot. Oder meinst du sowas wie dass das Hauptprofil mit dem WLAN verbunden sein soll und das Vertrauliche Profil nicht?

Ok, dann hätte ich wohl vorher das Workprofil löschen müssen um das zu erkennen.

Ich habe mich dazu entschlossen, dass ich in meinem normalen Profil kein RethinkDNS mehr benutzen werde. Grund: Ich habe da jetzt eh nur Apps drin, denen ich alles erlaube. Stattdessen nutze ich dort einen privaten DNS, nämlich hard.dnsforge.de. Eigentlich nur fürs Browsen im Web mit Vanadium, aber auch so als zusätzlichen Schutz.

Im vertraulichen Profil sind aber die Schurken-Apps, allem voran die von meiner Bank, welche richtig eklig viele Verbindungen aufbaut zu völlig unnötigem Zeug (eine einzige reicht letztlich für die Nutzung), u.a. auch zu Google, welche allerdings von hard.dnsforge.de nicht blockiert wird, weil manche Apps bzw. Nutzungsarten das voraussetzen und eine Blockierung nicht für die Allgemeinheit Sinn macht. Daher lasse ich in dem Profil RethinkDNS doch noch laufen, um das zu unterbinden. Das funktioniert sogar, also ein VPN nur im vertraulichen Profil! Allerdings muss ich, damit RethinkDNS funktioniert, meinen privaten DNS immer abschalten. Das nervt ein wenig.

Das zunächst mal passend zum Thread. Für mich ist das eine runde Sache, eben bis auf dieses DNS-Problem. Irgendwie empfinde ich es als Bug, dass die Einstellung des privaten DNS nicht auch unabhängig zwischen normalem und vertraulichem Profil konfiguriert werden kann. Oder geht das womöglich technisch nicht?

Wie denkt ihr darüber?

Wo braucht das Work-Profile eine Anmeldung? Der Vorteil ist sogar das die Apps direkt auf den Homescreen gezogen werden können und man nicht umständlich in den Ordner des Privaten Spaces muss

1 „Gefällt mir“

Ginge das denn mit einem separaten Userprofil? Habe ich nämlich nicht geschafft. :confused:

Nein, geht nicht

Sollte mit dem neuen Grapheneos Update behoben sein.

  • Private Space: put data at rest immediately after stopping the profile to match user profile behavior instead of only on reboot

Update: Anscheinend wurde das mit einem neueren Update wieder rückgängig gemacht, da so die Entsperrung per Fingerabdruck nicht funktioniert. Man will in Zukunft eine Wahlmöglichkeit anbieten.

Hast Du das Problem mit dem DNS schon lösen können? Oder hast mal im GOS Forum gefragt?

Aktuell habe ich nochmal RethinkDNS im normalen Profil laufen, weil ich nochmal alle meine Apps genau prüfen möchte. Bis jetzt schaut es gut aus, ich kann wirklich alles erlauben und daher eigentlich auf RethinkDNS verzichten.

Nein, ich habe diesbezüglich noch nirgendwo gefragt außer hier. Im GOS-Forum mal einen Account zu machen, scheint ja jetzt nicht allzu verkehrt zu sein. Wahrscheinlich mache ich das mal.

Lösen lässt sich das Problem nur, indem ich beim Besuch des vertraulichen Profils Private DNS temporär abschalte. Das ist nervig, aber eigentlich ok, weil ich das vertrauliche Profil echt nicht oft verwende. Muss nicht ständig auf die darin installierten Apps zugreifen.

Androids Private DNS-Einstellung wirkt systemweit, nicht nur im Profil und verwendet DoT. RethinkDNS fungiert als VPN (per Profil) und kann innerhalb dessen Verbindungen blockieren, so z.B. alle DoT-Verbindungen abseits des in RethinkDNS gewählten Resolvers. So kann RethinkDNS DNS-Leaks verhindern, aber Android kann dann für das Profil keine Namensauflösung mehr betreiben, weshalb sich beides ausschließt. Vielleicht kann man das in den RethinkDNS-Einstellungen auch ändern.

Edit: gerade getestet: Man kann Privates DNS mit eigenem DNS und die RethinkDNS-App gleichzeitig verwenden, z.B. wenn man hauptsächlich Proxy und Firewall benutzen will, wenn man „block connection without VPN“ in den Android-Einstellungen deaktiviert. Die DNS-Anfragen scheinen trotzdem durch den VPN-Tunnel zu gehen. Ob das für einen Sinn macht, wegen Risiko von Leaks außerhalb des VPNs muss jeder selbst entscheiden. Privates DNS auf „automatic“ hat generell keine Probleme gemacht. Der Hauptvorteil bei RethinkDNS ist ja die Kombination aus DNS+Proxy+FIrewall. Wer es nur für DNS verwendet, kann auch einfach Privates DNS mit einem Resolver seiner Wahl betreiben.

Seit wann lässt sich denn privates DNS (android) gleichzeitig mit RethinkDNS verwenden?
RethinkDNS sollte mit „block connection without VPN“ betrieben werden, um voll Kontrolle zu bekommen über alle DNS querys und privates DNS aus.
Die DNS Filter funktionieren doch wunderbar.
Verschlüsselte Übertragung? Bietet RethinkDNS ebenso. DoT, DoH, DNSCrypt und selbst Tor (mit Orbot) geht.

Hab jetzt auch schon öfters mit dem gedanken des Vertraulichen Profils oder vorher Arbeitsprofil gespielt, ich hab aber 3 Apps die es nur im Playstore gibt und dann wird das mit x stores schon echt unübersichtlich das alles up to date zu halten.

Wie geht ihr damit um?

Funktioniert im Private Space inzwischen die NFC? Speziell Bezahlapps von Banken interessieren mich. Einige hatten berichtet, dass diese Apps im Private Space nicht richtig funktionieren. Geht das inzwischen?