Android - Herr über sein eigenes Handy, ein unerfüllbarer Wunsch?

Hallo zusammen,

seit vielen Jahren nutze ich auf meinem Handy Alternativen zum Stock-ROM.
… und genauso lange nervt mich das ewige Katz- und Mausspiel zwischen dem, der root haben möchte und denen, die dies unbedingt unterbinden bzw. ausschließen wollen.
Aber nun zu meiner Frage oder genauer gesagt, meinem Wunsch.
Ich hätte gern:

  • Ein Android-OS, welches mir die Möglichkeit eines Fullbackups bietet und natürlich noch wichtiger, eine vollständige Wiederherstellung. SeedVault ist ein gut Ansatz, macht aber nur Sinn, wenn ich entscheiden kann, was gesichert wird und nicht der App-Entwickler.
    Mir sind die Punkte (zumindest teilweise) bekannt, warum das beispielsweise bei Banking-Apps nicht geht aber was spräche gegen eine Wiederherstellung, nachdem geprüft wurde, ob es sich noch immer um das gleiche Handy, die gleiche OS-Version und die korrekten Anmeldedaten, plus evtl. zusätzlich zu vergebendes Sicherungspasswort handelt.
    Jeder PC bietet einen Admin-Zugang, nur bei Handy sind die User plötzlich „zu blöd“ und müssen vor sich selbst geschützt werden, indem sie keine Hoheit mehr über ihr eigenes Gerät erhalten.
  • Eine eingebaute Firewall, wie z.B. Afwall+, um bestimmten Apps den Weg nach draußen zu reglementieren. Und ja, ich kenne die Möglichkeit, die WLAN-Nutzung für einzelne Apps zu unterbinden, wie es in LOS möglich ist. Allerdings reicht das nicht. Was, wenn bestimmte IP-Adressbereiche erlaubt sein sollen aber andere nicht?
    Mir ist auch die Verwendung von VPN-Firewalls u.ä. geläufig, die ohne root auskommen, allerdings stehe ich dann vor dem Problem, meine „richtigen“ VPN’s nicht mehr (gleichzeitig) nutzen zu können.
  • Die Entscheidung darüber, welche Apps/Prozesse mit root-Rechten laufen sollen, möchte ich treffen bzw. ändern können.

Wie gesagt, am PC sind Adminrechte nicht wegzudenken und jeder weiß wie wichtig Backups sind (und macht diese hoffentlich regelmäßig), am Handy ist das aber Teufelszeug und muss unbedingt verhindert werden, … es sei den, die Daten fließen zu Google, dann ist vieles wieder OK!
Gern dürften die oben benannten Punkte bereits im OS eingebaut sein, um das als sicher einstufen zu können.

Wie handhabt ihr die genannten Punkte? Evtl. habe ich etwas übersehen und es gibt die Lösung bereits, dann wäre ich für einen Tipp sehr dankbar.

Vielen Dank
blue1000

1 „Gefällt mir“

Dieses Vorhaben ein solches System zu finden, habe ich mittlerweile aufgegeben. Android ist einfach kein System für mich, um damit ernsthaft zu arbeiten. Zu groß sind die Einschränkungen, die mit der Nutzung einhergehen.

Trotzdem nutze ich Android Systeme für folgende Einsatzzwecke:

  • kleines Uralt 7 Zoll Tablet ohne Internetzugriff als Navi
  • Burner Phone für sehr spezielle Anwendungen, z.B. um eine physische eSIM Karte zu bestücken
  • Pixel mit CalyxOS zum Empfang von System SMS, ein bisschen Telefonie, manchmal ein weitwinkliges Foto, und mehr nicht (wird nach Update Ende mit einem Future Phone ersetzt)

Das ist alles, zum Couchsurfen und Social Dingen nutze ich ein MicrosoftSurface 1 mit Manjaro und Plasma KDE der Rest am PC.

Zum Wandern ein Garmin, Fotos mit einer Spiegelreflex …

Ein Leben ohne Android ist möglich. :wink:

1 „Gefällt mir“

Muss es unbedingt ein „echtes“ physisches Android-Gerät sein?

Weil wenn es nur um Android geht (EXKLUSIVE der Möglichkeit mit SIM-Karte(n) Anrufe zu tätigen), würde ich persönlich zu einem Emulator und/oder dem modifizierten Projekt des Windows-Subsystem für Android raten.

Siehe hier: https://github.com/MustardChef/WSABuilds

EDIT: Emulatoren haben auch die Möglichkeit mit einem Klick das virtuelle Gerät zu rooten.

Sollte schon zur mobilen Verwendung geeignet sein und die Größe eines Handys nicht übersteigen.

Windows / Linux-Distro Mini-PC oder Laptop kommt nicht in Frage (mit Emulator und/ oder Windows-Subsystem für Android)?

Ich habe ähnliche Einsatzzwecke. Navi, Terminplanung, etwas Email, zur Not male ein Foto (meist aber per „richtigem“ Fotoapparat), als GPS für den Fotoapparat, SMS, Nextcloud-Client, VPN … und ab und an ein Telefonat.

Toll fände ich, wenn ein OS soweit angepasst würde, da die Entmündigungen aufhören. Kann (und will) mir einfach nicht vorstellen, dass der Bedarf nicht da ist.

Mini-PC und Laptop sind zu groß für die Hosentasche.

Vielleicht wäre ein anderes mobiles linuxbasiertes System etwas für dich: Dort gibt es mit dem PinePhone eine gute Plattform für verschiedene mobile Linux Systeme. Da gibt man natürlich einiges an Komfort auf und die meisten Apps werden sich auch in Android Emulatoren schwer tun (so z.B. meine Erfahrung vor ein paar Jahren mit SailfishOS). Aber Herr über sein eigenes Handy ist man wahrscheinlich am ehesten mit so einem Setup

Darüber hatte ich auch schon nachgedacht aber ein paar Apps möchte ich schon gern verwenden und wenn diese dann nicht mehr funktionieren, ist der Einschnitt leider zu groß.

Sonst kann man nur /e/OS probieren:

https://www.kuketz-forum.de/t/nicht-unterstuetze-smartphones-entgoogeln-unmoeglich/7119/2

Ich weiß nicht …

Quelle: https://www.kuketz-forum.de/t/custom-roms-grapheneos-calyxos-iodeos-vergleich-aus-anwendersicht/7508/18

/e/OS hat ganz andere Probleme und man kann nur von der Nutzung abraten:

… was mir noch zum Thema „Full Backup“ bei Android einfällt:
Damals habe ich das auf gerooteten Geräten immer mit „NANDroid Backup“ als Option vom TWRP Recovery gemacht.

Leider funktionieren die Sicherung im TWRP anscheinend nicht immer zuverlässig, NANDroid Backup, hatte ich auch genutzt, ebenfalls Titanium Backup (inzwischen nicht mehr aktuell), nun bin ich bei Neo Backup, was nur mit root funktioniert.

Ich werd mich vermutlich für LOS 21 + magisk + AFWall + Neobackup entscheiden, evtl. noch mit MicroG (was nur WLAN-Zugriff erhält, wenn nötig) und was nicht will, fliegt runter.
Aber alles kein System, was verlässlich Stabilität verspricht - frustrierend …

Eigentlich scheint doch hier das eigene Anforderungsprofil nicht klar zu sein.

Ich sehe da keine Anwendung, die ein „full backup“ nötig machen würde. Oder - abgesehen von den Notfall-Fotos - überhaupt irgendein Backup. Auch wo bei solchen grundlegenden Anforderungen eine Firewall notwendig wird, die nach IP-Ranges filtern kann, wird m.E. nicht deutlich.

Vielmehr wohl ein diffuses Gefühl, von der eigenen Hardware durch ein Sicherheitskonzept „entmündigt“ zu werden. Also soll „aus Prinzip“ (keine Ahnung welches) ohne tatsächlichen Anwendungsfall das Sicherheitskonzept durchlöchert werden.

Wie ich darauf komme? Weil ich selbst lang so gedacht habe. Bei mir war es ein Fehlschluss bedingt durch Nicht-Verständnis grundlegender IT-Sicherheit und jugendliches Trotzverhalten.

Das ist ein Bug, kein Feature …

Wie oft hast du schon von Verschlüsselungstrojanern auf Android / iPhones gehört?

2 „Gefällt mir“

Was soll nicht klar sein. Das sind (nicht abschließend) die Dinge, welche ich nutze.
Und ich hatte keine Lust, jeden noch so nebensächlichen Umstand einzeln aufzuführen und zu erklären. Aber gut, z. B. wäre da die App vom Fotoapparat, die für den Datentransfer vom Fotoapparat zum Handy WLAN putzt … und bei der Gelegenheit, säckeweise Daten an den Hersteller schickt. Alle Zweifler können gern die AGBs der App lesen, dann ist noch nicht mal ein Datenmittschnitt notwendig. Das ist für mich ein Anwendungsfall, einer fein einstellbaren Firewall.
Auch möchte man nicht unbedingt, dass ungefragt die Server von Facebook und Co. kontaktiert werden. Erst recht nicht, wenn man nicht Mitglied in diesem Club ist.
Hier im Forum gibt es dazu Beispiele, wie und warum was eingestellt werden kann/sollte.

Wenn das „Sicherheitskonzept“ verbietet, dass ich die Daten vollständig und lokal ablegen kann, sondern irgendwo auf fremden Server, ist das in meinen Augen sehr diffus. Inzwischen dürfte die Zahl derer, die bislang kein Problem damit hatten, dass Kundendaten ungewollt abgeflossen sind, rapide gesunken sein und weiter sinken. Kannst ja mal einen Blick hierauf werfen: „cyberangriff-auf-e-signaturdienst-dropbox-bestaetigt-abfluss-von-kundendaten“. Wenn jeder lokal sichert, erwischt es ihn vielleicht trotzdem … aber nicht zigtausende andere gleich mit. Vielleicht auch eine Überlegung wert. Der Einzelne ist meist ein wenig lukratives Ziel.

Interessante Ansicht. Aber dank Google und Co. geht es ja in die von dir gewünschte Richtung. Big Brother kümmert sich um deine Technik, dann wird alles gut.

Wie oft hast du schon Handys gesehen, die eine Uralt-Androidversion haben, seit Jahren keine Updates mehr erhalten … und trotzdem fleißig Banking-Apps, Bezahlfunktionen und Co. nutzen? In der Annahme, dass die Sicherheitslücken, die durch Updates geschlossen werden, als kritisch einzustufen sind (sonst bräuchte man das Update ja nicht), würde ich das als außerst bedenklich einstufen.
Und dann ist da noch die Frage, wie du von jemanden erfährst, dass sein Handy übernommen/missbraucht wurde?

Aber genug davon, in dieser Form komme ich (für mich) zu keiner Lösung und werde auch nicht weiter argumentieren, weder dafür, noch dagegen. Verbraucht zu viel Zeit.
Es war ein Versuch bzw. die Hoffnung, dass jemand eine gute Lösung hat, mehr nicht.

1 „Gefällt mir“

Ich meinte nichts von meinem Gesagten „böse“ oder abfällig, bitte um Entschuldigung falls es so rüberkommt - Kommunikation ist nicht meine Stärke.

Sämtliche deiner Bedenken lassen sich m.E. mit diversen aktuellen Custom ROMs, wie sie in der Kuketz-Artikelserie beschrieben wurden, lösen. Und zwar ohne root.

Ja, ich bin privilegiert genug, ein Pixel 8 mit Graphene OS nutzen zu können. Bei mir funkt keine Kamera-App, da sie keine Netzwerkberechtigung hat. Es würde mich überraschen, wenn eine meiner netzwerkfähigen Apps mit Facebook kommuniziert.

Ich kann Daten nicht „vollständig“ sichern, das stimmt. Ich habe außer Bildern/Videos und wenigen ausgewählten Apps, die in der Lage sind, ein regelmäßiges automatisches Backup ins Filesystem zu legen (z.B. verschlüsseltes Backup von Aegis), aber auch nichts auf meinem Handy, was gesichert werden müsste. Diese Aufgaben lassen sich mit Leichtigkeit mit Apps wie FolderSync, Syncthing vollständig lokal lösen.

Meine Kontakte, Kalender usw. laufen über meine private Nextcloud. Kein Problem mit z.B. DAVx⁵. Mein Gerät ist komplett Google-frei.

Das alles geht ohne root, und das ist gut so und sollte auch so sein. Edit ergänzend: Du solltest dich m.E. von dem Gedanken lösen, dass (nur) root Kontrolle über das Gerät bedeutet. Du hast das Gerät in der Hand und kannst jederzeit das komplette Betriebssystem ersetzen, wenn dir danach ist. Du hast in jeder Situation, die über die ganz alltägliche Nutzung hinaus geht, eigentlich noch viel mehr Macht über das Gerät, als dir ein root-Zugang im Betriebssystem ermöglichen kann. Meine Meinung: Wähle das Gerät und Betriebssystem mit Bedacht, und root ist nicht mehr als eine Sicherheitslücke (von enormen edge-cases vielleicht abgesehen).

Ich meine, die Lösungen sind vielleicht näher und einfacher als du denkst!

Hierzu im Speziellen - das ist selbstverständlich bedenklich, ich weiß aber nicht, wie rooten da Abhilfe schaffen soll… das reißt doch nur noch ein weiteres Loch.

2 „Gefällt mir“

Nun ja, da kämmst du ja dann mit einem Graphen,Divest oder CalxyOS doch eigentlich ganz gut hin, meiner Meinung nach.

Mit Profilen, Adblockern (ala AdAway und Co), mit gut gepflegten Listen, gut gepflegten Open Source Apps (bitte gelegentliches Spenden für die Entwickler gelegentlich nicht vergessen) Arbeitsprofil mit Shelter, wo Apps die Tracken Schlafen gelegt werden können usw.
Zu Hause das W-LAN mit einem Pi hole und so abgesichert und dann ist man doch meiner Meinung schon mal gut aufgestellt. Datensicherung geht ja mit SeedVault ziemlich gut auch auf einem (!) USB-Stick. Private Daten sollten sowieso noch separat gespeichert werden. Wichtig ist eben auch nicht nur das Gerät, sondern auch des Perimeters, wo man sich bewegt. Sprich Zuhause im eigenen Netzwerk und im Mobilfunk. Mit einer durchdachten Strategie kann man da doch viel Reißen, meiner Meinung nach.

1 „Gefällt mir“

Ich bin mir nicht sicher, ob diese Zeilen mir galten, deshalb nur kurz:
Graphene, Divest und CalxyOS sind nur für recht wenige Handys verfügbar. Meins ist nicht dabei, deshalb keine Option.
Shelter hatte ich mal in Verwendung, es dann wieder abgeschafft. Weiß aber den Grund nicht mehr.
Habe mich dann für Warden entschieden, um den Trackern Einhalt zu gebieten - geht aber nur mit root. :wink:
AdAway ist auch vorhanden, geht aber nur, wenn kein anderes VPN benötigt wird.
Im heimischen Netzwerk lief jahrelang ein Pi-Hole, inzwischen kümmert sich Adguard Home um dessen Aufgabe. SeedVault sichert leider nur das, was es sichern darf und das kann der App-Entwickler jederzeit entscheiden. In die eigene Nextcloud fließen wichtige Daten bei mir natürlich auch - automatisch, usw. …

Aber all diese Themen waren nicht der Grund meiner Frage.
Mir geht es um Selbstbestimmung. ICH möchte entscheiden, ob ich mit root-Rechten auf dem Handy hantiere (oder nicht), es ist schließlich meins. Genauso möchte auch nur ICH entscheiden, wohin Daten gesendet werden und im Idealfall auch, um welche es sich handelt und dafür möchte ich mein Handy so konfigurieren, wie ich es mir vorstelle. Und wenn das letztlich schlechter ist, als eine „vorgegebene“ Lösung, muss ich damit leben (und werde vermutlich zukünftig die bessere verwenden) … aber es soll meine Entscheidung sein!

Ich werde vorerst bei meiner Lösung bleiben (müssen), trotzdem danke für die Antworten und Anregungen.

2 „Gefällt mir“

Hi,
was für ein Gerät nutzt Du eigentlich?
Vg

2x BQ Aquaris X Pro

Nach langjähriger Erfahrung kann ich nur iodé empfehlen. Das hat unter demselben Namen (iodé) einen Adblocker und Firewall eingebaut, die kein root braucht und nicht das VPN blockiert. Du kannst sogar Geräte fertig mit iodé kaufen.

1 „Gefällt mir“