nach langer Zeit steht der lang geplante Umzug zu GrapheneOS an, hierbei ergeben sich jetzt für mich noch „Anfängerfragen“ zu GrapheneOS und die Notwendigkeit von root und bestimmten Apps bzw. Alternativen.
Bitte keine Grundsatzdiskussion zu root, und ja GrapheneOS empfiehlt auch den Bootloader zu schließen, daher wäre der Verzicht auf root die beste Lösung - dies versuche ich jetzt eben abzuwägen.
Ausgangslage:
Ein altes OnePlus Gerät mit Magisk und entsprechendem Modul um das OxygenOS zu debloaten, dementsprechend wurde es gerootet.
Ziel:
Ein im ersten Schritt möglichst googlefreies und trackingfreies Gerät (Kontakt- und Kalendersync laufen schon mittels DAVx über einen eigenen Baikalserver) und am besten ohne root aufrgund der Bankingapps und dem zeitaufwändigem Katz-und Maus Spiel mit den App-Anbietern.
Das Debloaten fällt ja nun quasi mit dem Pixel 8 Pro bzw. GrapheneOS weg, nun stellt sich eben noch die Frage ob ich auf root auch verzichten kann, folgende Apps nutzen aktuell root:
Die „interne Firewall“ von GrapheneOS wird AFWall+ nicht 1:1 ersetzen können, wäre aber verschmerzbar - auch die Backupapps mit root-Zugriff wärenv erzichtbar, da ich das System von Scratch aufsetzen möchte und wenn es geht die internen Backupfunktionen der Apps nutzen werde.
Ob die App „App Manager“ ohne root noch die Tracker der Apps blockieren kann ist fraglich, vermute aber nicht - hier muss ich mir noch Input besorgen.
Die Google Play Service werde ich nutzen müssen, da ich einige Bezahlapps nutze die unverzichtbar sind, ebenso möchte ich die originale Pixelkamera und die GoogleFoto-App nutzen (natürlich ohne die Backupfunktion) - dies sollte durch entsprechende Vorbereitungen inm GrapheneOS Stand jetzt ja möglich sein oder?
Weiterhin möchte ich 2-3 Bankingapps nutzen und dies nicht in einem separaten Nutzerprofil, ich bin der einzige User und möchte nicht andauernd zwischen den Profilen switchen müssen.
Macht es dann Sinn bestimmte Apps im Arbeitsprofil oder mit Shelter zu nutzen, der Sinn/Vorteil erschließt sich mir hier noch nicht ganz…
VoLTE und WLAN-Calling sollten auch problemlos möglich sein…
Ob Tasker ohne Root-Rechte meinen Wireguard-Tunnel beim Verlassen eines sicheren WLANs aktvieren kann wäre auch zu prüfen:
Als gerade Umgezogner… verabschiede Dich vom Root Gedanken bei GrapheneOS.
Wenn Du den App Manager weiter nutzen möchtest ist das mit Wireless debugging oder ADB over TCP beschränkt Möglich. Du kannst keine Tracker blockieren, aber als Multi-.user jede App direkt für alle Profile installieren.
Backup sollte. Die ADB Berechtigung muss nach jeden Reboot wiederholt werden, sprich in den Entwickler Einstellungen Debugging aktivieren.
Afwall kannst Du nicht weiter nutzen. ein Addblocking kann man aber durch einen passenden secure DNS Dienst realisieren, Internetberechtigung kannst Du auch für jede App entziehen.
Ich weiß nicht genau wozu Du FolderSync pro nutzt aber mit der App Syncthing kann man Daten zwischen den Profilen synchronisieren über das Netzwerk ohne die Daten ins Internet zu senden und auch ohne root.
Bis jetzt funktioniert der Trick noch, wird aber von GrapheneOS auch strikt abgelehnt Daten zwischen den Profilen zu tauschen.
Keine Ahnung was Du alles mit Tasker realisierst, aber Apps mit so weitreichenden Berechtigungen sind ein rotes Tuch für die community, widerspricht halt völlig dem Sicherheitskonzept.
SD Maid das gleiche.
Die Google Service Sandbox lässt sich auch im Besitzer Profil einrichten, ich habe das getrennt.
Das wechseln der Profile ist ist echt ein Kraus, besonders weil wegen eines Bugs im google code, jedes mal beim wechseln das Passwort eingegeben werden muss, denn obwohl die die Profile schon entsperrt wurden und das jeweils andere Profil im Hintergrund läuft, ist eine einfache Entsperrung mittels Fingerabdruck nicht möglich.
Vorgesehen ist das aber so, dass das Passwort nur nach einem reboot oder nach dem Abmelden der Profil Session erneut eingegeben werden muss. Ansonsten finde ich eine strikte Trennung gut. Die soll auch bei einem einzigen Profil durch die google service Sandbox soweit funktionieren das die Verbindung pro App genehmigt werden muss.
Ansonsten ist das ein sehr stabiles System, was so gut wie keine Verbindungen aufbaut. Also kein Vergleich zu irgendeinem normalen Android Smartphone was ja quasi 24h funkt.
Bis auf die ePA App der Krankenkasse, welche ich mal testweise installiert habe, laufen sämtliche Apps einwandfrei.
Diese einzelnen Datenzugriff Ordner Freigaben oder speziellen Kontakt Freigaben sind schon was feines.
Ein weitere Hinweis, das Phone hat zwar ein verifizierten Bootvorgang aber im Playstore wird Dein Gerät nicht verifiziert, auch das manuelle hinzufügen soll nicht funktionieren , das wird sich auch nicht mehr ändern und ist auch einer der Gründe warum das bezahlen über google wallet mittels NFC nicht funktioniert.
Andere Banking Apps die eine eigene Bezahlfunktion haben zum Beispiel, können hingegen laufen.
Ein bezahlen im Playstore mit dem Google Konto ist aber möglich, nur das mit dem NFC chip geht nicht, ansonsten soll der Google account voll nutzbar. Ich bekomme Google wallet nicht zum laufen, benötige es aber auch nicht zwingend.
Also das GoogleWallet kann ich nativ nicht in GrapheneOS nutzen?
Auf AFWall+ könnte ich noch verzichten, obwohl wie erwähnt die beste App zum kontrollieren des Netzwerkverkehrs…
Tasker(zum automatischen Aktivieren/Deaktivieren meines Wireguard Tunnels zum Pi-hole) funktioniert auch ohne Root - Werbeblocker zusätzlich wird also nicht benötigt;)
Für SDMaid und FolderSync wäre kein Root notwendig - SDMaid dient ein wenig zum Aufräumen, mit FoldersyncPro sichere ich meine Ordner zum NAS, quasi mein Backup.
Der App Manager ohne Tracker blockieren wäre auch schon doof…
Einziger Vorteil ohne Root wäre halt die Barclays App würde Out of the Box gehen, denn die bekommt man mit Root nur mit LSPosed zum Laufen, und dies funktioniert nicht auf GrapheneOS…
Edit:
Ich versuche morgen mal das Google Wallet auf dem System einzurichten, wenn das ohne Root nicht klappt, ist ja die Entscheidung für Root gefallen…
Wenn du so viele Sachen brauchst, ist GrapheneOS wirklich nicht das richtige für dich. Zu viele Kompromisse müssen für das meiste an Security aufgewendet werden. Bald müssten andere Custom ROMs folgen.
Du musst für jede App die Netzwerkfreigabe geben, somit hast Du eine Firewall im system integriert. Und wie geschrieben, das system ist quasi stumm, da werden keine Daten gesendet. Content Filter muss man dann anders einrichten, zum Beispiel private DNS.
Ich denke nicht das Du mit root die wallet komplett zum laufen bekommst. Ein root für GrapheneOS heißt auch das Du keine updates automatisch einspielen kannst. Ich meine auch selbst bei root, wenn Du im /root Verzeichnis irgendetwas änderst, ist das nach einem reboot hinfällig, weil das aufgrund des zertifizierten booten immer in den original Zustand zurück gesetzt wird.
Wenn Du root unbedingt benötigst ist GraphenOS das falsche OS für Dich. Ich hadere auch noch mit mir, aber die Vorteile lassen mich noch dabei bleiben.
Ich frage mich auch, ob es letztendlich GrapheneOS, Calyx oder LineageOS sein wird. Lineage bietet halt von den 3 die meisten Möglichkeiten und problemloses ROOT. Graphene kann angeblich gerootet werden, aber das ist aufwendig und man hat bei Updates keine Signierung mehr. Wenn es LOS bereits für Pixel 7er gibt, müssten bald auch 8er folgen.
So viel ich es verstanden habe, bietet NetGuard ähnlich umfangreiche Funktionen wie AfWall+ und AppManager/Warden, aber mit dem Nachteil VPN dafür zu nutzen.
Wie ist eurer Erfahrung die Akkulaufzeit zwischen Graphene, Calyx und Lineage? Lineage hatte immer ganz gute Laufzeiten.
Also im Verzeichnis /root brauchst du nichts zu ändern, weil die Ramdisk uninteressant ist. Du brauchst Root, um v.a. auf /system zuzugreifen. Wenn du in /system etwas mithilfe von Magisk Modulen änderst, bleibt diese Veränderung bestehen. Genau dafür sind Magisk Module gedacht und sie funktionieren wunderbar.
Ich habe nun zieg Jahre gerootete Smartphones benutzt. Entweder mit CyanogenMod, LineAgeOS oder diverse andere.
Ich mochte die volle Kontrolle. Da mein geliebtes Xiami Mi 8 gestorben ist, habe ich mir ein Pixel gekauft. Anfangs war es wirklich merkwürdig kein root mehr zu haben. Aber das hat sich bei mir gelegt.
Die Firewall in GrapehenOS funktioniert sehr gut. Klar ist sie nicht so flexibel wie AFWall+, sondern es geht nur ACCEPT oder DROP. Für einige Anwendungen finde ich das prima. Für feingranularerer Rules kannst Du Netguard benutzen. Hier empfehle ich die Version von F-Droid und dann einen Lic Key kaufen. Der Dev macht gute Arbeit und ich finde, sowas sollte supported werden. Bei dem Dev von AFWall+ ging das leider nicht. Hab ihn x mal angeschrieben, dass ich gerne die Pro Version hätte.
Die Frage die Du dir stellen solltest, wenn Du google frei sein möchtest. Wie weit möchtest Du gehen, damit alles läuft. Smartwatch ohne Google Krams wird schwierig bis unmöglich. Aber auch hier kann man Google so gut es geht aussperren.
GrapehenOS ist ein Traum an OS für die Pixels. Sehr performant, tolle Community, inteligente Sicherheitsfeatures und direkte Updates. Ich bereue es nicht und möchte nichts anderes mehr haben
Ich weiss nicht, ob die Frage mehr galt, aber ich nutze keine eine Smartwatch aber ohne Googlekram…
Da jetzt hier doch einiges sehr vermischt wurde im Thema, kann ich noch kurz ein kleines Update geben:
Ich habe mich jetzt gegen ein GrapheneOS oder ein vergleichbares OS entschieden.
Ohne AFWall+ und den AppManager hätte ich noch leben können, aber der Zugewinn an Sicherheit gegen den Verlust an Komfort (kein Google Wallet mehr) ist es mir dann (aktuell) doch nicht wert
Wird jetzt das Stock ROM mit root, AFWall+ und AppManager - die Bankingapps laufen auch problemlos unter MagiskDelta und benötigen keine separaten Module außer den Universal SafetyNet Fix 2.4.0-MOD_1.3.
Du kannst auch das Stock (Pixel Experience) solange verwenden, bis Lineage offiziell draußen ist. Das geht den anderen Weg im Gegensatz zu Graphene und Calyx.
Google Kamera auf Google Fotos lassen sich auch ohne Play Services nutzen. Mache ich tagtäglich.
Bezahlte Apps (nicht In-App-Käufe) lassen sich auch über den Aurora Store beziehen. Einfach dort mit deinem Google-Konto anmelden.
Wireguard zum Pi Hole nutze ich auch. Ich habe das auch immer über Tasker ausschalten lassen(was prinzipiell auch ohne Root geht, aber Tasker war da bei mir immer unzuverlässig). Mittlerweile lass ich den Tunnel einfach immer an. Zu Hause auch, also da, wo Pi Hole nativ läuft. Geht trotzdem.
Ich hab aber auch eine Zeit lang GrapheneOS mit magisk benutzt. Dem steht ja prinzipiell nix im Wege.
Ich kann bei diesem Tipp nur zur Vorsicht raten. Wer ein rege genutztes Konto besitzt, dort vielleicht auch Transaktionen tätigt oder Abos etc. am Start hat, kann im Zweifel ganz schnell vor verschlossenen Türen stehen. Ich bin mir nämlich nicht sicher ob google sich diese Art des Zugangs zum Playstore ewig gefallen lässt.
Seit Anfang an roote ich jedes Smartphone, weil, wie ich schon mal geschrieben habe, ohne root, gehört mir das Smartphone nicht. Würdest Du ein WinPC oder LinuxPC zu Hause nutzen und dort Deine persönlichen Daten eingeben, wenn Du keine Admin Rechte hast? Ohne root gebe ich dort nur meine Daten ein, welche zum Teil völlig unkontrolliert verteilt werden.
Ok, das scheint wohl bei GOS jetzt nicht unbedingt zu zu treffen, aber die Begründung die immer genannt wird, das hier ein striktes trennen zwischen System, Nutzer und Sandbox Rechte, empfinde ich als Bevormundung, das die Nutzer nicht verantwortungsvoll genug damit umgehen können. Natürlich ist es völlig einleuchtend das eine Schadsoftware, eine viel kleinere Angriffsfläche hat, wenn man auf dem Smartphone nicht einfach eine root App angreifen kann, um sich die Rechte zu holen um das Smartphone zu kontrollieren.
Das sind aber nur theoretische Annahmen, ich empfinde, um jetzt vom GOS mal weg zu gehen, eine vorinstallierte App als system APP als eine viel realere Bedrohung. Das ist eine impliziere Sicherheits/Datenlücke, da ich keine Kontrolle über die Daten habe die solch eine App mit Systemrechten sammelt und nach belieben sendet. Ich kann system Apps keine Berechtigungen wegnehmen, das trifft aber auch auf GOS zu.
Als Beispiel, was mich hadern lässt um ein Einsatzgebiet zu nennen: Auch wenn ich mithilfe der Google Service Sandbox die Rechte, um Daten von meinen Smartphone zu sammeln schon richtig krass einschränken kann (Der Service darf bei mir nur ins Internet) und alle Apps die mit dem Playstore installiert wurden in einer weiteren Sandbox liegen um weiterhin von den anderen Apps abgeschirmt zu sein, missfällt es mir das ich die Tracker einzelner Apps nicht blockieren kann.
Das zweite Argument was immer genannt wird, das man mit geschlossen Bootloader und verifizierten Boot ein sicheres System hat. Ja dachte ich mir, dann kann ich ja jetzt die ePA App der Krankenkasse installieren, weil die ja sogar ein verstecktes root erkannt hat. Funktioniert aber nicht. GrapheneOS bekommt keine PlayStore Verifizierung auch in Zukunft nicht, der Grund warum auch kein Google Wallet funktioniert und nicht nur wie behauptet, die Verknüpfung mit dem NFC. Zumindest ist das bei mir so. Somit habe ich eine Gerät dessen Software zertifiziert echt ist und erfülle aber immer noch nicht die Voraussetzungen das mein Gerät sicher ist.
Das wäre so als ob ich mich mit meinen Perso ausweisen möchte dieser aber nicht akzeptiert wird, weil der in Bielefeld ausgestellt wurde und Bielefeld, wie wir alle wissen, überhaupt nicht existiert.
Wieder allgemein zu Thema root: Mir und ich habe auch noch nie von einem Fall gehört oder gelesen (auch noch nie danach gesucht) ist es noch nie passiert, das mein Smartphone infiltriert wurde oder das ich irgendein Schaden davon getragen habe mit einen gerootem Gerät und ich verwalte wirklich alles mit dem Smartphone, das ist mein Hosentaschen Laptop.
Die Telefonfunktion von dem Ding interessiert mich überhaupt nicht, um das mal mit den Leuten zu Vergleichen, die Handys hauptsächlich zum telefonieren benutzen und das Internet nur für ihr social media und mal eine zwei Apps am Tag öffnen.
Die Frage ist, wie viel Schaden richte ich an wenn ich mein Gerät in meinen „echten“ Besitz nehme und meine Änderungen vornehme. Wenn es nur der Verlust an Sicherheit ist der mich in den meisten Fällen nicht betrifft (ich klicke nicht jeden Link oder gebe überall meine Daten ein) und die ganzen anderen Sicherheitsfunktionen von GOS ohne weiteres funktionieren, dann roote ich das Teil vielleicht doch noch.
Du kannst GOS rooten, das ist nicht das eigentliche Problem. Sondern das Du jeden Build selber compilen musst und nicht über offizielle Quellen von GrapheneOS updaten kannst.
Die Builds erhalten Deine eigne Signierung die mit geschlossenen Bootloader verifiziert sind.
Gleichzeitig besteht die Gefahr das Du immer darauf achten musst, das in den Entwickler Einstellungen die OEM unlocking niemals deaktivierst wenn Du den Bootloader sperrst.
Denn wenn Du Dir mit root den Bootloader zerschießt, war es das, da Du weder in den recovery noch in den fastboot mode booten kannst um das Gerät zu retten. Das wäre ein Hard Brick des Pixels.
Ich meinte das root Verzeichnis „/“ worunter /system ja fällt.
als normaler Nutzer hat man ja nur die Kontrolle/Einsicht auf storage/emulated/0/
Hast Du den Bootloader geschlossen und ein verifizierten Boot, trotz der Veränderungen in /system ? Und wenn ja wie hast Du das hinbekommen?
Genau so ist, das ist was mich am meisten stört.
Warum soll ich auf meinem Smartphone nicht die gleichen Benutzerrechte besitzen, wie an jeden anderen Computer, der mir gehört.
