Vielen Dank an Mike für die ausgezeichnete Serie zu den Custom ROMs. Diese Analysen hatte ich schon lange vermisst. Zufällig habe ich mit Erscheinen der Serie selbst ein Pixel 6a eingerichtet und darauf Graphene-, Calyx- und Iodé-OS getestet. Ich wollte den Analysen von Mike daher meine Erfahrungen aus Anwendersicht hinzufügen.
-
Installation
Die Webinstallation von Graphene ist unübertroffen einfach, die von Calyx reibungslos für alle, die noch einfache Kommandos auf der Befehlszeile tippen können. Die Installationsanleitung für Iodé auf deren Webseite war für mich nicht brauchbar, da zu kurz. Die Installation läuft jedoch identisch wie bei LineageOS und mit der Anleitung für LineageOS konnte ich schließlich auch Iodé problemlos installieren. Übrigens können beim Pixel 6a Custom ROMs auf Custom ROMs installiert werden. Es ist nicht notwendig dazwischen zum Stock ROM zurückzugehen. Meine Sequenz war Stock-Android → Graphene → Calyx → Iodé → Calyx.
Als ich die Installationen Anfang Dez. '23 durchführte, aktualisierten sich Graphene- und Calyx-OS auf Android 14, Iodé lief noch mit Android 13. Die Sicherheitspatches waren alle vom Nov. -
Arbeits- und Nutzerprofile
Ich benutze ein Arbeitsprofil, aktiviert über die App Shelter aus F-Droid zur Isolierung übergriffiger Apps inkl. evtl. installierter Google-Dienste. Bei allen 3 ROMs funktioniert das problemlos. Graphene erlaubt insgesamt 32 Nutzerprofile, Iodé 30, CalyxOS 16. Das sollte genügen.
Ein generelles Manko von Android ist aus meiner Sicht, das jede App sehen kann, welche anderen Apps im jeweiligen Nutzerprofil installiert sind. Über WhatsApp könnte Meta z.B. herausfinden, welche anderen Messenger, sozialen Netzwerke Ihr benutzt oder ob Apps vorhanden sind, die auf politische, sexuelle oder religiöse Präferenzen schließen lassen. Keines der drei ROMs löst dieses Problem im Grundsatz. Bei allen bleibt nur, kritische Apps in unterschiedliche Nutzerprofile aufzuteilen. Im Arbeitsprofil lassen sich Apps zudem „einfrieren“. Damit sind sie für andere Apps nicht mehr sichtbar, aber auch nicht mehr aktiv. -
Firewall, Trackerblocker, VPN
Weiterhin benutze ich Filter-, Firewall-Apps um Tracker von übergriffigen Apps zu blockieren. Früher war das Blokada, inzwischen bin ich zu RethinkDNS gewechselt. Diese Apps benötigen den VPN-Dienst des OS. Eine Sonderstellung nimmt die vorinstallierte Iodé-Filterapp ein, die ohne VPN Verbindungen von Trackern blockiert. VPN Filterapps funktioniern bei allen drei OS, bei Iodé klinkt sich eine VPN-Filterapp hinter der Iodé-Filterapp ein und kann Verbindungen blockieren, die von der ersten App nicht gefiltert werden.
Umständlich kann es werden, wenn die Filterung über mehrere Nutzerkonten bzw. das Arbeitsprofil wirken soll. CalyxOS bietet die eleganteste Lösung, die ich bisher bei keinem anderen Android gefunden habe: Über einen Schalter in den VPN-Einstellungen lässt sich der Datenverkehr aller Nutzerkonten global über dieselbe VPN leiten. Bei Graphene und Iodé ist das VPN immer nur für ein einziges Nutzerkonto geschaltet. VPN Filterapps müssen daher seperat für jedes Nutzerkonto installiert werden und beim Kontowechsel ein- und ausgeschaltet werden, da global immer nur eine VPN erlaubt ist. Iodé schaltet seine eigene Filterapp immerhin für jedes Nutzerkonto simultan aktiv, mit Graphene konnte ich VPN und Filterung gleichzeitig immer nur für ein Nutzerkonto schalten.
Die Iodé Filterapp benutzt in der freien Version die Filterlisten von OISD und Steven Black, die auch in RethinkDNS und Blokada verfügbar sind. Diese Listen sind sehr gut, allerdings gehen weitere Konfigurationen, wie das Laden zusätzlicher Listen oder das manuelle Blockieren von Verbindungen nur in der Bezahlversion der App.
Graphene- und CalyxOS erlauben es, jeder App einzeln den Internetzugang abzuschalten, bei Iodé habe ich diese Funktion in der kostenfreien Version nicht gefunden. Mit RethinkDNS kann diese Funktion aber nachinstalliert werden.
IodéOS mit seiner vorinstallierten Filterapp ist dagegen die einzige Lösung für Nutzer, die ihr VPN nicht zur Trackerabwehr nutzen können, da z.B. die Verbindung zum Firmenserver darüber laufen muss.
Ein weiteres Manko aller drei OSs, sowie von Android generell ist aus meiner Sicht, dass alle installierten Apps ohne besondere Berechtigungen die Android-ID auslesen können. Die Android-ID ist eine langlebige ID, über die sich Nutzer tracken lassen. Ich habe bisher keinen Weg gefunden, den Zugriff darauf zu sperren. Anders als bei hardwarebasierten Ids bekommt aber jedes Nutzerkonto eine eigene Android-ID. Über das Löschen eines Nutzerkontos oder das Zurücksetzen auf Werkeinstellungen lassen sich die jeweiligen Android-IDs zurücksetzen und über diesen Weg langfristiges Tracking unterbinden. -
Vorinstallierte Apps
Die Appauswahl von GrapheneOS ist spartanisch mit Icons in dezentem Schwarz-Weiß. Damit ist sicher nichts Überflüssiges dabei. Einzige internetfähige App ist der Vanadiumbrowser. Es fehlt selbst ein App-Store. F-Droid kann über den Browser nachinstalliert werden, die Google Play Dienste mit Appstore bietet Graphene selbst zur Nachinstallation an.
CalyxOS bietet bei der OS-Installation eine wohl durchdachte Auswahl durchweg datenschutzfördernder Apps zur Installation an, wie Signal, K9 Mail, VPN-Dienste etc. Als App Stores sind F-Droid und Aurora vorhanden, sowie als Ersatz für Google optional MicroG, als Browser Chromium.
Die App-Auswahl von IodéOS ist dagegen fragwürdiger. Es wurde noch die inzwischen zurückgezogene Mailapp p=p angeboten, sowie als Navigationsapp OpenEarth, die meines Wissens nicht Open-Source ist. Der Iodé-Browser ist ein Firefox-Fork, MicroG ist auch dabei. Die Apps für Medien, Dokumente, Kontakte, etc. sind zwischen Calyx und Iodé weitgehend identisch.
Ich war zunächst skeptisch gegenüber dem Konzept von Graphene, die originalen Google-Dienste anstatt MicroG anzubieten. Tatsächlich starteten die Googledienste beim erstmaligen Start unter Graphene auch ein Feuerwerk an Verbindungen zu Google (ca. 20 Hostadressen, siehe Mikes Analysen). In der Folge wurde aber ohne Zutun des Nutzers fast nur noch der Instant Messaging Dienst „mtalk.google.com“ kontaktiert, was keinen wesentlichen Unterschied zu MicroG darstellt. Das Konzept funktioniert also, zumal die Dienste durch ihre Sandbox eingeschränkt sind.
Alle drei ROMs bieten Seedvault zur Systemsicherung, -migration. Damit könnte es möglich sein, Apps, Nutzerdaten zwischen diesen drei ROMs zu migrieren, was ich jedoch nicht getestet habe.
Wer mag, kann Apps des Google Stock-ROMs mit in die Custom ROMs nehmen. Dazu bietet sich die Google Kameraapp an oder der Soundamplifier. Beide senden keine Daten. Wer nicht über das Playstore gehen will, kann die APKs aus dem Stock-ROM extrahieren (z.B. mit dem Package Manager aus F-Droid) und diese per Sideloading im Custom-ROM wieder aufspielen. Für die Google Kamera können auch die Systemapps camera.services und cameraextensions auf diese Art mitgenommen werden, falls sie im Custom-ROM nicht bereits vorhanden und zur Installation akzeptiert werden. -
Sensoren
Ein Alleinstellungsmerkmal von GrapheneOS ist es, appfein den Sensorzugriff zu kontrollieren. Typischerweise verbaut sind z.B. Beschleunigungs-, Luftdruck-, Magnetfeldsensoren. Deren Blockierung ist sehr wünschenswert, da diese Sensoren als Mikrofone missbraucht werden können oder um die Bewegungsart zu detektieren (zu Fuss, Rad, Bahn, Auto) ohne dass der Nutzer dies erkennen kann. Neuere Versionen von CalyxOS haben in den Schnelleinstellungen immerhin von Haus aus einen Knopf um Sensoren global zu deaktivieren. Bei jedem Android ab V.10, damit auch unter Iodé sollte diese Funktion zudem unter Entwickleroptionen / Entwicklerkacheln aktivierbar sein. Für Iodé hatte ich das allerdings nicht ausprobiert.
Die globale Deaktivierung der Sensoren hat den Nachteil, dass Funktionen wie Bildschirmrotation oder Kamera evtl. auch deaktiviert werden, was bei der appfeinen Regelung von Graphene vermeidbar ist. -
Resumée
Ich habe mich schließlich für CalyxOS entschieden, da es für mich den besten Kompromiss zwischen Datenschutz, Sicherheit und Nutzerfreundlichkeit bietet. Ich schätze insbesondere die Möglichkeit, über ein globales VPN den Datenverkehr aller Nutzerprofile simultan kontrollieren zu können, sowie die angebotene Appauswahl. Die von Mike entdeckten Schwächen sind entweder behoben oder lassen sich abschalten.
GrapheneOS ist sicher die beste Option für Nutzer, die höchste Sicherheit und Privatsphäre benötigen.
IodéOS hat als Alleinstellungsmerkmal die eingebaute Trackerfilterung, die ohne VPN funktioniert und ein wie ich finde, schickes Design. Fragwürdig finde ich an Iodé die Appauswahl, sowie dass sie Dienste, die andere umsonst bereitstellen zu Geld machen wollen. Allerdings haben natürlich auch datenschutzfreundliche Entwicker das Recht auf Vergütung ihrer Arbeit. Iodé hatte bei meinem Vergleich das älteste Android.
Ich vermisse weiterhin bei ausnahmslos allen mir bekannten Android-Forks und Custom-ROMs die Möglichkeit, Apps gegenüber anderen Apps „unsichtbar“ zu machen und das Auslesen der Android-ID zu sperren. Bei allen außer GrapheneOS vermisse ich Sensoren appfein zu regeln, bei allen außer CalyxOS die Möglichkeit das VPN global für alle Nutzerkonten zu schalten. Sind Euch bereits Wege bekannt, diese Funktionen zu bekommen?
Im Vergleich zu Stock-Androids oder dem iOS finde ich alle drei ROMs ausgezeichnet und sehr empfehlenswert. Die Unterschiede liegen in Nuancen.
