GrapheneOS: Aurora Store vs. Play Store (mit Burner-Account?)

Hallo zusammen

ich nutze aktuell GrapheneOS so, dass ich im Hauptprofil alle Apps über Obtainium installiere und vollständig auf Google-Dienste verzichte. Im Private Space habe ich unter anderem meine Banking-Apps eingerichtet.

Bisher habe ich diese über den Aurora Store installiert. Kürzlich habe ich jedoch gelesen, dass GrapheneOS empfiehlt, sicherheitskritische Apps (wie Banking-Apps) möglichst über den Play Store zu beziehen. Soweit ich mich erinnere, ging es dabei um zusätzliche Sicherheitsprüfungen im Play Store, die beim Aurora Store fehlen (leider finde ich die Quelle gerade nicht mehr).

Daraufhin habe ich einen Google-”Burner”-Account erstellt und die Banking-Apps im Private Space neu über den Play Store installiert. Im Nachhinein bin ich mir aber unsicher, ob das wirklich die beste Entscheidung war.

Meine Fragen dazu:

Ist der Play Store für solche Apps tatsächlich deutlich sicherer als der Aurora Store? Macht es Sinn, dafür einen Burner-Account zu verwenden, oder wäre ein “richtiger” Google-Account (inkl. Telefonnummer etc.) sinnvoller? Wenn man den Account ohnehin nur für den Play Store nutzt - spielt es aus Privacy-Sicht überhaupt eine große Rolle?

Mich würde interessieren, wie ihr das handhabt. Verwendet ihr einen echten Google-Account oder ebenfalls einen Burner-Account? Und was haltet ihr insgesamt für die sinnvollste Lösung?

Noch eine Zusatzfrage zu den Berechtigungen/Einstellungen Play Store und Play Services:

Play Store
Berechtigungen: Network, Notifications
App battery usage Optimised
Exploit protection compatibility mode aus
Hardened Memory allocator Default (Enabled)
Memory Tagging Default (Enabled)
Native code Debugging Default (Blocked)
WebView JIT Default (Disabled)
Dynamic code loading via Memory Default (Allowed)
Dynamic code loading via storage Default (Allowed)

Play Services
Berechtigungen: Network
App battery usage Optimised
Exploit protection compatibility mode aus
Hardened Memory allocator Default (Enabled)
Memory Tagging Default (Enabled)
Native code Debugging Default (Blocked)
WebView JIT Default (Disabled)
Dynamic code loading via Memory Default (Allowed)
Dynamic code loading via storage Default (Allowed)

Sind diese Einstellungen korrekt ober müsste etwas geändert werden? Habt ihr spezielle Empfehlungen zu weiteren Einstellungen?

Vielen Dank!

Hast Du schon die Forumssuche auprobiert?
https://www.kuketz-forum.de/search?expanded=true&q=aurora%20play%20store

Speziell bei den folgenden drei Themen könntest Du vielleicht Antworten finden:

GrapheneOS: Aurora-Store oder Sandbox-Variante bei Apps aus dem Google-Play-Store?

Apps: PlayStore vs Aurora Store

GrapheneOS: Aurora vs. Playstore

Danke für die Links @Musti. Die Themen wurden mir beim Erstellen des Threads ebenfalls angezeigt und ich habe sie gelesen. Da einige Beiträge schon etwas älter sind, war ich mir aber nicht sicher, ob sich der aktuelle Stand inzwischen verändert hat.

In folgendem Thread habe ich z. B. diese empfohlene Reihenfolge gefunden:

https://www.kuketz-forum.de/t/appstores-und-grapheneos-f-droid-sandboxed-play-store-aurora-oder-privacy-vs-securitiy/917/14

1. F-Droid Repository
2. Anbieterspezifisches Repository (z.B. Tor Browser)
3. Izzys Repository (APK-Quellen wie GitHub)
4. Play Store via Aurora Store

Mich würde in dem Zusammenhang speziell interessieren, ob diese Empfehlung auch für sicherheitskritische Apps wie Banking-Apps gilt - insbesondere, wenn diese (wie bei mir) ausschliesslich im Private Space genutzt werden. Also Aurora Store vor Play Store.

Was ich in den verlinkten Threads ebenfalls nicht wirklich gefunden habe, ist eine Einschätzung zum Thema Burner-Account vs. “echter” Google-Account für den Play Store.

Nach meinem aktuellen Stand gehe ich davon aus, dass die Einstellungen für Play Store und Play Services weitgehend in Ordnung sind, da sie grösstenteils den Defaults entsprechen. Die Benachrichtigungsberechtigung für den Play Store könnte man vermutlich noch entziehen, da Updates ohnehin meist manuell angestossen werden.

Wahrscheinlich meinst du diese hier
https://discuss.privacyguides.net/t/aurora-store-not-secure/19692
https://discuss.grapheneos.org/d/23016-controversy-around-usage-of-aurora-store/17

Was unterscheidet für dich ein echter GoogleAccount von einem Burner Account? Man braucht für einen Account nicht den echten Namen, Geburtsdatum und Adresse. Einzig die Telefonnummer, ohne die es schwer sein kann, einen Googleaccount anzulegen oder dauerhaft zu erhalten, wäre eventuell nachvollziehbar.
Ohne es genau zu wissen, würde ich aber stark bezweifeln, dass Google versuchen würde, die Identität, also deinen wahren Namen und Adresse, hinter der Nummer herausfinden zu wollen, geht es dabei in erster Linie darum, dir einen SMS Code schicken zu können. So kann es auch eine Telefonnummer sein, die du auf deinem Smartphone gar nicht verwendest. Solange du den Sandboxed Playservices und dem Playstore keine Telefonberechtigung gibst, können sie auch die Nummer auf deinem Phone nicht auslesen. Etwas anders sähe es bei Verwendung einer E-SIM aus, da dafür eine privilegierte Googlekomponente auf GrapheneOS nötig ist (Stand 2023 aus folgendem Link, falls sich daran bis heute nichts geändert hat) und zumindest Zugriff auf deine IMEI hätte:
https://discuss.grapheneos.org/d/7048-can-and-will-sandboxed-google-play-services-access-hardware-identifiers

Vielleicht hilft dir auch die hier schon stattgefunden Diskussion weiter:
https://www.kuketz-forum.de/t/frage-zur-nicht-nutzung-der-sandboxed-play-dienste-bei-grapheneos/10081

Ich selber nutze den Sandboxed Playstore nur im vertraulichem Profil, das die Bankingapps enthält. Im Hauptprofil und im geschäftlichem Profil (mit Shelter) Aurorastore. Das Profil ist nur an, wenn ich die Apps brauche. Der Googleaccount für den Playstore (mit entsprechenden Einstellungen, die der Googledatenschutz hergibt) enthält keine echten Namen und Adressdaten, Telefonnummer und Mailadresse werden nur dafür benutzt. Die Prepaid SIM mit dieser Telefonnummer ist in einem Zweitgerät, dass nur für den Empfang von Authentifizierung SMS benutzt wird. Da ich diese Nummer auch für andere Dienste nutze, bei der eine Telefonnummer nötig ist, könnte Google (und andere Datenhändler) hier eventuell mit Hilfe von BigData noch ihre Rückschlüsse ziehen.

Falls das so war, hat sich das anscheinend inzwischen geändert. In GOS gibt es den „eSIM Support“, der eingeschaltet werden muss, um eine eSIM zu installieren, zu de-/aktivieren oder zu löschen. Ansonsten kann der ausgeschaltet bleiben bei der generellen Nutzung einer eSIM.

Dieser eSIM-Support ist in der Tat eine proprietäre Google-Komponente, aber selbst wenn er aktiviert ist (was wie erwähnt nur zur eSIM-Installation, nicht zur eSIM-Nutzung notwendig ist) verhindert GOS den Zugriff von Google Play darauf:
https://grapheneos.org/usage#esim-support
Die entsprechenden Updates kamen anscheinend nach dem verlinkten Forumsthread heraus:
https://grapheneos.org/releases#2023090200
und vor allem:
https://grapheneos.org/releases#2024012600

Beim Burner-Account gebe ich willkürliche Daten an inkl. Telefonnummer etc. Ich musste beim Erstellen des Accounts einen Nummer angeben, die einen Verifizierungscode erhält. Dabei habe ich einen Anbieter aus dem Internet verwendet, der eine Telefonnummer für solche Fälle (Registrierung von Accounts etc.) zur Verfügung stellt. Im Nachhinein war ich mir aber unsicher, ob das überhaupt Sinn macht/nötig war. Ich benutze den Account auch lediglich für den Play Store und empfange keine E-Mails o. ä. Hätte ich nun einen Account erstellt mit meinen korrekten Angaben (Name, Telefonnummer etc.) hätte ich ja auch keine weiteren “Datenspuren” hinterlassen, da ich den Account sonst nicht verwende.

Danke, das bestätigt mir mein Setup. Im vertraulichen Profil die Banking-Apps mit Play Store/Play Services und im Hauptprofil Obtainium. Das vertrauliche Profil wird bei mir ebenfalls nur geöffnet, wenn Apps daraus benötigt werden. Beim Sperren des Phones wird auch das vertrauliche Profil beendet.

Danke für die ausführliche Antwort und die Links!

Das wäre nur dann richtig, wenn Google nicht noch Daten aus anderen Quellen bekäme. Aber die Spuren, die du im Netz hinterlässt (IP-Adressen, besuchte Webseiten mit Tracking-Cookies etc) kann Google deinem Account zuordnen, da viele Webseiten Componenten nutzen, die solche Daten zur Identifizierung abgreifen (für personalisierte Werbung, zur gezielten Ansprache etc) und die dann direkt oder indirekt auch an Google gehen.

Denkst du, das wäre auch der Fall, wenn ich den Account nur für den Play Store verwende? Wie kann Google diese Rückschlüsse ziehen? Im Browser bin ich beim Surfen bspw. nicht angemeldet. Oder meinst du, dass wenn ich bspw. eine Pizza bestelle und meine Nummer angebe, Google das meinem Account zuordnen kann?

Wenn du dir mal die Cookiebanner und Ähnliches auf Webseiten anschaust und dir dazu die Nutzungsbedinungen durchliest, wirdt du feststellen, dass im Prinzip alle deine Daten, die du eingibst (Name, Adresse, Telefonnummer, E-Mail…) und alle Daten die dein Gerät preisgibt (IP-Adresse, „Fingerabdruck“ der Browsers, gespeicherte Cookies etc) weitergegeben werden können, wenn du nicht explizit widersprichst (und nicht vergisst, auch alle 250+ „Partner“ im Banner ab zu wählen, sofern du überhaupt die Gelegenheit dazu erhältst). Und selbst dann werden sicher noch einige Daten abfließen.

Deine IP-Adresse oder die Browserdaten reichen, um dich webseitenübergreifend tracken zu können. Spätestens wenn deine Adresse, Name oder E-Mail-Adresse dazu kommen, kann Google das zusammen bringen und dir zuordnen. Dazu musst dich nicht mit deinem Google Account irgendwo anmelden, die Daten, die dein Gerät von sich gibt, reichen da schon.

Deshalb treiben wir hier ja so einen Aufwand, um möglichst alle Spuren zu vermeiden. Ich z.B. habe gar keinen Google Account, nutze für Apps aus dem Play Store nur Aurora, nutze Adblocker, RethinkDNS und Ähnliches, um Tracker auszufiltern, und lasse den Datenverkehr über VPN mit Ausgangsknoten laufen, die auch von Anderen genutzt werden, um die Herkunft von Anfragen bei Diensten im Web zu verschleiern. Einige treiben hier noch mehr Aufwand (private Profile, keine Google Play Services, keine Push-Notifications usw).

Welchen Aufwand und wieviel Zeit du investieren willst, und welche Einschränkungen du in Kauf nimmst, musst du entscheiden. Ein Google Account ist aber ziemlich sicher die beste Methode, um den ganzen Aufwand zunichte zu machen.

Beziehst du das allgemein auf einen Google Account, also Burner Account und “richtiger” Account? Ich versuche auch möglichst nicht auf Google zurückzugreiffen. Aktuell verwende ich nur den Burner Account für den Play Store/Dienste im vertraulichen Profil aufgrund der Empfehlung von GrapheneOS in Bezug auf Banking Apps. Zuvor habe ich im vertraulichen Profil den Aurora Store verwendet.

Ein Burner Account mit willkürlichen Daten erschwert die Zuordnung über Name oder E-Mail, aber die anderen Daten hast du immernoch: Telefonmodell, IP-Adressen, Browserdaten durch Fingerprinting etc. In der Kombination ist letztlich immernoch eine Zuordnung möglich, wenn du diese Daten nicht ausreichend verschleierst.
Der Burner Account sammelt ja auch Daten, wenn du ihn länger nutzt, zum Beispiel welche Apps in welcher Version darüber installiert wurden. Wenn Daten zur Nutzung der Apps über Umwege wieder bei Google ankommen, ist auch wieder die Zuordnung möglich.

Das ist schon die richtige Strategie, um Google möglichst wenig Daten zu liefern. Dein vertrauliches Profil ist nicht immer an, dort sind nur Bankingapps und du hast keine sonstigen Aktivitäten auf diesem Profil.

Das ist aus 2022. Mittlerweile nutzen viele Interessierte Obtanium, um die Apps direkt von GitHub & Co zu beziehen. Aus dem GOS-Team wird F-Droid Aufgrund der strukturellen Sicherheitsrisiken kritisiert (glaube Supply-Chain Angriffe sind hier vor allem gemeint). Aus Datenschutzsicht dürfte F-Droid weiterhin weit oben mitspielen. Ist dann im Grunde nur die Frage, ob du dem Team und der Sicherheit von F-Droid vertraust, oder der direkten Quelle (GitHub & Co) und selbst drauf achtest, dass die Projekte seriös bleiben.

F-Droid ist ein Client und Repository in einem. Es gibt viele alternative Clienten, wie z.B. Neo-Store.
Izzy ist ein Repo und kann mit verschiedenen Clienten eingebunden werden.

Obtanium kann alles davon, aber ist kein klassischer App-Store, der sich um irgendwas kümmert (Datenschutzbewertungen, Trackerinfos usw). Wenn man Obtanium nutzt, sollten die Quellen und Apps handverlesen sein. (Aber eigentlich sollten sie das sowieso sein).
https://sideofburritos.com/blog/grapheneos-how-i-install-apps/
https://sideofburritos.com/blog/obtainium-overview/

In Verbindung mit Obtanium (oder auch ohne) empfiehlt sich AppVerifier und dort nicht enthaltene Apps gleicht man mit der Hash-Liste im GOS-Forum ab, die Nutzer dort in einem Thema sammeln.
https://sideofburritos.com/blog/how-to-use-appverifier/

Im Grunde ist alles immer eine Vertrauenssache und auf welchem Wege man sich besser unterwegs fühlt. Alles Andere erfordert Wissen und Können.

Über Aurora habe ich gelesen, dass man das nicht mit einem echten Konto verknüpfen sollte, da Google hier dann Aurora erkennen und das Konto Aufgrund der AGB sperren kann.

Was man wie nutzt, hängt dann wohl immer von der App, deren möglichen Quellen ab.

Threema hat z.B. drei Möglichkeiten [Play Store, F-Droid, Eigener Shop) und aus Datenschutzsicht ist F-Droid die beste Quelle. Gehts nach Sicherheit, wäre wohl Threema selbst besser.
https://www.kuketz-forum.de/t/threema-libre-oder-shop/13525/12

Nachtrag:
Accrescent ist bei GOS mitterlweile auch eine häufig genutzte Quelle.

Accrescent und Obtanium dürften bei den Meisten mitterweile deine zitierte Liste anführen.

In einem Side Of Burritos Videos/Blogs beschreibt er auch, wie er Burnernummern für Google verwendet. Kuketz hatte dazu auch einen Blog.

Allerdings wurde irgendwo mal berichtet, dass diese ganzen günstigen Burnernummern, wohl über chinesische Firmen laufen. Wenn das zutrifft, haben die Daten nur Andere. Hat im Sinne von „De-Googlen“ Vorteile, aber meiner Fantasie kann sich die Idee, dass man hier Chinesen Daten liefert oder chinesische Dienste covert (analog zu TOR und CIA), nicht ganz entziehen.

Es ging hier vor allem um sicherheitskritische Anwendungen wie Bankingapps. Die kann man nur über den Playstore oder Aurora beziehen.

Ich muss hier wohl abwägen, was mir wichtiger ist. Für die erhöhte Sicherheit bei der Installation der Banking-Apps nehme ich diesen Nachteil in Kauf. Im Hauptprofil ist zudem ein VPN always on aktiviert, und die Browserdaten von IronFox werden beim Beenden automatisch gelöscht. Ich melde mich ohnehin nur selten irgendwo an - gelegentlich vielleicht in diesem Forum o. ä. Natürlich bleibt das Telefonmodell dabei unverändert.

@Hadel Danke für die Erkärungen und Links. Im Hauptprofil habe ich nur wenige Apps installiert, und diese beziehe ich alle über Obtainium. AppVerifier nutze ich allerdings nicht mehr, da dort nur ein Teil der Apps automatisch erkannt wurde. Anfangs habe ich die Hashes der übrigen Apps noch manuell überprüft, aber da dies vermutlich nach jedem Update erneut notwendig wäre, wurde mir der Aufwand auf Dauer zu gross.

Für Threema Libre verwende ich deren F-Droid Repo in Obtainium ( https://releases.threema.ch/fdroid/repo/ ).