Ursprünglich veröffentlicht: https://www.kuketz-blog.de/grapheneos-der-goldstandard-unter-den-android-roms-custom-roms-teil7/
1. Auf dem Prüfstand In der Artikelserie »Custom-ROMs« möchte ich einige alternative Android-Systeme näher beleuchten. Der Schwerpunkt liegt dabei auf der Analyse des Datensendeverhaltens. Es wird untersucht, wohin die Custom-ROMs Verbindungen aufbauen und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Custom-ROM in der Standardkonfiguration ist und daraus Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt. Im vorliegenden Beitrag wird GrapheneOS einer Analyse unterzogen. Das Custom-ROM wird wie folgt beworben: GrapheneOS is a privacy and security focused mobile OS with Android app compatibility developed as a non-profit open source project. It’s focused…
Hallo Mike,
vielen Dank für den Beitrag zu GrapheneOS. Auf den Beitrag hab ich mich schon seit der Ankündigung gefreut und war sehr gespannt darauf. Ich bin jetzt mit GrapheneOS seit ca. 1 1/2 Jahren unterwegs und sehr zufrieden damit. Der Artikel hat vieles bestätigt was ich in der Zeit herausgefunden habe und hat natürlich noch viel tiefer das System beleuchtet als ich es kann.
Folgende Fragen stelle ich mir schon lange und ich möchte den Artikel jetzt zum Anlass nehmen um mal nachzufragen. Hoffe Du kannst mir eine Antwort geben.
Tatsächlich war ich anfangs ohne die Google APPs unterwegs… seit es die Sandbox APPs dann gab habe ich sie dann aber verwendet und tue es immer noch. Ich verwende also die Google Play Dienste und den Play Store. Darüber hinaus verwende ich auch Netguard…
Meine Fragen:
- Ist die Verwendung von Netguard tatsächlich weiterhin nötig oder könnte darauf aufgrund der Maßnahmen die GOS umsetzt evtl. auch darauf verzichtet werden? Setzt Du Netguard auf GOS ein?
- Wenn man auf APPs aus dem Goolge Play Store nicht verzichten kann, wäre dann immer noch der Aurora Store eine Alternative auf GOS?
Viele Grüße
Ich denke schon, dass sich auch bei GOS ein Werbe-/Trackerblocker lohnt, speziell wenn auch Apps aus dem G Play Store genutzt werden. GOS blockt ja nicht von sich unerwünschte Verbindungen von Apps, die für ihre Funktion zwingend Internetzugang brauchen (POST&DHL, DB Navigator, Vanadium, …).
Alternativ kann man natürlich auch einen filternden DNS-Server einstellen. siehe Empfehlungsecke: Domain-Name-System (DNS)
Für die Kombi GOS + Netguard lohnt es sich, hier rein zu schauen:
NetGuard - kein Support (mehr) für GrapheneOS
Und falls Du danach (auch) einen Wechsel zu ReThink in Betracht ziehst:
Für Umsteiger/Einsteiger: Fragen und Diskussion zu RethinkDNS
@Musti Vielen Dank für Deine Infos. Genau wegen Werbeblocker macht es noch Sinn aber ich dachte eher den Part der Firewall… Dieses Blocking oder freigeben jeder einzelnen Verbindung in Netguard. Da die APPs auf vieles keinen Zugriff haben wie z.B. die Google APPs jetzt auf IMEI usw. Dachte ich könnten die APPs evtl. Sowieso nicht viel Daten sammeln und einem User zuordnen, Tracker hin oder her…
Entscheidend zu wissen ist: Der wesentliche Vorteil der Google-Dienste mit Sandbox besteht darin, dass es sich um »normale« Apps handelt, für die keine (Standard-)Berechtigungen erforderlich sind. Im Gegensatz zu den herkömmlichen Google-Diensten auf Android-Geräten können die Sandboxed Play Services nicht auf Informationen wie Telefonnummer, SIM-Kartennummer, eindeutige Gerätenummer (IMEI), Standort etc. zugreifen und diese an Google übermitteln. Ihnen fehlen schlicht die Berechtigungen, um auf diese Informationen zuzugreifen:
Werden diese in einem Android Arbeitsprofil installiert, können diese nicht auf Telefonnummer, IMEI, etc in diesem Arbeitsprofil zugreifen. Apps, die über die Playservices aus dem Playstore installiert werden, dann aber sehr wohl. Die Sandboxed Play Services laufen Sandboxed, Apps die darüber installiert werden aber nicht. Richtig?
Nein, die Sandboxed Play Services können auch im Arbeitsprofil nicht auf die IMEI zugreifen. Es fehlt ihnen die Berechtigung dazu.
Apps, die im Arbeitsprofil installiert werden, laufen ganz normal (in ihrer eigenen Sandbox), nur dass sie auf Funktionen der Sandboxed Play Services zugreifen können (falls installiert).
Angenehmen Gruß in die Runde!
Herzlichen Dank für den Beitrag.
Sehr gut das es so ein Custom ROM gibt.
Wie erwähnt, leider nur für Google Geräte.
Aber war es nicht mal geplant bzw in Aussicht gestellt worden, ein anderes Telefonmodell zu nutzen?
Sind die Pläne wieder begraben worden?
Ah okay. Danke!
Verwendet ihr den GOS mit oder ohne Netguard? Mike antwortet mir nicht wie er es macht. Denke da er ungoogled umterwegs ist verwendet er es wohl eher nicht. Wobei es evtl. Ja auch Google Apps hin oder her Sinn macht.
Er testet sicherlich noch Rethink DNS, da Netguard wie erwähnt zu Problemen unter GOS führt.
Obschon ich keine Sandboxed Play Services installiert habe und auch fast ausschliesslich FOSS-Apps verwende, läuft trotzdem Netguard (bzw. evtl. demnächst ReThink). Ebenso, wie ich auch auf allen Desktops eine Application Firewall benutze.
Warum ? Vertrauen ist gut - Kontrolle ist besser !
Verbindungen zu Google sind ja nicht die einzigen, die man ggfs. verhinden möchte und GOS alleine bringt so eine feingranulare Steuerung wie NG nicht mit sich. Alleine die Tatsache, dass man sich bei NG alle Verbindungen live ansehen kann, würde für mich schon als Argument reichen.
@Alawari
Anscheinend wird Netguard wieder supported vom Entwickler. Bei mir funktioniert es, von daher würde ich erstmal nicht wechseln.
@Indeedee
Ja so sehe ich das eigentlich auch und werde jetzt einfach weitermachen mit Netguard.
Ja, ich würde weiterhin einen AdBlocker empfehlen - vor allem, wenn du Apps aus dem Aurora Store beziehst. Die einfache Variante ist AdAway. Oder für mehr Kontrolle NetGuard oder RethinkDNS.
Gibt es bei GOS eigentlich die Möglichkeit, microG für Benachrichtigungen zu benutzen? Soweit ich weiß benötigt man dafür Signature Spoofing, was von GOS nicht gemacht wird. Kann man das irgendwie selber einrichten oder braucht man dafür root?
Ich weiß, dass die Play Services empfohlen werden, aber ich habe da kein gutes Gefühl und es geht mir auch wirklich nur um die Push-Benachrichtungen, nicht den ganzen anderen Kram wie gekaufte Apps aus dem Play Store.
Also ich habe in GOS keine PlayServices und habe trotzdem mit keiner App Benachrichtigungsprobleme.
@kuketzblog Vielen Dank für Deine Antwort.
Tut mir Leid aber ich möchte dazu noch ein mal nachhaken 
Bei Werbeblocker bin ich völlig dabei, das macht dafür weiter Sinn. Was mich einfach noch interessiert bzw. ich noch nicht ganz verstehe ist ob es diese fein granulare Freigaben pro Verbindung, URL usw. wie in Netguard möglich noch braucht…
Also es geht mir da um das Sammeln der Daten APP übergreifend… z.B. gerade von den Google APPs. Wenn ich es richtig verstehe haben diese ja nicht die Berechtigungen/Möglichkeiten wie bei Google Android Daten vom Gerät oder auch von anderen APPs zu sammeln. Demnach könnte Google ja höchstens nur die Daten sammeln und „verbinden“ die rein die Google APPs sammelt und die ich halt eben dort hinterlasse.
Das hab ich irgendwo noch nicht ganz verstanden das Ganze und vermutlich hab ich da einfach auch einen Denkfehler wie das ganze funktioniert. Denke GOS ist eher im Thema Datensicherheit unterwegs und für Datenschutz braucht es das unterbinden von Trackern jeglicher APP durch Netguard weiterhin…
Ich habe da einige bei denen es nicht geht, z.B. Banken-Apps, Türklingel (Ring) und Alarmanlage, aufgezwungene Kindergarten- und Schul-Apps, …
Ok die wichtigsten Messenger gehen alle, aber schön wär’s schon wenn der Rest auch funktioniert