GrapheneOS: Sinnhaftigkeit des vertraulichen Profils

Ah okay …

Wir unterscheiden zwischen Profilen und Private Space

Da gibt es zum einen das Hauptprofil…. Das ist das was immer da ist. Alles andere ist optional.

Shelter vergessen wir erst mal da das eine App ist

Ich kann GrapheneOS nutzen wie ein ganz normales Android Telefon. Dann habe ich ein Profil auf dem ich die Googledienste auf Wunsch installieren kann.

Ich nutze es zB mit nur einem Profil (ohne Googledienste)

Ich habe zusätzlich in diesem Hauptprofil den Private Space aktiviert. Das ist ein seperater Bereich der optional auf dem Hauptprofil aktiviert werden kann. Der Private Space läuft autark im Hauptprofil.

Ich habe im Private Space die Googledienste installiert. Eben für die Apps die ich meine noch zu benötigen (Banking, Whatsapp, Audible, Spotify usw) Solange mein Telefon eingeschaltet ist und in Nutzung ist auch der Private Space aktiv und somit bekomme ich auch push-Nachrichten. Ich kann den Private Space aber jederzeit auch manuell abschalten dann hat google Sendepause.

Im Private Space habe ich zusätzlich Rethink DNS installiert mit wiredguard Profil von Mullvad. Damit kann ich zum einen einen aeperaten VPN nutzen und zum anderen entscheiden welche Daten rein und rausgegen im Private Space

Soviel ich bisher verstanden habe, installiert man Google-Apps sinnvollerweise im Vertraulichen Profil bzw. Bereich aka Private Space, da sie dort weitestgehend isoliert sind, okay?

Wenn ich richtig verstehe - du sagtest “der Private Space” ist autark - können die Apps im Eigentümer-Profil nicht mit jenen Apps kommunizieren, die sich im Private Space befinden. Und gleich angeschlossen noch zum Verständnis: Ist nicht jedes neu angelegte Profil autark? Alle Profile sind zueinander also komplett unabhängig bzw. isoliert? Wo ist der gravierende Unterschied zwischen dem Private Space und einem von mir neu angelegtem Nutzer-Profil? Wahrscheinlich jener, den du bereits angeführt hast: “Solange mein Telefon eingeschaltet ist und in Nutzung ist auch der Private Space aktiv und somit bekomme ich auch push-Nachrichten. […]”

Was mir aufgefallen ist - gewisse Apps wollen im Private Space einfach nicht funktionieren. Beispielsweise Bank-Apps (eine von meiner Bank und Pay-Pal) oder die Blabla-App. Was kann der Grund dafür sein?

Wenn man beispielsweise darüber nachdenkt, u.U. eine staatliche (Signatur)App zu installieren - was möglicherweise bereits grob fahrlässig bzw.vorsätzlich ist - wo bringt man sie, wenn schon, unter? Oder ist das ohnehin nicht in Erwägung zu ziehen?

Nun, es wird von verschiedenen Seiten darauf aufmerksam gemacht, dass Apps, die sich in einem Profil mit Google Services befinden, die Möglichkeit der Kommunikation untereinander haben. Trotz Sandbox. Ich bin mir nicht sicher, ob ich das so richtig verstanden habe.

Daher der Gedanke, notwendige Apps, auf deren Push Benachrichtigungen angewiesen bin, von Apps mit Google Diensten zu trennen, bei denen dies nicht erforderlich ist. Dann wäre ich bei drei Profilen, nicht bei zwei.

Meine Fragen an der Stelle:
Ist diese Trennung tatsächlich notwendig und falls ja: Reicht es aus, für diese dritte Kategorie Apps ein gewöhnliches GOS Nutzerprofil anzulegen? Oder was ist für mein Vorhaben empfehlenswerter?

Genau du kannst auch ein neues Nutzerprofil erstellen. Manche machen das so lieber. Ein Profil mit Banking Apps, ein Profil mit Whatsapp, Facebook und co. Ist jetzt nicht meins da für meine Zwecke zu umständlich.

Ich glaube es ist schwierig bis unmöglich das alles in kurzer Zeit zu verstehen … man muss zuerst einmal für sich schauen was man braucht. Daraufhin stellt man das Telefon dann ein.

Das gute an GrapheneOS ist einfach das man es eben auch ganz normal nutzen kann…. Alles kann, nichts muss

Alle Apps sind gesandboxt. Man kann sehr genau einstellen welche Apps sich miteinander unterhalten. Dazu muss man nicht unbedingt 5 Profile erstellen

Es ist wie gesagt einfacher wenn ihr nicht krampfhaft versucht es möglichst richtig zu machen. Bei den Einstellungen gibt es meiner Meinung nach kein richtig und kein falsch. Richtet es so ein das es für euch funktioniert. Danach kann man immer noch optimieren.

Vielen Dank, das hilft mir sehr weiter. Ich taste mich gerade erst heran. Das Forum bzw. die Möglichkeiten hinter GOS sind sehr umfangreich, sodass mich einige Begrifflichkeiten dann doch etwas verwirrt haben, je mehr ich hineingelesen habe.

Nein. Das meint er gerade nicht. Bei Android gibt es schon seit längerer Zeit eine Nutzerverwaltung (zu Englisch User (der Hauptnutzer/Main User ist User 0)). Auch seit längerer Zeit gibt es in der Source eingebaut ein Arbeitsprofil (wie heißt das eigentlich zu Englisch?). Allerdings benötigt man einen Hersteller, der dieses Profil mit einer App nutzt oder eine Userapp (im vom Google gedachten Fall vom Arbeitgeber), die dieses Profil nutzt. Samsung z.B. nutzt bei ihrem „Privaten Ordner“ das Arbeitsprofil aus und klatscht dann auch noch irgendwie Samsung Knox ran (alles, was bei diesem Feature nicht schon in der Source von Android enthalten ist, ist proprietär). Weil man seit Android 15 zusätzlich in der Android-Source (und diesmal auch mit einer Möglichkeit der Aktivierung gleich über das System) das vertrauliche Profil (zu englisch Private Space) hat, hat Graphene von einer Implementierung abgesehen. Shelter ist eine OpenSource-App, mit der man das Arbeitsprofil nutzen kann.
Man hat also drei Möglichkeiten, wovon man für eine eine App extra installieren muss. Bei verschiedenen Usern hat man den Vorteil, dass kaum eine bis keine App den Dienst quittieren wird, weil kaum ein App-Hersteller etwas gegen das Teilen eines Smartphones hat. Beim vertraulichen Profil hat man den Vorteil, dass man im Hauptnutzer sieht, wenn die App eine Benachrichtigung erhält, allerdings mögen manche Apps es nicht, wenn sie im vertraulichen Profil (was ich bei Banking-Apps nicht nachvollziehen kann, weil genau dafür ist das vertrauliche Profil gedacht) installiert sind. Beim Arbeitsprofil kommt es darauf an, welche Arbeitsprofilapp man installiert hat. Mit Shelter kann man meines Wissens nicht bloß das gesamte Arbeitsprofil, sondern auch nur einzelne Apps darin abschießen (ist das richtig?) und sieht im Hauptnutzer ebenfalls, wenn eine App im Arbeitsprofil eine Benachrichtigng erhält.

Ich versuche noch mal für mich zusammenzufassen weil ich ein visueller Lerner bin:

Hauptnutzer (Main User ist User 0)

Das Profil was nach der Ersteinrichtung da ist.

-

Arbeitsprofil (Muss vom Hersteller mit APP „aktiviert werden z.B.: Samsung „Privater Ordner“.)

Nutzt man GOS kann man die FOSS APP Shelter nutzen.

Man sieht im Hauptnutzer, wenn eine App im Arbeitsprofil eine Benachrichtigung erhält.

-

Vertrauliches Profil (Private Space)

Apps können nicht mit den Apps vom Hauptnutzer (User 0) kommunizieren).

Man sieht aber im Hauptnutzer wenn eine App im Vertraulichen Profil eine Benachrichtigung erhält.

Manche Apps mögen es nicht, wenn sie im vertraulichen Profil installiert sind.

-

Fragen:

Kann man in beiden (Arbeitsprofil und Private Space) NetGuard und Rethink einsetzen wie unter User 0 aber eben ohne es auf User 0 laufen zu haben, also ausschließlich für Arbeitsprofil und/oder Private Space?

Können im Arbeitsprofil wie beim Private Space die Apps auch nicht mit dem Hauptnutzer kommunizieren

Ich verstehe da so das sowohl das Arbeitsprofil als auch der Private Space ein Teil des Hauptnutzers (User 0) ist, richtig?

In den Erklärvideos auf YT sieht man das weitere Nutzer angelegt werden, ist das dann wirklich User 1 usw. …? Das wäre dann die vierte Art Apps zu trennen?

Wir reden hier von User 0, 1, etc., richtig?

User 0 würde dann aber keine Benachrichtigungen über Benachrichtigungen in Apps von User 1 bekommen, richtig? Das wäre dann der größte Unterschied zu Arbeitsprofil und Private Space, oder?

Und was von dem ist jetzt sandboxed? Alle Varianten?

Ist dafür gedacht gewesen, dass Dokumente des Arbeitgebers besonders geschützt sind und er (je nach Konfiguration/App) vollständigen Remote-Zugriff auf dieses Profil, entweder über eigens entwickelte Apps des Arbeitgebers oder über B2B-Lösungen des Geräteherstellers. Bei Samsung ist die B2B-Lösung das Knox Workspace. Zusätzlich hat Samsung mangels vertraulichen Profil das Arbeitsprofil als „Privaten Ordner“ (zu englisch „Secure Folder“) für den Consumermarkt gebaut/missbraucht. Eine Open Source-Lösung, die das ebenfalls tut, ist eben Shelter, eine andere OpenSource-Lösung ist Insular. Solche Lösungen sind letztlich obsolet, weil es ja seit Android 15 das vertrauliche Profil gibt, was aber manche Features von Shelter und Insular nicht besitzt.

Jein. Wenn ich mich recht erinnere, müssen Apps, die im Arbeitsprofil (da kann es aber auch Unterschiede zwischen dem von mir früher mal verwendeten privaten Ordner und Shelter geben) oder im vertraulichen Profil installiert sind, auch im zugehörigen Nutzer installiert sein (kann mich aber auch täuschen, einfach ausprobieren). Sie können aber unterschiedlich eingerichtet sein.

Nein. Die einzelnen Profile/Nutzer können erstmal nicht bzw. nur sehr eingeschränkt miteinander kommunizieren (manche Apps können aber sehen, welche Apps in einem anderen User/Profil installiert sind).

Praktisch gesehen ja, auch wenn es auch einer eines anderen User (z.B. Uses 1 (in ADB 10 genannt)) sein kann.
Technisch gesehen, erhält das vertrauliche Profil des jeweiligen Users die nächst höhere freie Kennung (also in diesem Beispiel für egal welchen der beiden schon erstellten User die Kennung 2 (in ADB 20 genannt)). Das vertrauliche Profil ist also nichts weiter als ein zusätzlicher User, bei dem allerdings die Benachrichtigungen an den passenden Nutzer delegiert werden und über die GUI nur der User, der das Profil erzeugt hat, starten kann (über ADB kann man auch direkt wechseln). Das Passwort muss man natürlich in jedem Fall kennen, ansonsten kommt man nicht weit.
Das Arbeitsprofil ist dagegen technisch gesehen kein echter User, sondern ein „Profile User“ und erhält als Kennung 100xx, wobei xx für den zugehörigen User 0, 1, 2 usw. steht.

Das ist die von mir beschriebene erste Methode. Die, die ich verwende (ganz Old-School und ohne Zusatz-Apps)

Sandboxed ist viel mehr. Das ist bei jeder App bei Android der Fall. Du musst ja bei jeder App entscheiden, welche Berechtigungen sie erhält. Dabei gibt es aber eben weder eine feingranulare Firewall (man kann nur einstellen, bei welcher Konnektivität (WLAN, mobile Daten, VPN) die Verbindung erlaubt ist) noch eine Kontrolle der Datenübergabe zwischen den Apps. Und die Google Play Services telefonieren für viele Apps eben zu Google oder nach Hause. Von daher macht es Sinn, einen weiteren Nutzer (eigentlich dafür gedacht, dass du dir dein Smartphone mit jemand anderen z.B. deinem Partner teilst (deshalb werden auch keine Benachrichtigungen weiter gegeben)), das vertrauliche Profil (eigentlich dafür gedacht sicherheitskritische Apps mit einer weiteren Verschlüsselungsschicht zu schützen) oder das Arbeitsprofil (eigentlich dafür gedacht, Arbeit und Privates zu trennen) einzurichten.

Eigentlich wäre es nett vom Hersteller, wenn er genau dieses für ein ‘High Security’ Phone OS eben implementieren würde. Es mag schon sein und ich will auch gar nicht im Abrede stellen, daß GOS in Bezug auf Sicherheit das beste erhältliche Phone OS ist, diese Eigenschaft fehlt allerdings trotzdem → feingranulare Firewall einzeln für jede App, in deren ‘Berechtigungen’ einstellbar.

Außerdem hätte ich bitte echt gerne Analysetools, eine Anzeige und ein Log, um sowohl zur Runtime als auch nachträglich festestellen zu können, was die Apps auf dem Telefon alles so tun und treiben (oder versuchen).

Genau das entspricht eben nicht deren Methoden. Hier wird ein AOSP ROM gehärtet. Alles andere kannst du dir halt laden …. Ja ich weiß ist kein System dann. Ich denke die wollen nicht zusätzliche Möglichkeiten um Schadcode rein zulassen. Zumal sie 3. Herstellern nicht unbedingt vertrauen

Das allein würde ja nichts schaden, solange es funktioniert. Wenn man mal sagt, man vertraut Graphene grundsätzlich, und die feingranulare Firewall mit allen bells and whistles ist halt eine App anstatt in den Kernel oder Netzwerkstack integriert, so solls mir recht sein solange das nicht erst wieder von hinterlistigen Apps umgangen werden kann und ich bei meiner Analyse unbekannter Apps ein zuverlässiges Ergebnis bekomme.

Existiert so etwas für GrapheneOS?

edit: wenn es das als App gibt, die für jeden User und beide Profile (vertrauliches und normales) einzeln wirken, dann könnte man ein Testprofil machen, wo nur eine zu testende App drinnen ist und sonst nichts. Deren Aktivität könnte man dann isoliert und sehr genau betrachten, ohne Beeinflussung durch die Netzwerkaktivität anderer Apps.

RethinkDNS (wenn man bei den einzelnen Apps (Einstellungen > Apps > die jeweilige App auswählen > Mobile Datenverbindung > WLAN-Daten und Mobile Daten ausschalten) nur die VPN-Verbindung erlaubt, RethinkDNS immer aktiv hält und Verbindungen ohne VPN blockt (Einstellungen > Netwerk & Internet > VPN > Zahnrad > Durchgehend aktiviertes VPN und Verbindungen ohne VPN blockieren aktivieren) und man in RethinkDNS die Umgehung des DNS deaktiviert (Konfiguration > Firewall > Universelle Firewall-Regeln > Blockiere, wenn DNS umgangen wird und Konfiguration > DNS > Verhindere DNS Lecks aktivieren)). Wobei die interne Zuordnung zu Apps leider teilweise falsch ist (es werden ja die Daten der VPN-Verbindung protokolliert und dann wird anhand der Aktivität der einzelnen App geschätzt, welche gerade die Daten gesendet hat).

Vielen Dank @DwainZwerg für die ausführliche Erklärung! Jetzt werde ich sicher einen Testuser auf dem Handy installieren um das ausführlich zu testen und zu lernen, weil jetzt hast du mich sehr neugierig gemacht! RethinkDNS also…

Genau dafür ist dieses Forum ja da, denke ich. Dass wir voneinander lernen und Missverständnisse ausräumen können.