Ursprünglich veröffentlicht: https://www.kuketz-blog.de/iodeos-datenschutzfreundlich-aber-abstriche-bei-der-sicherheit-custom-roms-teil3/
1. Auf dem Prüfstand In der Artikelserie »Custom-ROMs« möchte ich einige alternative Android-Systeme näher beleuchten. Der Schwerpunkt wird in der Analyse des Datensendeverhaltens liegen. Es wird geprüft, wohin die Custom-ROMs Verbindungen aufbauen und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Custom-ROM in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt. Im vorliegenden Beitrag wird iodéOS einer Analyse unterzogen. Das Custom-ROM wird wie folgt beworben: iodéOS ist ein auf Android basierendes Betriebssystem, welches von Googles Datensammelwut befreit wurde. […] Wird iodéOS dem gerecht? Nachfolgend werfen wir einen…
Ich verwende bei mir microG ohne Geräteregistrierung (und somit auch ohne FCM). Damit werden m.W. die Google-Dienste überhaupt nicht genutzt; es sollten eigentlich keinerlei Verbindungen zu Google-Servern stattfinden (habe ich nicht in der Tiefe geprüft, aber zumindest bei 24h mitlaufendem PCAPDroid nichts sehen können).
Warum dann microG? Wegen der Standortdienste. Hier verwende ich jedoch nicht MLS, sondern das LocalGsmNlpBackend, wobei ich die Standorte der Mobilfunkmasten aus D-A-CH (plus bei Urlaubsreisen des jeweiligen Urlaubslandes) direkt auf dem Gerät habe. Das sind ca. 200 MB, dafür sind aber zur Bestimmung des ungefähren Standorts keine Netzwerkverbindung nötig. Die Datenbank kann man dabei direkt auf dem Gerät erzeugen; ich mache das jedoch mit einem Skript auf meinem Linux-Rechner–einmalig, mit anschließender Übertragung auf alle mit microG ausgestatteten Geräte im Haushalt.
Finde, das ist ein guter Kompromiss 
Weitere alternative „Location-Backends“ finden sich übrigens in dieser Übersicht in meinen App-Listen. Ebenfalls dort: Sammler für die Standorte aktueller Masten, mit denen Ihr die Datenbank für alle aufbessern/aktualisieren könnt (von Euch gesammelte Daten lassen sich zu den Diensten wie OpenCellID und MLS hochladen. Tipp: Die App Tower Collector eignet sich quasi nebenbei auch als Location-Tracker; Eure Tracks könnt Ihr daraus in verschiedenen Formaten (z. B. GPX und KML) exportieren oder auch in der eingebundenen Karte (OSM) visualisieren.
Hallo Mike,
vielen Dank für den Artikel! Ich nutze selbst iodéOS auf meinem Gerät und habe deinen Artikel daher mit Freude gelesen.
In einem Punkt liegst du aber meiner Meinung nach falsch:
Unter Einstellungen -> Apps -> Vorinstallierte Apps hat man die Möglichkeit alle optionalen Apps (auch die microG Apps) zu deinstallieren bzw. erneut zu installieren.
Zumindest auf meinem Gerät (FP4) mit der letzten beta Version 4.1-20230327 ist dieser Menupunkt verfügbar:
@colognesupporter
Genau richtig.
Ich verwende iodéOS komplett ohne microG
Genau wie du sagst, ich habe beim initialen Setup alle iodéOS Apps, bis auf fdroid, aurora store und den Updater deaktiviert.
Somit habe keinerlei microG auf dem System.
Der im Artikel genannte Aspekt bezgl. Safebrowsing im iodé Browser ist bereits bei den Entwicklern in Arbeit.
Der im Artikel genannte Aspekt bezgl. SUPL Server ist ohne einen Proxy, wie es GOS macht, leider unumgänglich. Und solch einen Proxy zu bauen ist erstens nicht trivial und zweitens zeitaufwendig.
Da aber erstens der Dienst in iodéOS deaktiviert werden kann und zweitens keine IMSI Daten übermittelt werden zumindest ein Kompromiss
Schade nur dass auf den Blocker (Alleinstellungsmerkmal von iodéOS) nur am Rande eingegangen wurde. Er ist defacto ein Blick wert
Dazu ein Gedanke:
IP-Adresse
Ich nutze einen FTTH Anschluss bei der Deutschen Glasfaser, die CGNAT einsetzt.
Meine IP Adresse auf der heimischen FB kommt aus dem CGNAT Adress-Pool (100.x.x.x). Die Public v4 ist die CGNAT genattete, die ich mir mit 50/100/200 (wie auch immer DG CGNAT konfiguriert) anderen Usern teile. Somit bin ich da ja schon gut in der Menge verborgen.
Aktuelle IP. Ich befinde mich defacto nicht Nähe Hildesheim
Ich weiß nicht, was Calyx da voreingestellt hat. Bei microG selbst (und mit Lineage4microG) ist das per default aus – also sind per default auch keine Google-Connections aktiv. Wer es braucht, muss es halt einschalten.
Natürlich nicht, da ich die ganzen Google-Verbindungen ja ausgeschaltet lasse
Ich verwende OrganicMaps, installiert von F-Droid. Funktioniert hier einwandfrei. Natürlich kannst Du es „einfach so“ verwenden, dann gibt es den Standort halt ausschließlich via GPS. Die Standort-Dienste von microG sind halt der Ersatz für den sonst via Google bereit gestellten „ungefähren Standort“ (auch als „network location“ bekannt). Der ist halt sofort verfügbar, GPS braucht meist ein wenig.
Daher der SUPL für A-GPS
Auch das braucht gelegentlich ein wenig. Und manchmal möchte man auch gar keinen „exakten“ Standort
Aber ich fürchte wir schweifen ab…
Nach der positiven Bewertung von Mike interessiere ich mich für das OS. Aber ich bin etwas irritiert. Gibt es wirklich iodéOS nur für GooglePixel4 und nicht auch für das 4a?
Offiziell ja
Danke für deinen ausführlichen Testbericht! Nutzte Iode schon ein paar Monate in der Vorgängerversion auf dem FP3+ und nun auf Iode 4.1 (Lineage 20-Basis). Was mich noch wundert: snoopsnitch zeigt auch nach Neuinstallation auf Iode 4.1 immer noch den „claimed patch level 2021-11-06“ an. Bin gespannt, was die Iode-Entwickler:Innen dazu meinen.
vielen Dank. Das ist super, dann kann ich es doch problemlos und langfristig benutzen.
Bist von PeteFoth abhängig wie er es weiter pflegen wird.
Aber bis jetzt ist er stets bemüht die Updates von iodè mitzugehen.
Er ist da nur an den Freigaben von iodè gebunden wie die die Stages freigeben.
Bisher immer nur die Stables, aber nicht die Betas, daher hinken die monatlichen ASBs hinterher.
Aber immer noch besser als nichts
habe ich es in deinem geposteten Link richtig verstanden, dass mit dem offiziellen Releaes von IodeOS der Bootloader geschlossen wird aber mit dem inoffiziellen Release für 4a nicht? Weil dann ist letzteres ja ein Sicherheitsmanko.
Ich verstehe nicht, warum IodeOS nicht selbst einfach eine Version für 4a anbietet. Denn zahlreiche andere Pixel-Handys werden ja auch unterstützt.
Dazu solltest du Pete im iode Forum fragen. Wenn er den avb_custom key bereit stellt sollte sich auch der BL sperren lassen.
Zur zweiten Frage: Frage die Entwickler
Sicherheitsmanko nicht geschlossener Bootloader:
Ein geschlossener Bootloader schützt vor Manipulation des ROMs. Es sichert mich also dagegen ab, das jemand das Gerät in meiner Abwesenheit manipuliert und ich -ohne das zu merken- das Gerät starte und hiernach dann unbewusst Geheimnisse wie Passwörter und private Nachrichten verrate.
Mal angenommen ich muss in eine Diktatur einreisen und beim Check-In nehmen sie mein Smartphone an sich (andernfalls darf ich zurückfliegen ;-).
Würde ich dem Smartphone nach Rückgabe dann noch vertrauen? Würde ein geschlossener Bootloader hieran was ändern? Ich z.B. würde das in beiden Fällen entsorgen
Es ist richtig und wichtig, das in den Tests alle Aspekte betrachtet werden und die Bewertungen im Verhältnis zu den Maximalforderungen vorgenommen werden. Nur so ist es möglich, das eine Person mit maximalem Schutzbedarf ein bestmöglich sicheres Gerat erhalten kann.
Ein offener Bootloader ist nur dann ein Problem, wenn man ein Smartphone nach Verlust und Rückgabe unbedingt neu starten muss oder der eigenen Umgebung nicht vertraut.
Was will ich sagen? Wenn man auf ein verlorenes Smartphone dauerhaft bzw. für immer verzichten kann, spielt es keine Rolle, ob man den Bootloader wieder sperren kann.
Besser als das vom Hersteller gelieferte OS ist ein Custom-ROM mit regelmäßigen Android-Updates in jedem Fall. Auch wenn sich der Bootloader nicht mehr schliessen läßt.
Dank an Mike für den ausführlichen Artikel. Ich kannte Iode-OS noch nicht. In letzter Zeit dachte ich daran, ein Pixel-Handy zu kaufen und mit Graphene auszustatten. Das hat sich nun erledigt. Pixel sollen angeblich nicht so eine gute Akku Laufzeit haben.
Mein Galaxy S9+ funktioniert sehr gut und der Akku hält lange, dank meiner vielen Beschränkungen. Da ich nun von Iode erfahren habe, habe ich das OS aufgespielt. Die Anleitung ist kurz und knapp. Da ich mit so was einige Erfahrungen hab, klappte alles auf Anhieb. Dank Heimdall auch ohne Windoof. Die Einrichtung ging schnell von statten, so wie im Artikel beschrieben. Das OS ist nur 1,3 GB groß. Zum Vergleich: Das original Samsung ROM Android 10 sind 4,1 GB.
Ich bin rundum zufrieden und nochmals Dank an Mike!
iodè hat heute mit einer Beta nachgelegt.
google April ASB
Neues Feature im Blocker:
Pro aktiver App wird ein Status dazu angezeigt.
Ankündigung des Entwicklers dazu:
vincent
Also, which may be of interest to everyone: I’m preparing beta builds with the latest security patch which has just been merged in LineageOS, and a new feature of the blocker which is in an alpha/near beta stage but already stable. It will start a permanent notification displaying the top-level app, a few information (actually : only the number of bloqued requests for that app, its protection state (no/standard/reinforced protection) and a bit more by a dev setting), with shortcuts to blocking settings, statistics, and stream.To prevent questions: this permanent notification does not consume battery at all. No wakelock is used, it does not keep the device awaken on screen off. The background process refreshing the notification is halted on reading in a socket (so no CPU use), on which information is sent by the low-level part of the blocker only if (1) the top level app changes, or (2), the blocking level of the app is changed, or (3) when the app is actively communicating through the network.
The worse that may happen actually with that notification, is that is stops refreshing. In that case, a reboot may be necessary, or a force kill of the iode app (and launching the app to restart the background process).
Für die S9 Serie Benutzer:
Nachdem wieder offiziell in LOS zurück:
@jdevlx Danke für deine Ausführung und Einschätzung bzgl. dem offenen Bootloader. Dann mache ich mir deswegen keine Sorgen und könnte das IodeOS nutzen.
Ich freue mich sehr über diese Artikelserie! 
Vielen Dank für die großen Mühen und die Arbeit, die du da rein steckst Mike! 
Kleiner Hinweis @kuketzblog, du hattest den Artikel zwischenzeitlich etwas korrigiert. Eine Textpassage passt noch nicht so ganz:
Was mich stutzig gemacht hat, war, dass iodéOS keine Verbindung zu remoteprovisioning.googleapis.com aufgebaut hat. (IodéOS bietet aber auch SafetyNet.) Wie sieht es generell mit dieser Verbindung aus? Wird diese nicht zwingend automatisch initiiert? Geschieht dies bei iodé vielleicht erst, wenn eine bestimmte Aktion ausgeführt wird? Wenn ja, dann wäre auch für iodé ein eigener Reverse-Proxy-Server erforderlich/empfehlenswert?!?
Ich weiß nicht, ob das schon in der hier getesteten iodéOS 4.1-Version integriert ist oder ob es immer noch in der Beta-Phase ist, aber erwähnenswert wäre wohl auch, dass man das System WebView von Android (Google) zu wahlweise Bromite, Vanadium oder Mulch umstellen kann (Quelle):
Ist Bromite, Vanadium oder Mulch die beste Wahl? Oder sind alle 3 Optionen gleichwertig?
Dazu würde ich gern ergänzen, dass sich iodéOS weiterhin an datenschutzsensible Nutzer richtet, die nicht besonders technikaffin sind. Ja, auch diese Personengruppe gibt es! Und diese Menschen in eine datenschutzfreundlichere Welt mitnehmen zu können, halte ich für wichtig. Sie können einfach ein fertig vorinstalliertes Smartphone im iodé-Shop kaufen:
FAQ iodé:
Wir verkaufen generalüberholte (in Frankreich) Smartphones sowie neue, modulare Smartphones von sozialen Unternehmen.
Der dafür fällige Aufpreis mag dem einen oder anderen evtl. hoch erscheinen. Ich finde jedoch, dass man dies zu gleich als schöne Spende und Unterstützung des Projektes sehen sollte. Und die hat sich das iodé-Team redlich verdient!
Des weiteren gibt es auch noch die Personengruppe, die nicht nur das verlängerte Leben vorhandener bzw. alter Geräte und den damit verbundenen Umweltschutz zu schätzen wissen, sondern die vielleicht trotz Umweltschutz ein neues Smartphone kaufen möchten. Welches nicht nur langlebig bezüglich (Android-)Updates sein soll, sondern auch eine modulare Bauweise (dadurch bessere Reparierbarkeit und längere Nutzung) hat und Fairness (teils recycelte/nachhaltige Rohstoffe, faire Arbeitsbedingungen, Vermeidung von Kinderarbeit) als Ziel verfolgt.
Hier vielleicht nochmal ein Hinweis für diejenigen, die in diesen Themen (noch) nicht drin stecken: Diese beiden Punkte liegen generell an den Herstellern (Smartphone, Qualcomm, etc.). Dies kann weder iodéOS noch ein anderes Custom-ROM beeinflussen bzw. trifft auf jedes Custom-ROM mit entsprechender Geräte-Unterstützung zu.
Das heißt, sobald die offizielle Unterstützung für ein Gerät endet, können nur noch die Sicherheitsupdates für Android verteilt werden und das Geräteleben so verlängert werden (was iodé so macht) oder das Custom-ROM stellt den Support für das Gerät gänzlich ein und ein Neues muss her.
Es gibt Hersteller (z.B. Fairphone und Google), die Verified Boot den Custom-ROMs ermöglichen und eben welche, die es nicht machen. Also kann man sich entweder dafür entscheiden nur Geräte anzubieten, wo dies der Fall ist oder man nimmt auch die anderen Geräte auf, aber dann eben ohne Verified Boot.
Wie wichtig einem diese beiden (und weitere) Sicherheitsaspekte sind, muss sicherlich jeder für sich selbst entscheiden und dementsprechend das Gerät und die Nutzungsdauer wählen. Leider gibt es noch nicht die eierlegende Wollmilchsau, die Datenschutz, IT-Sicherheit und Langlebigkeit gleichermaßen an erste Stelle stellt. 
So wird man sich wohl meist entweder für Datenschutz und IT-Sicherheit ODER Datenschutz und Langlebigkeit entscheiden müssen.
Vielleicht noch 2 weitere kleine Ergänzungen:
- Im CalyxOS-Artikel ist erwähnt, dass es CalyxOS seit 2020 gibt. IodéOS gibt es ebenfalls seit 2020.
- Spannend ist auch zu wissen, wie lang der Supportzeitraum von iodéOS ist. Im wesentlichen wird sich das natürlich erst noch zeigen, aber generell kann man sagen, dass iodé ihre Geräte so lange wie möglich unterstützen möchte. Es gibt Geräte, die schon über 5 Jahre auf dem Markt sind und immer noch (Android-)Updates erhalten. Z.B. das Sony Xperia XZ1 hat jetzt ein Upgrade auf Android 13 erhalten.
Was den iodé Browser betrifft, verstehe ich nicht, warum iodé überhaupt Ressourcen dafür aufwendet. 
Mit Fennec gibt es bereits einen datenschutzfreundlichen Fork von Firefox, wie man in Mikes Test sehen kann.
Oder kennt jemand einen anderen Mehrwert in dem iodé Browser?
Abseits des eigentlichen Themas dieses Blogartikels finde ich bezüglich iodéOS noch erwähnenswert:
- smart charging (einstellbarer Level an dem das Laden gestoppt wird → schont den Akku → Langlebigkeit)
- alle Apps (außer iodé-Blocker) mit einem Tipp auf die Mülltonne deinstallierbar bzw. später wieder installierbar
Ich finde schade, dass die Firewall bzw. der Adblocker iodé nicht eingehend unter die Lupe genommen wurde. Schließlich ist dies das Herz von iodéOS. 
Allerdings verstehe ich, dass das den Rahmen des jetzt schon sehr ausführlichen Artikels gesprengt hätte. Dennoch wäre eine genaue Analyse und Bewertung der Funktionen und Möglichkeiten mit eventuellen Hinweisen zur Verbesserungswürdigkeit sehr wünschenswert. Insbesondere im Vergleich zu NetGuard, welches in der Empfehlungsecke unter der Kategorie „Mehr Kontrolle – höhere Blockraten [Fortgeschrittene]“ geführt wird und zu dem es schon einen ausführlichen Blogartikel gab.
@kuketzblog vielleicht wäre es im Anschluss an die Custom-ROM-Serie möglich, den iodé-Blocker und die Firewalls/Adblocker aller anderen getesteten Custom-ROMs (wie z.B. Datura von CalyxOS) zu analysieren?