Ist jemand unzufrieden mit GrapheneOS?

Du hast halt keine Kontrolle über den Zugriff von privilegierten Apps, wie Google Play Services, weil sie nicht in der normalen „untrusted_app“-Sandbox laufen. Sie unterliegen nicht den üblichen Beschränkungen, du kannst keine Berechtigungen entziehen und sie haben deutlich mehr Zugriff, oft auch auf sensibelste Daten, Hardware-IDs, Netzwerkdaten, oder Cross-Profile-Zugriff, was normale Apps nicht haben.

1 „Gefällt mir“

Einige haben bis jetzt offenbar nicht verstanden, was da gemacht wird, wir alle erinnern uns noch an den Merkel Satz „Das ist für uns Neuland“. Für mich leider bis zur Corona Krise auch, seit Oktober 23 beschäftige ich mich mit GOS und den Alternativen, um wenigsten ein wenig Kontrolle zurück zu erlangen, dieser Artikel auf Wikipedia ist sehr aufschlussreich: https://de.wikipedia.org/wiki/PRISM

Das einzige was GOS fehlt ist eine iptables ähnliche Firewall, die sämtlichen Netzwerkverkehr kontrollieren kann.
Das Problem: wird nicht kommen.
Warum?
Weil Android von Google kommt. Google hat kein Interesse daran.
Und GOS wird AOSP nichts hinzufügen nur härten.
Die Sandbox schützt nur die Daten auf dem Telefon vor den Apps, aber verhindert nicht, das Verbindungsdaten gesammelt werden, das geht nur wenn man diese Verbindungen nicht zulässt.
Das Problem besteht auch nur mit dem Google Service bzw. Apps aus dem PlayStore, die um die Welt telefonieren.

Ich verwende im Personal Profil RethinkDNS (mächtiges Tool ohne root) und im Work Profil NetGuard (auch wenn nicht 100% unterstützt) wo auch die Google Sandbox installiert ist (Einige Apps aus dem Store laufen nicht ohne GSM und per Webseite zu umständlich bzw. unbrauchbar) .
Das Work Profil aktiviere ich nur, wenn ich es brauche.
Schriftliche Komunikation findet im Personal Profil statt.
Zuerst habe ich die strenge Profiltrennung von GOS verwendet, da aber jedes weitere Profil Einschränkungen in den Netzwerkeinstellungen mit sich bringt und der Wechsel damals nicht Benutzerfreundlich war, habe ich mich für die shelter Lösung entschieden.

Mein „root“ vermieße ich aber immer noch und hoffe einfach das irgendwann eine Lösung für die vollständige Netzwerkkontrolle Einzug findet.

Natürlich weiß ich, was abgeht und welche Daten bei Samsung und Google „abhanden“ kommen. Deshalb schrieb ich oben von Netguard und Adguard Home.
Dass das nicht mit Graphene OS vergleichbar ist, weiß ich auch. Also belehren müsst Ihr mich diesbezüglich nicht. :slightly_smiling_face:

Wenn man sich mal hinsetzt und überlegt, wo welche Daten anfallen und was damit passiert, dann ist das Smartphone nur ein Bruchteil davon. Sobald mein ein Tablet nutzt oder nutzen möchte, gibt es nur das megateure Google Ding mit Graphene oder irgendwas altes mit LineageOS.

Dann ist da noch: Arzt, Bank, Paketdienst, TV, FireTV, Arbeitgeber, Smartspeaker, Lebensmittel-Lieferdienst usw. usw. Bei nichts von alle dem nutzt mir Graphene etwas.

Ich bin fast nie unterwegs und die Daten, die durch mein Phone fließen, fließen auch an anderen Geräten. Für die Navigation habe ich ein separates Gerät.

Gerade eben wollte ich ein Paket von UPS auf einen anderen Tag legen zur Zustellung. Ohne den DNS im Browser zu ändern, war das nicht möglich. Bis ich das herausgefunden hatte, waren 25 Minuten um.

Ich sehe ein, dass Datenschutz ganz wichtig ist - aber es gibt noch andere Dinge im Leben und darauf möchte ich nicht weiter verzichten. Ich werfe ja nicht gleich alles den Löwen zum Fraß vor.
Ich war letzte Woche beim Arzt. Die Lebenszeit ist endlich und irgendwann verschieben sich vielleicht auch bei Euch die Perspektiven.
Mich geht das aber nix an und Ihr müsst Euch nicht rechtfertigen. Jeder so, wie er mag.

GrapheneOS hat bereits zahlreiche Features zu AOSP hinzugefügt und AOSP hat auch einige von GrapheneOS übernommen. Alle Features auf der Homepage sind zusätzlich zu AOSP!

2 „Gefällt mir“

Für mich heißt

[…] Diese Seite bietet einen Überblick über die derzeit implementierten Funktionen, die GrapheneOS von AOSP unterscheiden. […] Dies sind die Funktionen von GrapheneOS, die über das hinausgehen, was die Version 14 des Android Open Source Project bietet. Er umfasst nur unsere Verbesserungen von AOSP und nicht die Basisfunktionen. […]

das eine fein zu justierende und bedienbare Firewall nicht hinzugefügt wird, weil nicht in AOSP vorhanden, was nicht vorhanden ist, kann nicht verbessert werden.
Auch meine Frage diesbezüglich wurde so in etwa auch beantwortet.

Bitte immer das Original und Quelle anführen. Übersetzungen drücken es nicht immer so aus, wie es der Autor wollte. Zudem stellt der Ausschnitt die Seite unvollständig dar.

Aus der Ablehnung dieses einen Features, kannst du nicht eine generelle Regel ableiten. Alle Features die GrapheneOS gelistet hat gibt es nicht in AOSP. Und mal abgesehen von wenigen Dinge, wie ein paar geänderten Compilation-Flags, sind das alles Dinge, die zusätzlich und teilweise mit viel Aufwand, entwickelt werden mussten. Was glaubst du denn wie die entstehen? Auf den Bäumen wachsen die sicher nicht. GrapheneOS ist kein Projekt wie Arkenfox, bei dem nur ein paar Einstellungen geändert werden. Deine Aussage „Und GOS wird AOSP nichts hinzufügen nur härten.“, um die es ursprünglich ging, ist schlicht und ergreifend falsch. Es so darzustellen als würde alles was nicht in AOSP vorhanden ist, von GrapheneOS abgelehnt werden entspricht nicht der Realität.

1 „Gefällt mir“

Löst nicht das Problem einer feiner justierbaren Firewall, aber bald vielleicht dass Apps über andere Apps Daten leaken: „App Communication Scopes“

Quellen:
https://discuss.grapheneos.org/d/11814-google-play-in-main-profile/24
https://grapheneos.social/@GrapheneOS/111359936037411368

Tolles Features mit dem man Sandboxed Play Service auch sinnvoll im Hauptprofil laufen lassen könnte (bisher konnte man das zwar auch über Shelter ähnlich in einem Unterprofil zum Hauptprofil abbilden, aber das hier wäre natürlich noch komfortabler).

Du hast doch die Homepage als Referent genannt und selbst hier wird bestätigt das es nur Innovationen von bestehenden Funktionen sind, die meisten Veränderungen sind bezüglicher der Zugriffsrechte und erfasst somit ein weites Spektrum an zusätzlichen Funktionen.

Ändert nichts daran, das die Apps weiterhin jede Verbindung öffnen können egal wohin, ohne das man es verhindern kann.

Vorsicht mit diesem Argument!

Wenn du z.B. RethinkDNS nutzt, dann siehst du ganz genau, dass die Apps nicht über einen Umweg, sondern direkt von den Google-Servern heruntergeladen werden.

5 „Gefällt mir“

Hallo . (ein Regexp…und kein verkrachtes Smiley! :slight_smile: )

GrapheneOS war für mich der Grund mir dann doch ein Smartfon anzuschaffen und dem „Druck von der Straße“ (sprich: Banken etc. machen alles nur noch via diesen Teilen). Ich bin ein „gnadenloser Tracking-Hasser“ :wink: und genau das war der Grund, mir nie ein Smartphone anzuschaffen. GrapheneOS hat mir diese Entscheidung leichtgemacht.

Was ich mir noch von GOS wünsche, ist eine deutlich angehobenen Resistenz des Vanadium-Browsers gegenüber Fingerprinting. Das das ein Google-Browser ist, mag ich nicht, da durch die Vorherrschaft dieses Browsers eine Monopolstellung geschaffen wird, die schon damals zu „Browserkrieg-Zeiten“ vehement vermieden werden sollte.

Aber die Entwickler von GOS machen eine sehr gute Arbeit und scheinen sehr genau zu wissen, was sie tun.

Hut ab! :slight_smile:

By the way: Gibt es irgendwo einen „Konfigurationskatalog“, den man mal zu Sicherheit durchgehen könnte, um zu sehen, ob man noch irgendwo „ein Loch im Konzept“ hat? Konfig-Videos finde ich immer etwas hakelig zu folgen…und die Qualität empfinde ich als sehr schwankend.

Cheers!

2 „Gefällt mir“

Man benötigt Fingerprinting-Mitigations um Unterschiede zwischen den Geräten auszugleichen. Nur einfach gestrickte Fingerprinting-Skripts fallen auf Randomisierung oder andere Manipulationen herein, alle anderen werden die veränderten Werte einfach ignorieren. Wenn du gleichen Browser, Browser-Einstellungen (inklusive Sprachen und Zeitzone) , OS, Hardware usw hast, ist es kaum möglich diese zu unterscheiden, wodurch du alleine durch Fingerprinting auch nicht getrackt werden kannst. Wenn du Vanadium verwendest, siehst du gleich aus wie andere Vanadiumnutzer mit den gleichen Einstellungen und Geräte-Modell (OS ist ja sowieso gleich). Deshalb ist das bei Vanadium nicht wirklich notwendig und es ist auch ein Grund, warum es kaum Einstellungsmöglichkeiten bietet. Theoretische Ausnahme bilden sehr fortgeschrittene Fingerprinting-Methoden die feinste Produktionsunterschiede oder Kalibrations-Unterschiede zwischen Geräten des gleichen Gerätemodells ausnutzen und gegen die kann man nur Mitigations entwickeln, wenn sie öffentlich bekannt werden.

1 „Gefällt mir“

Das ist ein Fehler in der Logik.
Unter allen GOS/Vanadium-Benutzer mag ich nicht auffallen. Aber unter allen Smartphone/Android-Nutzern fällt die (vergleichsweise leider immer noch) kleine Clique von GOS/Vanadium-Nutzern doch auf.

Cheers!
mcc

PS:
Und wie gesagt: Aus „politisch/marktechnischen Gründen“ widerstrebt es mir, Chrome und Konsorten zu unterstützen. Das hat allerdings was mit Monopolismus und weniger mit Privacy/Sicherheit zu tun.

PPS: …und keineswegs bös/negativ gemeint: Du bist überall, Chief1945, nicht ? :slight_smile:

1 „Gefällt mir“

Nein, ist es nicht. Mit Fingerprinting wird das Feststellen des Browsers (Vanadium) inklusive major version (z.b. via feature fingerprinting) sowie OS (zumindest die OS-Gruppe, manchmal auch das konkrete OS, ist aber irrelevant da Vanadium sowieso nur unter GrapheneOS unterstützt ist) immer möglich sein. Das sind Dinge die du nie verheimlichen kannst und da helfen auch keine Fingerprinting-Mitigations. Also geht es nur darum ob du dich in dieser Subgruppe noch weiter abhebst.

Hi,

Hmmmm…

Aufgrund der IP kann man mich (ungefähr) orten. Zusammen mit der geringen Anzahl von GrapheneOS-Nutzern weltweit ist das schon fast ein Alleinstellungsmerkmal.

Wie weit gibt sich GrapheneOS via Browser als GrapheneOS und nicht als Android 14 bekannt?

Cheers!
mcc

Laut ipleak.net steht dort unter Platform „Linux armv81“. Getestet mit einem Pixel 7 mit GrapheneOS und Vanadium Browser.

Und unter tools.iplocation.net steht nur Android.

:wink: :slight_smile:
Da fragt nur mal eben eine kleine Frage…
Und was wagt da smithy7 zu antworten? Gleich zwei nützliche Tools bekommt
man aufgedrängt, die einem das Leben erleichtern.
Das geht so nicht!
Du bist zu hilfreich !!!
:wink: :slight_smile:
Siehe auch:
https://invidious.lunar.icu/watch?v=-Sabuea6byc
Ich LIEBE DAS!

Cheers!
mcc

2 „Gefällt mir“

Das Problem ist ja unabhängig von Browser Fingerprinting. Deshalb ein VPN von einem Anbieter mit guter Reputation oder Tor verwenden.

Aktiv mitteilen tut es das gar nicht, aber manchmal ist es trotzdem ermittelbar durch kleinste Unterschiede. Bei Vanadium ist es klar, dass du GrapheneOS benutzt, macht deshalb aber auch keinen großen Unterschied, da keine zusätzliche Information. Bei anderen Browsern ist es nicht durch einfache Fingerprinting-Methoden detektierbar, ob du GrapheneOS oder ein anderes Android 14 verwendest. Mit fortgeschrittenen aber ggf. schon. Denkbare Möglichkeiten wären Performance-Fingerprinting. Einfach ist es aber nicht. Und auch nicht super gängig, im Gegensatz zum Geräte-Modell.

Im Desktop-Bereich verraten das OS dagegen oft schon einfache Dinge wie verschiedene Fonts unter verschiedenen Linux Distros. Wenn du weitere dazu installiert hast, ist es noch schlimmer, da du dann herausstichst. Selbst manche Browser mit Fingerprinting-Mitigations im Font-Bereich schützen diese nur suboptimal.

Die lesen nur Headers/User Agent Strings aus. Aktives Fingerprinting findet dort gar nicht statt.

amiunique.org zeigt nicht mehr an. Kennst du eine Alternative?

Ich rate vom Verwenden von Testseiten ganz klar ab:

  • Man muss entsprechendes Wissen über Fingerprinting haben. Ansonsten ziehen die meisten Nutzer die falschen Schlüsse, was man in Foren zuhauf sieht.
  • Alle statistischen Werte sind gravierend verfälscht, da Besucher (hauptsächlich Privacy-Enthusiasten) in keiner Weise repräsentativ für richtige Welt und viel zu wenig (ein paar 100.000 Besucher über längeren Zeitraum vs Billionen von Browser-Nutzern täglich)
  • Sind oft weit davon entfernt was technisch möglich ist (vergleiche Research-Papers mit ein paar Testseiten). Nur weil keine dir bekannte Testseite etwas Fingerprinted, heißt es nicht, dass es nicht möglich ist oder von manchen sogar schon in der Praxis eingesetzt wird.

Solltest du es trotzdem wollen siehe: https://github.com/arkenfox/user.js/wiki/Appendix-B-Test-Sites-[Fingerprinting]

1 „Gefällt mir“