Korrekte Nutzung von Aurora Store für Play-Store-Apps

Software
1

Hallo,
ich habe mir vor einer Weile den Aurora Store geholt, um den Play-Store nicht mehr nutzen zu müssen. Ich habe es gestern auch geschafft Apps über den anonymen Account zu updaten (zum Glück), Signal hätte sonst bei mir den Dienst eingestellt. Aber für die Zukunft würde ich gerne etwas geordneter vorgehen und habe dazu ein paar Fragen (habe ein Stock-Android ohne Root aber mit RethinkDNS):

  1. Ich hatte mal gelesen, dass der anonyme Account Sicherheitsrisiken birgt, ist das schon wieder überholt, sodass die Nutzung empfohlen wird? Bei GrapheneOS: Aurora-Store oder Sandbox-Variante bei Apps aus dem Google-Play-Store? wurde das diskutiert, aber das gilt auch für mein Stock-Android, oder?

  2. Aurora hat bei mir nur funktioniert, wenn ich eine Reihe von Domains zulasse und außerdem Firewall+DNS-Regeln in RethinkDNS umgangen werden dürfen. Ich habe mich dabei hier orientiert: Aurora Store - welche Daten erhält Google? Download nur noch mit folgender Installation möglich?. Weiß jemand, ob man den Datenabfluss noch minimieren kann, sodass Aurora weiter läuft? Funktionieren dann Hintergrunduptdates noch?
    Wenn jemand Lust hat, dann wäre ich dabei zusammen einen Eintrag unter „Android-Firewall“ dazu zu schreiben :smile:

  3. Gibt es andere Einstellungen in Aurora, die ich vornehmen oder verändern sollte? Bringt es mir etwas, wenn die APK-Dateien abgespeichert werden?

  4. Kann ich die Google Play-Dienste eigentlich deaktivieren oder werden die noch für irgendetwas gebraucht? Falls die noch gebraucht werden, wisst ihr wozu?

  5. In meinen Einstellungen gibt es unter „Telefoninfo/Softwareinformationen“ verschiedene Felder, auch das „Google Play-Systemupdate“. Wenn man nicht gerade über eine Firewall die Verbindung zu Google gekappt hat, dann kann man darauf klicken und ein Update durchführen lassen. Weiß jemand wofür das gut ist und ob ich das noch brauche, wenn ich den Play-Store gar nicht mehr direkt nutzen möchte?

  6. Gerelle Frage zu Updates von Apps: Ist es überhaupt nötig/sinnvoll auch Apps upzudaten, die man nie nutzt? Ich habe eine ganze Reihe davon auf meinem Gerät aus Gründen wie „konnte Bloatware nicht löschen“ über „habe ich genutzt und wollte es nicht löschen“ hin zu „will ich nutzen, habe Einrichtung noch nicht vorgenommen“. Sollte ich die nun updaten oder nicht? Unter Google Apps updaten? gibt es eine kleine Diskussion, die bezieht sich aber nur auf Google-Apps. Was für Vor- und auch Nachteile kann ich denn haben, wenn ich Apps nicht update - bezogen auf Datenschutz und Sicherheit?

2

Nein, das ist nicht überholt. Meiner Ansicht aber nicht so tragisch. Ich nutze lieber den pseudonymen Account als meinen eigenen Account, bei dem ich zumindest ein paar Daten lassen muss (weil man hierzulande keine hundertprozentigen Wegwerfaccount erstellen kann).

Das ist sehr sinnvoll. Vor allem, wenn dein Gerät sogar kein Hersteller-Support mehr hat: https://source.android.com/docs/core/ota/modular-system?hl=de

Ja, weil Apps (die Daten abschnorcheln und nach Hause telefonieren) dennoch Sicherheitslücken haben können und manchmal dennoch Daten durch RethinkDNS oder vergleichbare Lösungen kommen.

Wenn du sicher bist, dass dies wirklich Bloatware ist, würde ich per ADB-Debugging den ganzen Schlunz uninstallieren (vorher alle Aktualisierungen deinstallieren; der Kram braucht dann auch nicht mehr aktualisiert werden).

3

Wie schon in einem anderen Beitrag hier im Forum erwähne ich folgendes noch einmal:

https://www.kuketz-forum.de/t/grapheneos-und-gekaufte-apps-aus-dem-playstore/8641/9

4

Für eine ganze Reihe von Dingen: genauere Standortdaten, Push-Nachrichten, Fido2/Passkeys, …

Du solltest dir darüber im Klaren sein, dass jede App sehen kann, welche Apps in demselben Profil installiert sind, auch andere Apps von Google oder Apps mit Google-Code. Unter diesem Gesichtspunkt ist der Vorteil von Aurora Store gegenüber dem Play Store fraglich, solange sich noch Apps wie privilegierte Play Services auf dem Gerät befinden.

Solltest du aktiv lassen, da ein Teil der Systemupdates darüber läuft.

Wenn du das nötige Kleingeld für ein Google Pixel hast und ein wenig Geduld für Umzug und Einrichtung würde ich empfehlen auf ein Google Pixel mit GrapheneOS zu wechseln. Ein Stock-OS wird man nie so datenschutzfreundlich bekommen, zudem bauen die Smartphone-Hersteller ihre eigenen privacy-invasiven, teils privilegierten, Apps ein.

5

Danke für die Antworten!
Also ich habe beschlossen, dass ich einfach den anonymen Aurora-Account, das hat gut funktioniert. Nachdem ich eine Weile lang vergeblich versucht habe einen Google-Wegwerfaccount zu erstellen, wahrscheinlich waren die Daten zu unrealistisch. Kennt jemand eine Anleitung welche Eingaben man machen muss, damit das vom Anbieter noch akzeptiert wird?
Aber auch die anderen Punkte waren sehr aufschlussreich, wobei ich dazu auch wieder Fragen habe:
@DwainZwerg

Ja, mein Hersteller-Support ist leider ausgelaufen. Aber weiß jemand welche Domains/Verbindungen ich erlauben muss, damit das „Google Play-Systemupdate“ heruntergeladen wird ohne das allzuviel Daten an Google abfließen?

Sind solche Probleme bekannt, wo Daten an RethinkDNS vorbeikommen? Liegt das an Software-Fehlern oder kann das auch passieren wenn die Programme root-Berechtigung haben?
Das führt mich direkt zu dem ADB-Debugging. Kann ich das auch ohne root-Zugriff nutzen? Und wie finde ich heraus welcher Teil wirklich Bloatware ist, kennt ihr dafür Listen?
@Chief1945 Stimmt, ich hatte die Google Play-Dienste mal kurz deaktiviert und dann direkt Probleme mit den Push-Nachrichten. Gibt es denn eine Option den Play Services Privilegien und Rechte wegzunehmen und trotzdem die Funktionen nutzen zu können?
Und ja, ich weiß man mit Stock-Android auf Dauer nicht viel gewinnen kann. Ich könnte mir schon ein neues Telefon leisten, aber aus Gründen der Nachhaltigkeit+Bequemlichkeit versuche ich es noch weiter zu verwenden, zumal es prima funktioniert. Aber beim nächsten Hardwarewechsel werde ich mir gleich versuchen was vernünftiges zu besorgen, bis dahin lerne ich wenigstens eine Menge über IT.

6

Wann war denn das letzte Hersteller-Update? Auf welcher Version ist die WebView-App?

Welches Smartphone hast du denn? Best practice wäre dir jetzt ein Neues zu kaufen. Allerhöchsten ein Jahr nach letztem OS-Update würde ich überziehen. Die Auswahl für gute Smartphones ist gering, also fällt schon mal die lästige Auswählerei weg: Google Pixel ab der 8ten Generation.

Generell ja, aber es kommt darauf an was du machen willst. Manche Aktionen benötigen root.

Bevor du dich jetzt mit ADB, RethinkDNS und anderen Notlösungen abmühst, Zeit rein steckst und doch nur zu einem suboptimalen Ergebnis kommst, wäre es besser auf ein neues Smartphone umzusteigen mit GrapheneOS.

7

Sowohl als auch.

Ja kannst du (hier kurz eine Anleitung, aber das Forum ist manchmal auch hilfreich😉):

  1. Gehe in deine Einstellungen
  2. Klicke auf „Über das Telefon“
  3. Drücke 7× auf „Build-Nummer“
  4. Gehe wieder in das normale Hauptmenü der Einstellungen zurück
  5. Klicke auf „System“
  6. Klicke auf „Entwickleroptionen“
  7. Umschalter bei „USB-Debugging“ umlegen
  8. Umschalter bei „Zeitlimit für ADB-Autorisierung deaktivieren“ umlegen
  9. Wenn du das Debloating über WLAN statt über USB-C-Kabel durchführen möchtest, lege den Umschalter bei „Debugging über WLAN“ um.
  10. Starte deinen Windows/MacOS/Linus-PC (wenn du keinen PC hast, geht das auch über das Android-Smartphone; das ist aber deutlich umständlicher)
  11. Lade dir die platform-tools runter; dafür musst du den Bedingungen von Google zustimmen (Direktlink für Windows).
  12. Schließe dein Smartphone per USB-C-Kabel. Wenn du dein Smartphone per WLAn-Deubugging debloaten möchtest, klicke auf deinem Smartphone auf der linken Seite auf den Punkt „WLAN-Dubugging“. Dort kannst du nun „Gerät über einen Kopplungscode koppeln“ auswählen.
  13. Anleitung folgt weiter auschließlich für Windows (bei anderen OS weiß ich es nicht genau): Starte die Eingabeaufforderung oder PowerShell.
  14. Gebe in der Eingabeaufforderung „cd c:<Dateipfad zu den platform-tools>“ an.
  15. Gebe „adb devices“ ein. Es sollte eine Rückmeldung des Devices geben. Wenn nicht, ist irgendetwas mit den Treibern nicht in Ordnung.
  16. Gebe nun „adb uninstall “ ein. Listen findest du zu genüge, wenn du „Debloatliste“ eingibst.

Alternativ kannst du die Freeware mit in App Debloatlistenkäufen ADB AppControl oder die OpenSource-Software Universal Android Debloater Next Generation verwenden. Bei beiden musst die nur noch Klickibunti bedienen.

PS: Gibt es nicht vielleicht schon ein Custom-Rom für dein Device? Empfehlenswert wären in absteigender Reihenfolge AXP OS Slim, AXP OS Pro (die stehen deshalb so weit oben, weil beide den DivestOS-Patcher haben), GrapheneOS, CalyxOS, iodéOS, /e/OS und alle anderen Custom-Roms, die den Bootloader relocken können (das ist aber deutlich schlechter als die letztgenannten), iodéGSI (generelles Systemimage; können alle Geräte die vom Hersteller noch Android 8.1 bekommen haben)), alle anderen Custom-Roms (du kannst offizielle und inoffizielle Custom-Roms auch auf XDA finden).

8

Ja, die sind für praktisch alle Androids bekannt. Du solltest Dir im klaren sein, dass Rethink-DNS nur die Daten sichtbar machen und blockieren kann, die durch das VPN gehen. Die Betriebssystemhersteller leiten ein paar grundlegende Verbindungen jedoch absichtlich am VPN vorbei, mit der Begründung, dass diese so essentiell sind, dass sie auch funktionieren müssen, wenn das VPN Verbindungsprobleme hat. Das wurde fürs iPhone beobachtet und Mike Kuketz hat es auch für die meisten Custom ROMS beobachtet, die er vor ca. einem Jahr getestet hatte. Selbst GrapheneOS hatte dieses „Feature“ ursprünglich. Aus dem Playstore oder Aurora installierte Apps sollten nicht am VPN vorbeikommen, auf Stock ROMs könnte es aber vorinstallierte Anwenderapps mit Systemberechtigungen geben, für die das nicht auszuschließen ist. Hier ein Link zum ersten Test, bei dem das beobachtet wurde (GrapheneOS stellte dies daraufhin ab, bevor es selbst dran war):
https://www.kuketz-blog.de/calyxos-de-googled-geht-anders-custom-roms-teil2/

Bei Android gehen die sog. Closed Portal Verbindungschecks am VPN vorbei. Dabei wird ein Server angepingt, um zu prüfen ob eine Internetverbindung möglich ist. Als Default ist bei Android fast immer Google eingestellt. Ich habe dieser Verbindung am VPN vorbei auch an einem Samsung Stock ROM beobachtet.
Die Lösung ist, für diese Verbindung einen datenschutzfreundlichen Server einzustellen. Das sollte bei jedem Android möglich sein, entweder mit der App Captive Portal Controller oder mit adb Befehlen. Mike Kuketz bietet selbst einen solchen Server an (siehe Link).

Im übrigen wollte ich noch auf diese Artikelserie hinweisen, in der des Debloaten, Entgoogeln eines Stock Android und Kontrolle des Datenverkehrs mittels Rethink-DNS beschrieben wird:
https://gnulinux.ch/datensparsames-android-mit-der-android-debug-bridge-teil1-samsung-phablet

Einige weitere Fragen sollten dort beantwortet werden. Das ganze ist aber ein mühsames Geschäft. Ich schließe mich daher den Empfehlungen der Community hier an und empfehle als Ideallösung ein Handy, auf dem sich ein Custom-ROM installieren lässt.

Noch ein Kommentar zu den Googlediensten. Dabei handelt es sich um diese (System-) Apps

com.google.android.googlequicksearchbox: Google App & Suchleiste
com.google.android.gms: Google Play Dienste
com.android.vending: Play Store
com.google.android.gsf: Google Service Foundation

Solange die ersten drei davon aktiv sind, wird jede Nutzung des Androidgerätes von Google protokolliert (Zeitstempel, zugeordnetes Googlekonto, installierte Apps, etc.). Durch Deaktivieren, Deinstallieren kann das gestoppt werden, dann funktionieren die anderen Googledienste aber nicht mehr (z.B. Translate, Auto, Pay). Einige andere Apps aus dem Playstore benötigen für bestimmte Funktionen (z.B. Maps) auch die Googledienste, die meisten kommen aber ganz gut ohne aus. Aus F-Droid installierte Apps benötigen die Googledienste generell nicht.

9

Es gibt keinen Grund hier Gänsefüßchen zu verwenden, denn es ist tatsächlich ein Feature und kein VPN-Leak. GrapheneOS hat das Feature immer noch, verwendet aber standardmäßig deren eigene Server für die Verbindungschecks. Wenn man es ausstellt müsste man das VPN ausschalten, damit das OS erkennt über welches Netzwerk gerade eine Internetverbindung besteht, was Daten von allen Apps leaken würde und deshalb in den meisten Fällen wohl keine gute Option wäre. Optional lässt es sich auch ausstellen, wenn man das trotzdem will. In https://www.kuketz-blog.de/grapheneos-der-goldstandard-unter-den-android-roms-custom-roms-teil7/ Kapitel 4.2. lässt sich nachlesen warum das Feature durchaus Sinn macht.

10

Nur mal so nebenbei: Etwas Ähnliches gibt es auch bei iodé. Nur dass sie da kuketz Captive-Portal nutzen (und auch dort ist es ausstellbar).