Ursprünglich veröffentlicht: https://www.kuketz-blog.de/lineageos-weder-sicher-noch-datenschutzfreundlich-custom-roms-teil4/
1. Auf dem Prüfstand In der Artikelserie »Custom-ROMs« möchte ich einige alternative Android-Systeme näher beleuchten. Der Schwerpunkt wird in der Analyse des Datensendeverhaltens liegen. Es wird geprüft, wohin die Custom-ROMs Verbindungen aufbauen und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Custom-ROM in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt. Im vorliegenden Beitrag wird LineageOS einer Analyse unterzogen. Das Custom-ROM wird wie folgt beworben: Your data, your rules. Along with monthly security updates to every supported device, we enhance existing privacy touchpoints around the OS…
Also das mit den googleapps kommt mir komisch vor, hieß es nicht ohne das GApps Paket ist LineageOS Googlefrei?
Und zu den nicht automatischen updates, ich weiß nicht ob das heute noch so ist, aber früher gabs jede Nacht eine neue Version, so oft braucht man doch das OS nicht updaten, sondern nur wenns wirklich was neues gab oder alle 14 Tage, keine Ahnung.
LineageOS ist doch direkt gerooted, oder? Dann würde ich mit SD-Maid dieses Captive-Portal-Check einfach einfrieren, dann sendet der nichts mehr.
Früher auf meinen alten Geräten hatte ich recht früh LineAgeOS drauf, es wurde mindestens eine oder zwei Android Versionen länger mit updates versorgt als vom Hersteller.
Ich war zu frieden.
Dass Android Verbindungen am VPN vorbeigeschleust ist doch bekannt und betrifft nicht nur LineageOS?
Wurde bei LineageOS bezüglich der Datenverbindungen kontaktiert und nachgefragt?
Ich denke wirklich jeder hier im Forum, weis inzwischen wie toll GrapheneOS ist.
Wer sich nicht alle 3 Jahre ein Google Gerät kauft, hat halt Pech. Der kann sich sein datenschutzfreundliches Setup selbst irgendwie zusammenbasteln… 
Als ich vor einigen Jahren den Kuketz-Blog entdeckt hatte, bin ich (mehr oder weniger) den Empfehlungen der Artikelserie Android ohne Google: Take back control! Teil1 gefolgt. Okay, seit 2019 scheint sich viel in Sachen Custom-ROM getan zu haben.
Ich vermute, Ende dieses Jahres werde ich mich nach > 5 Jahren FP2 (den Großteil davon mit LOS) nach was neuem umsehen. Diese neue Artikelserie wird mich auf jeden Fall bei meiner Wahl beeinflussen.
@ Mike: VIELEN DANK FÜR DIESE ARTIKELSERIE! 
Grundsätzlich habe ich Testergebnisse in dieser Richtung erwartet und hatte daher LineageOS für mich auch nicht in Betracht gezogen. Denn die alte Artikelserie
zeigte schon damals, wo man überall selber nachjustieren müsste.
Allerdings hat mich dennoch überrascht, wie wenig LOS konkret für eine datenschutzfreundliche Umsetzung unternimmt. Das Datensendeverhalten ist doch einiges üppiger als die damalige Serie es vermuten lassen würde. Da nützt der eine Pluspunkt die IMSI nicht an Google zu senden herzlich wenig.
Nein. Dafür sind weitere Schritte notwendig, die LineageOS allerdings nicht geht.
Nein. Es ist nicht automatisch gerootet.
Hast du den Beitrag überhaupt gänzlich gelesen?
Nein. Das betrifft auch andere ROMs bzw. Android generell. Wurde auch bereits im Artikel zu CalyxOS und iodéOS bemängelt.
Nein. Sie haben keine Infos dazu. iodéOS übrigens auch nicht. Lediglich CalyxOS (unvollständig) und GrapheneOS veröffentlichen Infos zum Datensendeverhalten.
Nein. In der Serie schneidet dazu bisher iodéOS am besten ab und das ist nicht ausschließlich für Google-Geräte verfügbar.
Nur sind die Unterschiede von iodeOS und LineageOS, für die Anwendung des Otto-Normalos dann nicht mehr so gravierend, sofern via adb der Captive-Portal-Check umgeleitet wurden.
Ganz generell:
Es ist dein Blog und auch dein Forum, es steht dir völlig frei welche Inhalte du teilen möchtest. In gewisser Weise wird durch die Inhalte auch die Zielgruppe angesprochen.
Klar, kann man nun sowohl aus sicherheitstechnischer Sicht, als auch aus datenschutztechnischer Sicht die höchsten Maßstäbe überhaupt anlegen.
Nur schrumpft dadurch die Zielgruppe von den vielleicht 5% Benutzern, die ein Custom-ROM auf ihrem Gerät nutzen, auf vielleicht 2% zusammen.
Als ich 2019 auf deinen Blog aufmerksam wurde, war für mich ein gänzlich anderer Ansatz zu erkennen. Hier war für mich die Devise möglichst viele Leute für das Thema Datenschutz und Sicherheit zu sensibilisieren ganz klar zu erkennen.
Niemand kann sich 100% von der Datensammelwut lösen, irgendwo kommt dann wieder ein Google Captcha, die Leute zahlen mit Paypal, die Leute nutzen GrapheneOS und Spotify.
Möglichst vielen Nutzern einen Weg zu Datenminimierung zu bieten fand ich einfach vom Ansatz besser.
Ich finde nicht, das sich der Blog von dem Ansatz möglichst vielen Nutzern einen Weg zur Datenminimierung zu bieten entfernt hat. Im Gegenteil.
Gerade weil hier jemand so tief in der Materie drin steckt erwarte ich die höchsten Maßstäbe. Ich selbst wäre ja nie dazu in der Lage. Aber wenn mir jemand so weitgehende Informationen bietet ist das doch nur von Vorteil.
Da hat sich doch nichts daran geändert, oder? Nach wie vor geht es darum, andere Menschen zu diesem Thema zu sensibilisieren. Dies geht meiner Ansicht nach am Besten mittels Informationen. Und diese wird umfänglich geliefert. Das kann man, wie @vax auch schreibt, von einem Experten in diesem Bereich erwarten. Mike schreibt ja allgemein zu der Testserie:
Der Schwerpunkt wird in der Analyse des Datensendeverhaltens liegen. Es wird geprüft, wohin die Custom-ROMs Verbindungen aufbauen und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Custom-ROM in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.
Es geht also um die Frage: Wie datenschutzfreundlich ist die getestete Custom Rom. In diesem Bezug schneidet Lineage OS schlecht ab. Im Fazit heißt es:
Wer tatsächlich auf Google verzichten möchte bzw. zeitnah Sicherheitsupdates für sein Gerät erhalten möchte, der sollte sich nach einem anderen Custom-ROM umschauen.
(Hervorhebungen durch mich)
Mit möchte wird ein Wunsch ausgedrückt. Man kann also den oben zitierten Satz auch anders formulieren: Wer den Wunsch hat auf Google zu verzichten bzw. den Wunsch hat zeitnah Sicherheitsupdates für sein Gerät zu erhalten, der sollte sich nach einem anderen Custom-ROM umschauen.
Damit ist nicht gemeint, dass man Lineage OS meiden muss. Es ist jedoch das falsche, wenn man auf Sicherheit und Datenschutz Wert legt. Und in welchem Umfang muss jeder für sich selbst entscheiden.
Wer weiterhin Lineage OS nutzen will, kann dies tun.
Was ist denn für dich die Definition von Otto-Normalos? Denn für mich sind Otto-Normalos jene, die sich über Datenschutz und Sicherheit so gut wie keine Gedanken machen. An diese Zielgruppe richtet sich weder der Blog, noch das Forum. Die Zielgruppe sind klar jene, die sich mit den Themen Datenschutz und Sicherheit auseinandersetzen wollen.
Lineage OS ist sicherlich - reine Vermutung - auch deswegen verbreitet, weil es Support für viele ältere Geräte gibt. Diese kommen dadurch in den Genuss neuerer Funktionen. Aber nicht jeder, der Custom-Roms nutzt, legt Wert auf Datenschutz und Sicherheit. Ich habe damals Google fast vergöttert, da ich die Einfachheit entzückend fand. Mit den Jahren hat sich das aber deutlich geändert.
Wie gravierend die Unterschiede sind, muss jeder für sich selbst entscheiden. Von der reinen Nutzung macht sich da möglicherweise nicht viel. Vom Datensendeverhalten hingegen schon.
In Summe kann ich deiner Sichtweise, dass sich der Blog von dem Ziel andere Menschen zu diesem Thema zu sensibilisieren abgewichen ist, nicht zustimmen.
Also das mit den googleapps kommt mir komisch vor, hieß es nicht ohne das GApps Paket ist LineageOS Googlefrei?
Ohne GApps laufen auf dem Handy keine proprietären Google Apps mehr, dennoch aber ist Android von Google gemacht und nutzt deswegen standardmäßig auch Googles Infrastruktur (DNS, Captive Portal, etc.).
Wo wir schon beim Thema sind, fände ich einen Datenschutz-fokussierten tieferen Blick in die angekreideten Sachen (exklusive DNS, da ist ja der Datenschutz-relevante Teil relativ klar) mal sehr interessant. Bei sämtlichen Artikeln die ich bisher gesehen habe wird immer sofort aufgeschrien wenn auch nur eine Anfrage an einen Google-Server geschickt wird, aber (soweit ich mit meinem Halbwissen zu beurteilen mag) kommt zumindest beim Captive-Portal für den Serverbetreiber nur die IP-Adresse an. Die ist natürlich in gewisser Hinsicht auch teilweise identifizierend(?), dennoch kann ich mir nicht vorstellen was Google im speziellen mit dem Wissen „IP-Adresse soundso existiert“ ohne Kontext anfangen würde, zudem jeder andere Server den man dort einträgt genau die gleichen Informationen bekommt und damit ein ähnliches Datenschutz-Risiko darstellt.
Und zu den nicht automatischen updates, ich weiß nicht ob das heute noch so ist, aber früher gabs jede Nacht eine neue Version, so oft braucht man doch das OS nicht updaten, sondern nur wenns wirklich was neues gab oder alle 14 Tage, keine Ahnung.
Inzwischen jede Woche, aber das Konzept ist noch das gleiche. Kann ja auch mal passieren dass ein Update wider erwarten kaputt ist (oder irgendeine andere Software kaputt macht), Leute dann zu zwingen das Update zu installieren und danach nicht downgraden zu lassen ist kritisch.
LineageOS ist doch direkt gerooted, oder? Dann würde ich mit SD-Maid dieses Captive-Portal-Check einfach einfrieren, dann sendet der nichts mehr.
LineageOS ist aus Sicherheitsgründen nicht mehr standardmäßig gerootet (bzw. war es soweit ich mich erinnere unter dem Namen LineageOS noch nie), aber der Captive-Portal-Check ist sowieso keine eigene App, sondern lässt sich bei Bedarf ohne root über ein Terminal (z.B. über ADB oder einen Terminal Emulator) einstellen.
Erfreulicherweise diffundieren doch ab und zu Otto-Normalos über diese Grenze und werden zu jenen, die sich mit den Themen Datenschutz und Sicherheit auseinandersetzen wollen.
Das würden wir (letztgenannten) uns doch weitgehend vermehrt wünschen!
Google registriert uns mit einer 16-stelligen ID, sobald es ein erstes Datum erhält und ordnet dem alles zu, was es dazu findet – egal wann und egal wo. Auch „nur“ eine IP zu einem Zeitpunkt an einem Ort Webadresse, sind schon drei Daten, die die Registrierung bereichern.
Nö: nur, wer diese Information weiter verarbeitet.
Wenn man den Server „kennt“ und „weiß“ daß der das nicht tut, ist man fein raus …
Das sehe ich auch so.
Aber das lässt sowieso sich nur abfangen, wenn man von dem (voraussichtlichen) Schaden vorher weiß, oder im beschädigten Zustand aufs Recovery zurück kann …
Google registriert uns mit einer 16-stelligen ID, sobald es ein erstes Datum erhält und ordnet dem alles zu, was es dazu findet – egal wann und egal wo. Auch „nur“ eine IP zu einem Zeitpunkt an einem Ort, sind schon drei Daten, die die Registrierung bereichern.
Das ist leicht in den Raum zu stellen, aber wenn ich ein bisschen drüber nachdenke klingt es für mich eher nach etwas was sich jemand mal spontan aus den Fingern gesogen hat.
Das Captive Portal hat keine Cookies und keinen tatsächlichen User-Agent, ein Standort kann hier allenfalls durch GeoIP ermittelt werden. Das einzige was tatsächlich (wieder, soweit ich das sehe) an Nutzerdaten dabei ist ist die IP-Adresse. Daran kann Google gerne alle möglichen Informationen festmachen, aber sobald ich nicht mehr diese IP-Adresse nutze ist sowieso alles futsch, und wenn ich irgendeine andere Verbindung zu Google öffne sind dort die gleichen Informationen auch nochmal enthalten (zusätzlich zu anderen Informationen die dann ggf. speichernswert wären oder einen Nutzer genauer identifizieren). Carrier-Grade NAT und andere Sachen machen das ganze dann nochmal „wertloser“.
Bei A-GPS ist das dann natürlich schon eine andere Sache, da dort auch eine Mobilfunk-basierte ungefähre Position enthalten ist. Hier wäre ich dann wie gesagt auf eine genauere Analyse gespannt.
Nö: nur, wer diese Information weiter verarbeitet. Wenn man den Server „kennt“ und „weiß“ daß der das nicht tut, ist man fein raus …
Gut, aber wen „kenne“ ich gut genug um das umzusetzen ohne Bedenken haben zu müssen? GrapheneOS „kenne“ ich gut genug dass ich mich für das genaue Gegenteil entscheide. LineageOS würde ich prinzipiell trauen, aber da erzählt mir dann mein Handy wahrscheinlich öfter als mir lieb ist dass ich kein Internet hätte, wenn ich es selber hoste wahrscheinlich sogar für mehrere Stunden am Tag. Da ich mir beim besten Willen nicht vorstellen kann was Google da für wertvolle Informationen bekommt die es nicht sowieso schon von mir hat, nehme ich halt den Großkonzern mit perfekter Uptime.
Das sehe ich auch so. Aber das lässt sowieso sich nur abfangen, wenn man von dem (voraussichtlichen) Schaden vorher weiß, oder im beschädigten Zustand aufs Recovery zurück kann …
Voraussagen ist tatsächlich ein bisschen schwierig, deswegen mache ich Updates immer nur wenn ich in der nähe eines Computers bin, damit ich im Notfall alles wieder reparieren kann. Wenn ich gezwungen werde die Updates zu installieren dann fällt das weg.
Gemeint war nicht der geografische Ort, sondern die Webadresse,
Ich passe das an …
Cookies sind nur etwas, was auf dem User-Rechner gespeichert wird.
Die „drei Daten“ werden ja ggf. seitens des Servers gespeichert.
Ich wollte nur darstellen, daß Google jedes Auftreten von einem bereits verifizierten Teil eines Datensatzes auswertet und dem Datensatz hinzugefügt.
Mike hat ja eben eigens dafür extra einen Server eingerichtet, der nichts anderes tut. Wenn Du Mike Kuketz in dieser Hinsicht nicht traust, ist Dein Besuch hier irgendwie fragwürdig.
Deswegen hatte ich Dir zugestimmt und bin gegen vollautomatische Updates, wenn sie nicht reversibel wären und installiere sie auch (beim Smartphone) lieber manuell. Es gibt auch andere Gerätschaften, wo ich automatische (geräuschlose) Updates bevorzuge.
Bei Windows habe ich immer erst 14 Tage die Foren beobachtet …
Ich verwende ein unofficial LOS und hab mir mal die Standorteinstellungen noch mal angeschaut. Ich habe Location deaktiviert und außerdem tauchen bei Location services nur WiFi scanning (Off) und Bluetooth scanning (Off). Weitere Dienste gibt es in der Übersicht nicht, auch MicroG ist nicht vorhanden.
Vermute ich richtig, dass sich in Mikes LOS-Analyse der Punkt 4.5 (GPS-)Standort für mich damit erledigt hat?
Danke für den kritischen Artikel. Sehr guter Journalismus.
Danke auch für den Vergleich wie schwierig es ist eine alternative Firmware zu flashen.
Super Job!
[MOD]: Fehlgeleitet: @kuketzblog
Es ist wirklich haarsträubend, was hier geschrieben wird…
- Wer nicht in der Lage ist, anhand der gegebenen Anleitung die Installation zu bewältigen, sollte auf Stock bleiben.
- Müssen die Entwickler wirklich ein Tool bereitstellen, um eine ZIP zu flashen??
- Hier werden Äpfel mit Birnen verglichen! LineageOS ist eine klassische Custom ROM, die /boot (/recovery), /system und /vendor überschreibt. Die anderen genannten sind komplette Firmwares und besitzen einen eigenen Bootloader. Passiert hierbei ein Fehler, ist das Gerät tot! Natürlich gibt es dazu ein Flashtool und bei LineageOS nicht. Diese Tools sind der doch der Grund, warum es schon Batchscripts für den Befehl „fastboot devices“ gibt. Kein Scherz!
Dieser Pfad existiert nicht!
/vendor/etc/gnss/gps.xml
Das ist der Pfad.
[Sarkasmus]
Echt jetzt?? Es gab 3 Tage nach Veröffentlichung des Quelltextes noch kein Update mit diesem Patch? Skandal!!! Steinigen sollte man solche Leute!
Wie war das? Es werden 200 Modelle aktiv supportet? Was machen denn die freiwilligen Entwickler bei LineageOS überhaupt? Die sitzen doch den ganzen Tag bloß faul rum für ihr nicht gezahltes Geld!! 3 Tage! Überleg mal, da bist du doch schon 10x angegriffen worden, weil überhaupt keine Lücken gepatcht werden. Nie wieder LineageOS! Ich sage es dir, NIE WIEDER! Die von GrapheneOS bekommen das viel besser alles hin. Dabei haben nur 9 Modelle und alles Pixel. Wahnsinn! Da kann sich LineageOS aber ne richtig dicke Scheibe von abschneiden. [/Sarkasmus]
Jetzt mal im Ernst: Wie kann man denn so einen Quatsch schreiben?
[MOD]: Letzten Absatz, vorbehaltlich Überarbeitung per PN, entfernt.
Diverse Formatierungen korrigiert.
oha, da ist jemand angesäuert…
Ich finde gerade bei technisch komplexen Themen, die manchmal auch einer Abwägung bedürfen, Kritik wichtig und hilfreich um sich ein differenziertes Bild machen zu können.
Aber diese Aussage ist doch absolut sachlich und wertfrei
Und klar die Entwickler müssen kein Tool bereitstellen, das ist ja lediglich eine Information und kein Urteil (zumindest in meinen Augen). Als versierter Flasher schätze ich es z.B. bei GOS einfach eine Plug&Play Lösung zu haben → das ist dann mein Urteil dazu, ob das wichtig ist oder nicht.
Für mich war diese Information hilfreich, da ich der Annahme war, dass die Updates immer gleich die neuen Sicherheitspatches einspielen - war halt unreflektiert von mir ^^
Könntest du das näher ausführen, dann könnten wir zusätzlich zu Mikes Ansicht deine in unsere eigene Abwägung mit einbeziehen und jeder sich eine differenzierte Meinung bilden.
Wäre es nicht fair, wenn weniger technisch versierte Menschen ebenfalls eine Chance auf datenschutzfreundlichere Lösungen haben? Ist es nicht sogar sehr wünschenswert, wenn so viele Menschen wie möglich so datenschutzfreundlich wie möglich unterwegs wären? Würde dies nicht die gesamte Gemeinschaft, der Datenschutz wichtig ist, voran bringen und möglicherweise Stück für Stück näher an das Ziel bringen, dass sich generell die Datenschutzprobleme bessern? Wäre es daher nicht gut, wenn sich technisch nicht versierte Menschen vielleicht sogar einfach ein Smartphone mit einem fertig vorinstalliertem möglichst datenschutzfreundlichen Custom-ROM kaufen könnten?
Jede Custom-ROM hat sicherlich etwas andere Ziele und somit auch Zielgruppen. Möglicherweise ist LOS nicht für technisch unversierte Menschen geeignet. Aber dennoch sollten und haben sie durchaus Alternativen zu „Stock“.
Ich hab schon oft beobachtet, dass Leute reflexartig (also unreflektiert) Schnappatmung kriegen, wenn nicht innerhalb kürzester Zeit die Updates installiert werden. Das ist aber auch kein Wunder, denn seit Jahren werden wir mit dem Mantra „sofort updaten!“ gehirngewäscht.
Ich mache einmal im Monat ein LOS-Update, und zwar immer in der zweiten Monatshälfte. Da ist der AOSP Security Update des Monats dann drin. Ist für mich ok.