howto:android:geraetesicherheit
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
howto:android:geraetesicherheit [2020/10/09 00:49] – angelegt yadda | howto:android:geraetesicherheit [2022/03/15 22:13] – [Bootloader-Entsperrung und verifizierter Boot] bessere formulierung yadda | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Betriebssystem und Gerät für ein google-freies Android auswählen ====== | ====== Betriebssystem und Gerät für ein google-freies Android auswählen ====== | ||
- | Diese Seite sammelt einige Überlegungen zu Sicherheit und Nutzbarkeit bei der Auswahl des passenden Gerätes für ein google-freies Android-Smartphone. | + | Diese Seite sammelt einige Überlegungen zu Sicherheit und Nutzbarkeit bei der Auswahl des passenden Gerätes für ein google-freies Android-Smartphone |
- | ===== Alternative Android-Betriebssysteme | + | ===== Hintergrund-Infos ===== |
- | Das //Android | + | ==== Alternative |
- | ===== Sicherheitsupdates für Android | + | Das //Android Open Source Project// (AOSP) ist ein freies und quelloffenes Betriebssystem. Zwar wird es maßgeblich von Google entwickelt, der Quellcode steht allerdings allen Menschen zur Inspektion und Veränderung bereit. Die meisten Smartphone-Hersteller vertreiben auf ihren Geräte leicht modifizierte Androids, auf denen in der Regel die Standard-Apps von Google oder je nach Hersteller auch andere Apps vorinstalliert sind (z.B. haben Samsung-Geräte einen eigenen App-Store vorinstalliert) |
+ | |||
+ | Prinzipiell steht es allen offen, eigene Änderungen beizusteuern oder eine eigene, modifizierte Version von Android zu veröffentlichen. Über die Zeit sind einige Projekte und Communities entstanden, die sich die Entwicklung und Wartung Google-freier Android-Betriebssysteme ("// | ||
+ | |||
+ | |||
+ | ==== Sicherheitsupdates für Android ==== | ||
Wie bei jeder anderen Software können auch beim Android-Betriebssystem Sicherheitslücken entdeckt werden. In der Regel werden sie bei Bekanntwerden so schnell wie möglich durch die Entwickler: | Wie bei jeder anderen Software können auch beim Android-Betriebssystem Sicherheitslücken entdeckt werden. In der Regel werden sie bei Bekanntwerden so schnell wie möglich durch die Entwickler: | ||
- | Viele Smartphone-Hersteller | + | Da viele Smartphone-Hersteller |
- | Für die verschiedenen Android-Versionen gibt es dabei unterschiedliche Support-Zeiträume. Während die neueste Version, Android 11 (Stand 2020) sicher noch einige Jahre mit Sicherheitsupdates versorgen werden wird, hat Google z.B. den Support für Android 7 Ende 2019 eingestellt. | + | Für die verschiedenen Android-Versionen gibt es dabei unterschiedliche Support-Zeiträume. Während die neueste Version, Android 11 (Stand 2020) sicher noch einige Jahre mit Sicherheitsupdates versorgen werden wird, hat Google z.B. den Support für Android 7 Ende 2019 eingestellt. Auf https:// |
- | Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch //Custom ROMs//, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom ROMs ist Vorsicht geboten: Zwar können deren Entwickler: | + | Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch //Custom-ROMs//, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom-ROMs ist Vorsicht geboten: Zwar können deren Entwickler: |
- | ===== Sicherheitsupdates für Firmware | + | ==== Sicherheitsupdates für Firmware ==== |
- | Neben den Updates für das Android-Betriebssystem spielt | + | Neben den Updates für das Android-Betriebssystem spielt die // |
- | Diese Firmware ist in der Regel aber nicht quelloffenen, weswegen | + | Diese Firmware ist in der Regel aber nicht quelloffen, deswegen kann hier //nur// der Hersteller der jeweiligen Hardware Updates für Sicherheitslücken schreiben und zur Verfügung stellen. Über den offiziellen Support-Zeitraum hinaus stellen die meisten Hersteller keine Sicherheitsupdates bereit, und selbst da, wo es offiziell Support |
- | Dadurch wird veraltete Firmware zu einer sehr großen Schwachstelle in der Sicherheit von Android-Geräten: | + | Dadurch wird veraltete Firmware zu einer sehr großen Schwachstelle in der Sicherheit von Android-Geräten: |
- | ===== microG | + | <note tip> |
- | Eine google-freie //Custom ROM// zu installieren hat viele Vorteile, geht aber auch mit dem Verlust von Funktionalität einher. | + | ==== microG und " |
- | Wer Funktionen | + | Manche praktische |
- | ===== Empfohlene Custom-ROMs ===== | + | Eine Alternative zu den Google-Play-Services ist // |
+ | |||
+ | Die Sicherheit von microG ist ein Streitthema unter Android-Entwickler: | ||
+ | |||
+ | <note tip>Um die [[https:// | ||
+ | |||
+ | ==== Bootloader-Entsperrung und verifizierter Boot ==== | ||
+ | |||
+ | Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Bei moderneren Smartphones hat der Bootloader zusätzlich die Aufgabe, das für den Start vorgesehene Betriebssystem auf seine Integrietät und Echtheit zu überprüfen. Für diese Prüfung ist das Betriebssystem bereits bei der Auslieferung vom Hersteller mit einer kryptografischen Signatur gekennzeichnet, | ||
+ | |||
+ | Um auf einem Gerät eine Custom-ROM zu installieren, | ||
+ | |||
+ | Das Entsperren des Bootloaders hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: | ||
+ | |||
+ | Bei manchen Geräten ist es möglich, den Bootloader nach Installation der Custom-ROM wieder zu sperren. Der verifizierte Boot als Sicherheitsfeature des ausgelieferten Betriebssystems geht dabei meistens dennoch verloren. Nur wenige Geräte unterstützen sowohl das Sperren des Bootloaders als auch die Wiederherstellung des verifizierten Bootvorgangs mit einem alternativen Betriebssystem. | ||
+ | |||
+ | Dabei wird | ||
+ | |||
+ | - das neu installierte Betriebssystem mit einer digitalen Signatur versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers | ||
+ | - der Bootloader konfiguriert, | ||
+ | - im letzten Schritt der Bootloader wieder gesperrt | ||
+ | |||
+ | Es gibt eine [[https:// | ||
+ | |||
+ | ==== Hardware-basierte Limitierung von PIN-Eingaben ==== | ||
+ | |||
+ | Insbesondere Smartphones stehen vor dem Problem, dass wirklich sichere Passwörter für einen Touch-Display in der Regel zu lang wären und sich nicht leicht merken lassen. Jemand mit unbefugtem Zugriff auf das Gerät ist allerdings nicht auf das unhandliche Touch-Display und eine Limitierung von PIN-Eingaben durch das Display beschränkt, | ||
+ | |||
+ | Aus diesem Grund sind mittlerweile viele Smartphones mit einem Hardware-Chip ausgestattet, | ||
+ | |||
+ | Grundsätzlich sind Smartphones, | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | ===== Empfohlene | ||
+ | |||
+ | ==== GrapheneOS ==== | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https:// | ||
+ | |||
+ | ==== CalyxOS ==== | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | |||
+ | < | ||
+ | |||
+ | Diese enge Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden und das erneute [[# | ||
==== LineageOS ==== | ==== LineageOS ==== | ||
- | [[https:// | + | {{ : |
+ | |||
+ | [[https:// | ||
+ | |||
+ | Eine allgemeine | ||
==== LineageOS for microG ==== | ==== LineageOS for microG ==== | ||
- | [[https:// | + | {{ : |
+ | |||
+ | [[https:// | ||
==== /e/ ==== | ==== /e/ ==== | ||
- | [[https:// | + | {{ : |
+ | |||
+ | //[[https:// | ||
+ | |||
+ | Es werden mehr Geräte unterstützt als zurzeit von LineageOS ([[https:// | ||
+ | |||
+ | <note important> | ||
- | Es werden mehr Geräte unterstützt als zurzeit von LineageOS. Manche der unterstützten Geräte sind allerdings auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind. | + | ==== DivestOS ==== |
- | ==== grapheneOS ==== | + | [[https:// |
- | Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: | + | DivestOS unterstützt viele Geräte, deren aktuelles Builds aber nicht immer getested sind. Die [[https://divestos.org/index.php? |
- | Um aktuelle Firmware für die unterstützten Geräte sicherzustellen, | ||
howto/android/geraetesicherheit.txt · Zuletzt geändert: 2023/02/06 16:19 von yadda