Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- howto:android:geraetesicherheit [2021/12/02 00:13] – [microG und "Signature Spoofing"] aktualisiert: microG ist nicht mehr nötig für deutsche corona warn app yadda
+++ howto:android:geraetesicherheit [2022/01/05 22:52] – typos.. yadda
@@ Zeile 5: / Zeile 5: @@
 ===== Alternative Android-Betriebssysteme =====
-Das //Android Open Source Project// (AOSP) ist ein freies und quelloffenes Betriebssystem. Zwar wird es maßgeblich von Google entwickelt, der Quellcode steht allerdings allen Menschen zur Inspektion und Veränderung bereit. Dadurch ist es möglich, dass andere Entwickler:innen als die, die bei Google arbeiten, ihre eigenen Änderungen beisteuern, oder eine //Custom ROM//, d.h. eine eigene, modifizierte Version von Android veröffentlichen, wie z.B. LineageOS.
+Das //Android Open Source Project// (AOSP) ist ein freies und quelloffenes Betriebssystem. Zwar wird es maßgeblich von Google entwickelt, der Quellcode steht allerdings allen Menschen zur Inspektion und Veränderung bereit. Dadurch ist es möglich, dass andere Entwickler:innen als die, die bei Google arbeiten, ihre eigenen Änderungen beisteuern, oder eine //Custom-ROM//, d.h. eine eigene, modifizierte Version von Android veröffentlichen, wie z.B. LineageOS.
 ===== Sicherheitsupdates für Android =====
@@ Zeile 11: / Zeile 11: @@
 Wie bei jeder anderen Software können auch beim Android-Betriebssystem Sicherheitslücken entdeckt werden. In der Regel werden sie bei Bekanntwerden so schnell wie möglich durch die Entwickler:innen von Google geschlossen und Updates zur Verfügung gestellt.
-Viele Smartphone-Hersteller vertreiben auf ihren Geräte leicht modifizierte Androids (z.B. hat Samsung lange einen eigenen App-Store mitinstalliert), weswegen diese ihrerseits oft die Sicherheitsupdates in ihren eigenen Android-Varianten einspielen müssen bevor sie bei den Nutzer:innen landen. Auch die Betreuer:innen von //Custom ROMs// müssen sich um das einspielen dieser Updates in ihre eigene Android-Version kümmern.
+Viele Smartphone-Hersteller vertreiben auf ihren Geräte leicht modifizierte Androids (z.B. hat Samsung lange einen eigenen App-Store mitinstalliert), weswegen diese ihrerseits oft die Sicherheitsupdates in ihren eigenen Android-Varianten einspielen müssen bevor sie bei den Nutzer:innen landen. Auch die Betreuer:innen von //Custom-ROMs// müssen sich um das einspielen dieser Updates in ihre eigene Android-Version kümmern.
 Für die verschiedenen Android-Versionen gibt es dabei unterschiedliche Support-Zeiträume. Während die neueste Version, Android 11 (Stand 2020) sicher noch einige Jahre mit Sicherheitsupdates versorgen werden wird, hat Google z.B. den Support für Android 7 Ende 2019 eingestellt.
-Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch //Custom ROMs//, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom ROMs ist Vorsicht geboten: Zwar können deren Entwickler:innen die Verantwortung dafür übernehmen, beim Bekanntwerden von Sicherheitslücken ihre Custom-ROM zu patchen. Allerdings stehen einem kleines Team unabhängiger Entwickler:innen, die in der Regel in ihrer Freizeit eine Custom-ROM betreuen, ganz andere Ressourcen zur Verfügung als Google.
+Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch //Custom-ROMs//, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom-ROMs ist Vorsicht geboten: Zwar können deren Entwickler:innen die Verantwortung dafür übernehmen, beim Bekanntwerden von Sicherheitslücken ihre Custom-ROM zu patchen. Allerdings stehen einem kleines Team unabhängiger Entwickler:innen, die in der Regel in ihrer Freizeit eine Custom-ROM betreuen, ganz andere Ressourcen zur Verfügung als Google.
 ===== Sicherheitsupdates für Firmware =====
@@ Zeile 31: / Zeile 31: @@
 Manche praktische Funktionen von Android-Smartphones sind nicht bereits im quell-offenen AOSP enthalten, sondern in den Google-Play-Services implementiert. Wer also ein googlefreies Android-System installiert, könnte manche dieser Funktionen vermissen, zum Beispiel die Batterie-schonende Ortungsfunktion mithilfe von Mobilfunk und Wifi anstatt mit GPS oder die Contact-Tracing-Schnittstelle die benötigt wird um Contact-Tracing-Apps wie die Corona-Warn-App zu benutzen.
-Eine Alternative zu den Google-Play-Services ist [[https://microg.org/|//microG//]]. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Für wenige der bereitgestellten Funktionen ist aber weiterhin der Login in einen Google-Account erforderlich, das ist aber optional.
+Eine Alternative zu den Google-Play-Services ist //[[https://microg.org/|microG]]//. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Für wenige der bereitgestellten Funktionen ist aber weiterhin der Login in einen Google-Account erforderlich, das ist aber optional.
 Um sich als Google-Play-Services ausgeben zu können, muss das Betriebssystem das Vortäuschen einer Signatur (“signature spoofing”) erlauben. Manche halten das für ein unnötiges Sicherheitsrisiko, es könnte sich ja schlimmstenfalls eine bösartige App als eine andere App ausgeben. Da das Vortäuschen einer Signatur allerdings die aktive Zustimmung der Besitzerin benötigen würde, ordnen die Entwickler:innen von microG dieses Risiko als unwahrscheinlich ein.
-<note tip>Um die Corona-Warn-App des Robert-Koch-Institutes zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|//Corona Contact Tracing Germany//]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note>
+<note tip>Um die [[https://www.coronawarn.app/de/|Corona-Warn-App des Robert-Koch-Institutes]] zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|Corona Contact Tracing Germany]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note>
-===== Bootloader-Entsperrung =====
+===== Bootloader-Entsperrung und verifizierter Boot=====
-Um auf einem Gerät eine Custom-ROM zu installieren, ist es in der Regel nötig den Bootloader dafür zu entsperren. Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Aus Sicherheitsgründen der Entsperrung des Bootloaders wird das installierte Betriebssystem auf Werkseinstellungen zurückgesetzt und der Speicher geleert, um zu verhindern dass jemand mit physischem Zugriff auf ein Smartphone die Passwortsperre des Betriebssystem umgeht und sich über den Bootloader Zugriff auf persönliche Daten verschafft.
+Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Bei moderneren Smartphones hat der Bootloader zusätzlich die Aufgabe, das für den Start vorgesehene Betriebssystem auf seine Integrietät und Echtheit zu überprüfen. Für diese Prüfung ist das Betriebssystem bereits bei der Auslieferung vom Hersteller mit einer kryptografischen Signatur gekennzeichnet, die nur vom Hersteller ausgestellt werden kann. Der Bootloader überprüft, ob die Signatur korrekt ist, und dass das System nicht nachträglich nach der Ausstellung der Signatur manipuliert wurde.
-Das hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren. Viele moderne Smartphones bieten allerdings die möglichkeit, nach Installation der Custom-ROM den Bootloader wieder zu sperren. So würde der Versuch, ein Smartphone über den Bootloader zu "hacken", das System wieder auf Werkszustand zurücksetzen, vertrauliche Daten aus dem Speicher löschen und der Besitzer:in dadurch sofort auffallen.
+Um auf einem Gerät eine Custom-ROM zu installieren, ist es in der Regel nötig den Bootloader dafür zu entsperren. Die Entsperrung ist natürlich nicht vor dem Boot möglich, sondern erst nachdem man das Telefon gestartet und es entsperrt hat, ist es möglich in den Systemeinstellungen die Entsperrung zu erlauben. Aus Sicherheitsgründen wird das installierte Betriebssystem bei einer Entsperrung des Bootloaders auf Werkseinstellungen zurückgesetzt und der Speicher geleert, um zu verhindern dass jemand mit physischem Zugriff auf ein Smartphone die Passwortsperre des Betriebssystem umgeht und sich über den Bootloader Zugriff auf persönliche Daten verschafft.
+Das Entsperren des Bootloaders hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren.
+Einige Geräte bieten allerdings die Möglichkeit, nach Installation der Custom-ROM
+  - das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers und
+  - den Bootloader anzuweisen, die Integrität des Betriebssystems darauf zu überprüfen, ob die kryptografische Signatur die legitime Signatur der Custom-ROM ist
+  - den Bootloader wieder zu sperren
+Grundsätzlich sind solche Geräte für die Installation einer Custom-ROM empfehlenswert, die dieses erneute Sperren des Bootloaders erlauben und bei denen ein verifizierter Boot auch mit alternativem Betriebssystem möglich ist.
 ----
@@ Zeile 76: / Zeile 86: @@
 Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Sicherheitsupdates werden sehr schnell bereitgestellt. F-Droid ist vorinstalliert.
-Um aktuelle Firmware für die unterstützten Geräte sicherzustellen, ist GrapheneOS nur für die neuesten //Google Pixel// Geräte verfügbar, die vom Hersteller mit Sicherheitsupdates versorgt werden.
+GrapheneOS ist nur für die neueren //Google Pixel// Geräte verfügbar. Diese Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden. Außerdem unterstützen sie das erneute [[#bootloader-entsperrung|Sperren des Bootloaders]].
 ==== CalyxOS ====
 {{ :howto:android:calyxos-logo.jpg?nolink&60|}}
-[[https://calyxos.org/|CalyxOS]] unterstützt microG und ist auf Datenschutz und einfache Benutzbarkeit ausgelegt. Apps wie Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Es unterstützt ein paar Geräte mehr als grapheneOS.
+[[https://calyxos.org/|CalyxOS]] baut teilweise auf grapheneOS auf, unterstützt allerdings zusätzlich microG und ist auf einfache Benutzbarkeit ausgelegt. Apps wie Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Es unterstützt ein Gerät mehr als grapheneOS.