Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- howto:android:geraetesicherheit [2022/01/05 22:38] – Besser erklären wie verified boot funktioniert yadda
+++ howto:android:geraetesicherheit [2022/01/05 22:52] – typos.. yadda
@@ Zeile 5: / Zeile 5: @@
 ===== Alternative Android-Betriebssysteme =====
-Das //Android Open Source Project// (AOSP) ist ein freies und quelloffenes Betriebssystem. Zwar wird es maßgeblich von Google entwickelt, der Quellcode steht allerdings allen Menschen zur Inspektion und Veränderung bereit. Dadurch ist es möglich, dass andere Entwickler:innen als die, die bei Google arbeiten, ihre eigenen Änderungen beisteuern, oder eine //Custom ROM//, d.h. eine eigene, modifizierte Version von Android veröffentlichen, wie z.B. LineageOS.
+Das //Android Open Source Project// (AOSP) ist ein freies und quelloffenes Betriebssystem. Zwar wird es maßgeblich von Google entwickelt, der Quellcode steht allerdings allen Menschen zur Inspektion und Veränderung bereit. Dadurch ist es möglich, dass andere Entwickler:innen als die, die bei Google arbeiten, ihre eigenen Änderungen beisteuern, oder eine //Custom-ROM//, d.h. eine eigene, modifizierte Version von Android veröffentlichen, wie z.B. LineageOS.
 ===== Sicherheitsupdates für Android =====
@@ Zeile 11: / Zeile 11: @@
 Wie bei jeder anderen Software können auch beim Android-Betriebssystem Sicherheitslücken entdeckt werden. In der Regel werden sie bei Bekanntwerden so schnell wie möglich durch die Entwickler:innen von Google geschlossen und Updates zur Verfügung gestellt.
-Viele Smartphone-Hersteller vertreiben auf ihren Geräte leicht modifizierte Androids (z.B. hat Samsung lange einen eigenen App-Store mitinstalliert), weswegen diese ihrerseits oft die Sicherheitsupdates in ihren eigenen Android-Varianten einspielen müssen bevor sie bei den Nutzer:innen landen. Auch die Betreuer:innen von //Custom ROMs// müssen sich um das einspielen dieser Updates in ihre eigene Android-Version kümmern.
+Viele Smartphone-Hersteller vertreiben auf ihren Geräte leicht modifizierte Androids (z.B. hat Samsung lange einen eigenen App-Store mitinstalliert), weswegen diese ihrerseits oft die Sicherheitsupdates in ihren eigenen Android-Varianten einspielen müssen bevor sie bei den Nutzer:innen landen. Auch die Betreuer:innen von //Custom-ROMs// müssen sich um das einspielen dieser Updates in ihre eigene Android-Version kümmern.
 Für die verschiedenen Android-Versionen gibt es dabei unterschiedliche Support-Zeiträume. Während die neueste Version, Android 11 (Stand 2020) sicher noch einige Jahre mit Sicherheitsupdates versorgen werden wird, hat Google z.B. den Support für Android 7 Ende 2019 eingestellt.
-Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch //Custom ROMs//, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom ROMs ist Vorsicht geboten: Zwar können deren Entwickler:innen die Verantwortung dafür übernehmen, beim Bekanntwerden von Sicherheitslücken ihre Custom-ROM zu patchen. Allerdings stehen einem kleines Team unabhängiger Entwickler:innen, die in der Regel in ihrer Freizeit eine Custom-ROM betreuen, ganz andere Ressourcen zur Verfügung als Google.
+Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch //Custom-ROMs//, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom-ROMs ist Vorsicht geboten: Zwar können deren Entwickler:innen die Verantwortung dafür übernehmen, beim Bekanntwerden von Sicherheitslücken ihre Custom-ROM zu patchen. Allerdings stehen einem kleines Team unabhängiger Entwickler:innen, die in der Regel in ihrer Freizeit eine Custom-ROM betreuen, ganz andere Ressourcen zur Verfügung als Google.
 ===== Sicherheitsupdates für Firmware =====
@@ Zeile 31: / Zeile 31: @@
 Manche praktische Funktionen von Android-Smartphones sind nicht bereits im quell-offenen AOSP enthalten, sondern in den Google-Play-Services implementiert. Wer also ein googlefreies Android-System installiert, könnte manche dieser Funktionen vermissen, zum Beispiel die Batterie-schonende Ortungsfunktion mithilfe von Mobilfunk und Wifi anstatt mit GPS oder die Contact-Tracing-Schnittstelle die benötigt wird um Contact-Tracing-Apps wie die Corona-Warn-App zu benutzen.
-Eine Alternative zu den Google-Play-Services ist [[https://microg.org/|//microG//]]. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Für wenige der bereitgestellten Funktionen ist aber weiterhin der Login in einen Google-Account erforderlich, das ist aber optional.
+Eine Alternative zu den Google-Play-Services ist //[[https://microg.org/|microG]]//. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Für wenige der bereitgestellten Funktionen ist aber weiterhin der Login in einen Google-Account erforderlich, das ist aber optional.
 Um sich als Google-Play-Services ausgeben zu können, muss das Betriebssystem das Vortäuschen einer Signatur (“signature spoofing”) erlauben. Manche halten das für ein unnötiges Sicherheitsrisiko, es könnte sich ja schlimmstenfalls eine bösartige App als eine andere App ausgeben. Da das Vortäuschen einer Signatur allerdings die aktive Zustimmung der Besitzerin benötigen würde, ordnen die Entwickler:innen von microG dieses Risiko als unwahrscheinlich ein.
-<note tip>Um die Corona-Warn-App des Robert-Koch-Institutes zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|//Corona Contact Tracing Germany//]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note>
+<note tip>Um die [[https://www.coronawarn.app/de/|Corona-Warn-App des Robert-Koch-Institutes]] zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|Corona Contact Tracing Germany]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note>
 ===== Bootloader-Entsperrung und verifizierter Boot=====
@@ Zeile 47: / Zeile 47: @@
 Einige Geräte bieten allerdings die Möglichkeit, nach Installation der Custom-ROM
-  - das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen - diesmal mit der eigenen Signatur der CustomROM anstatt der des Herstellers und
+  - das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers und
-  - den Bootloader anzuweisen, die Integrität des Betriebssystems darauf zu überprüfen, ob die kryptografische Signatur die legitime Signatur der CustomROM ist
+  - den Bootloader anzuweisen, die Integrität des Betriebssystems darauf zu überprüfen, ob die kryptografische Signatur die legitime Signatur der Custom-ROM ist
   - den Bootloader wieder zu sperren
-Grundsätzlich sind solche Geräte für die Installation einer CustomROM empfehlenswert, die dieses erneute Sperren des Bootloaders erlauben und bei denen ein verifizierter Boot auch mit alternativem Betriebssystem möglich ist.
+Grundsätzlich sind solche Geräte für die Installation einer Custom-ROM empfehlenswert, die dieses erneute Sperren des Bootloaders erlauben und bei denen ein verifizierter Boot auch mit alternativem Betriebssystem möglich ist.
 ----