Systemli Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Systemli Wiki » Anleitungen » android » Infos zur (Geräte-)Sicherheit von google-freien Androids
Zuletzt angesehen:
howto:android:geraetesicherheit

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
howto:android:geraetesicherheit [2022/01/05 23:30] yaddahowto:android:geraetesicherheit [2022/01/06 22:24] – [/e/] deutlicher formulieren yadda
Zeile 45: Zeile 45:
 Das Entsperren des Bootloaders hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren.  Das Entsperren des Bootloaders hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren. 
  
-Einige Geräte bieten allerdings die Möglichkeit, nach Installation der Custom-ROM +Bei manchen Geräten ist es möglichden Bootloader nach Installation der Custom-ROM wieder zu sperren. Der verifizierte Boot als Sicherheitsfeature des ausgelieferten Betriebssystems geht dabei dennoch verloren.
  
-  - das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers und +Wenige Geräte unterstützen die Wiederherstellung des verifizierten Bootvorgangs mit einer Custom-ROM. Dabei wird 
-  - den Bootloader anzuweisen, die Integrität des Betriebssystems darauf zu überprüfen, ob die kryptografische Signatur die legitime Signatur der Custom-ROM ist + 
-  - den Bootloader wieder zu sperren+  - das neu installierte Betriebssystem mit einer digitalen Signatur versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers 
 +  - der Bootloader konfiguriert, die Integrität des Betriebssystems mit der kryptografischen Signatur der Custom-ROM (anstatt des Herstellers) abzugleichen 
 +  - im letzten Schritt der Bootloader wieder gesperrt
  
-Grundsätzlich sind solche Geräte für die Installation einer Custom-ROM empfehlenswert, die dieses erneute Sperren des Bootloaders erlauben und bei denen ein verifizierter Boot auch mit alternativem Betriebssystem möglich ist. 
  
 ---- ----
Zeile 69: Zeile 70:
 [[https://calyxos.org/|CalyxOS]] erbt einige der Sicherheits-Features von GrapheneOS, verzichtet aber auf manche Sicherheits-Features und hat //microG// vorinstalliert, um eine größere Kompatibilität mit Apps zu ermöglichen. Es ist nicht nur auf Sicherheit, sondern auch auf Benutzerfreundlichkeit ausgelegt. Apps wie F-Droid, Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Eine gute Auswahl, wenn das Telefon "einfach nur funktionieren" soll. [[https://calyxos.org/|CalyxOS]] erbt einige der Sicherheits-Features von GrapheneOS, verzichtet aber auf manche Sicherheits-Features und hat //microG// vorinstalliert, um eine größere Kompatibilität mit Apps zu ermöglichen. Es ist nicht nur auf Sicherheit, sondern auch auf Benutzerfreundlichkeit ausgelegt. Apps wie F-Droid, Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Eine gute Auswahl, wenn das Telefon "einfach nur funktionieren" soll.
  
-<note>GrapheneOS und CalyxOS sind nur für die neueren //Google Pixel// Geräte verfügbar. Diese enge Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden. Außerdem unterstützen sie das erneute [[#bootloader-entsperrung-und-verifizierter-Boot|Sperren des Bootloaders und verifizierten Boot]].</note>+<note>GrapheneOS und CalyxOS sind nur für die neueren //Google Pixel// Geräte verfügbar. Diese enge Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden. Außerdem unterstützen sie das erneute [[#bootloader-entsperrung_und_verifizierter_boot|Sperren des Bootloaders und verifizierten Boot]].</note>
  
 ==== LineageOS ==== ==== LineageOS ====
Zeile 93: Zeile 94:
 Es werden mehr Geräte unterstützt als zurzeit von LineageOS ([[https://doc.e.foundation/devices/|Geräteliste]]). Für manche Geräte sind nur auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind. Es werden mehr Geräte unterstützt als zurzeit von LineageOS ([[https://doc.e.foundation/devices/|Geräteliste]]). Für manche Geräte sind nur auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind.
  
-<note important>Bei den meisten Geräten, die für LineageOS oder dessen //Forks// geeignet sind, ist es nicht möglich, den Bootloader nach der Installation wieder zu sperren. Wie [[#bootloader-entsperrung-und-verifizierter-Boot|oben]] erklärt ist das ein Abstrich in der Sicherheit des Gerätes</note>+<note important>Bei den meisten Geräten, die für LineageOS oder dessen //Forks// geeignet sind, ist es nicht möglich, den Bootloader nach der Installation wieder zu sperren. Ein zusätzlich auch noch verifizierter Bootvorgang wird unabhängig vom Gerät grundsätzlich nicht unterstützt. Wie [[#bootloader-entsperrung_und_verifizierter_boot|oben]] erklärt ist das ein Abstrich in der Sicherheit des Gerätes</note>
  
howto/android/geraetesicherheit.txt · Zuletzt geändert: 2023/02/06 16:19 von yadda
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki