Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:android:geraetesicherheit

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
howto:android:geraetesicherheit [2020/10/09 00:49]
yadda angelegt
howto:android:geraetesicherheit [2021/12/02 00:13] (aktuell)
yadda [microG und "Signature Spoofing"] aktualisiert: microG ist nicht mehr nötig für deutsche corona warn app
Zeile 19: Zeile 19:
 ===== Sicherheitsupdates für Firmware ===== ===== Sicherheitsupdates für Firmware =====
  
-Neben den Updates für das Android-Betriebssystem spielt auch die //Firmware// des Gerätes eine Rolle. Mit //Firmware// sind Gerätetreiber gemeint, die für die Funktionalität der Hardware benötigt werden. Beispielsweise Treiber für den WLAN-Chip, den Prozessor, oder das Bluetooth-Modul.+Neben den Updates für das Android-Betriebssystem spielt die //Firmware// des Gerätes eine Rolle. Mit //Firmware// sind Gerätetreiber gemeint, die für die Funktionalität der Hardware benötigt werden. Beispielsweise Treiber für den WLAN-Chip, den Prozessor, oder das Bluetooth-Modul.
  
-Diese Firmware ist in der Regel aber nicht quelloffenenweswegen hier //nur// der Hersteller der jeweiligen Hardware Updates für etwaige Sicherheitslücken schreiben und zur Verfügung stellen kann. Über den offiziellen Support-Zeitraum hinaus stellen die meisten Hersteller keine Sicherheitsupdates bereit, und selbst da, wo offiziell Support besteht, sind Hersteller oft nachlässig.+Diese Firmware ist in der Regel aber nicht quelloffendeswegen kann hier //nur// der Hersteller der jeweiligen Hardware Updates für Sicherheitslücken schreiben und zur Verfügung stellen. Über den offiziellen Support-Zeitraum hinaus stellen die meisten Hersteller keine Sicherheitsupdates bereit, und selbst da, wo es offiziell Support gibt, sind Hersteller oft nachlässig.
  
-Dadurch wird veraltete Firmware zu einer sehr großen Schwachstelle in der Sicherheit von Android-Geräten: Selbst wenn man, etwa durch Installation einer Custom-ROM, ein Gerät mit einem sicheren Betriebssystem ausstatten kann, bleibt die Sicherheit der Hardware und Firmware vorallem älterer Geräte ungewiss.+Dadurch wird veraltete Firmware zu einer sehr großen Schwachstelle in der Sicherheit von Android-Geräten: Selbst wenn man, etwa durch Installation einer Custom-ROM, ein Gerät mit einem sicheren Betriebssystem ausstatten kann, bleibt die Sicherheit der Firmware vor allem von älteren Geräten ungewiss. 
 + 
 +<note tip>LineageOS-Nutzer:innen können mithilfe der **[[https://www.xda-developers.com/lineageos-trust-centralized-interface-security-privacy|Trust]]**-App unter ''Einstellungen -> Datenschutz -> Trust'' überprüfen ob Firmware und Betriebssystem aktuell sind. </note>
  
 ===== microG und "Signature Spoofing" ===== ===== microG und "Signature Spoofing" =====
  
-Eine google-freie //Custom ROM// zu installieren hat viele Vorteilegeht aber auch mit dem Verlust von Funktionalität einher.+Manche praktische Funktionen von Android-Smartphones sind nicht bereits im quell-offenen AOSP enthaltensondern in den Google-Play-Services implementiert. Wer also ein googlefreies Android-System installiert, könnte manche dieser Funktionen vermissen, zum Beispiel die Batterie-schonende Ortungsfunktion mithilfe von Mobilfunk und Wifi anstatt mit GPS oder die Contact-Tracing-Schnittstelle die benötigt wird um Contact-Tracing-Apps wie die Corona-Warn-App zu benutzen.
  
-Wer Funktionen wie das Contact-Tracing für die Corona-Warn-App nutzen möchte, dafür aber nicht die Google-Play-Services installieren und ihre Privatsphäre aufgeben möchte, kann alternativ //microG// nutzen. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Um sich als Google-Play-Services ausgeben zu können, muss das Betriebssystem das Vortäuschen einer Signatur (“signature spoofing”) erlauben. Manche halten das für ein unnötiges Sicherheitsrisiko, es könnte sich ja schlimmstenfalls eine bösartige App als eine andere App ausgeben. Da das Vortäuschen einer Signatur allerdings die aktive Zustimmung der Besitzerin benötigen würde, ordnen die Entwickler:innen von microG dieses Risiko als unwahrscheinlich ein.+Eine Alternative zu den Google-Play-Services ist [[https://microg.org/|//microG//]]. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Für wenige der bereitgestellten Funktionen ist aber weiterhin der Login in einen Google-Account erforderlich, das ist aber optional. 
 + 
 +Um sich als Google-Play-Services ausgeben zu können, muss das Betriebssystem das Vortäuschen einer Signatur (“signature spoofing”) erlauben. Manche halten das für ein unnötiges Sicherheitsrisiko, es könnte sich ja schlimmstenfalls eine bösartige App als eine andere App ausgeben. Da das Vortäuschen einer Signatur allerdings die aktive Zustimmung der Besitzerin benötigen würde, ordnen die Entwickler:innen von microG dieses Risiko als unwahrscheinlich ein. 
 + 
 +<note tip>Um die Corona-Warn-App des Robert-Koch-Institutes zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|//Corona Contact Tracing Germany//]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note> 
 + 
 +===== Bootloader-Entsperrung ===== 
 + 
 +Um auf einem Gerät eine Custom-ROM zu installieren, ist es in der Regel nötig den Bootloader dafür zu entsperren. Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Aus Sicherheitsgründen der Entsperrung des Bootloaders wird das installierte Betriebssystem auf Werkseinstellungen zurückgesetzt und der Speicher geleert, um zu verhindern dass jemand mit physischem Zugriff auf ein Smartphone die Passwortsperre des Betriebssystem umgeht und sich über den Bootloader Zugriff auf persönliche Daten verschafft.  
 + 
 +Das hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren. Viele moderne Smartphones bieten allerdings die möglichkeit, nach Installation der Custom-ROM den Bootloader wieder zu sperren. So würde der Versuch, ein Smartphone über den Bootloader zu "hacken", das System wieder auf Werkszustand zurücksetzen, vertrauliche Daten aus dem Speicher löschen und der Besitzer:in dadurch sofort auffallen. 
 + 
 +----
  
 ===== Empfohlene Custom-ROMs ===== ===== Empfohlene Custom-ROMs =====
Zeile 35: Zeile 49:
 ==== LineageOS ==== ==== LineageOS ====
  
-[[https://lineageos.org/|Lineage]] ist die am meisten verbreitete Custom-ROM und wird von einer großen open-source community gepflegt. Es wird sehr regelmäßig (wöchentlichmit Updates versorgt und ist bei der Erstinstallation sehr minimalistisch, selbst einen App-Store wie F-Droid oder Yalp muss man selbst nachinstallieren. Eine Liste unterstützter Geräte ist in ihrem [[https://wiki.lineageos.org/devices/|Wiki]]. Wem das zu allgemein ist, kann sich im [[https://www.reddit.com/r/LineageOS/|Subreddit für Lineage]] nach aktuellen Geräte-Empfehlungen umschauen.+ 
 +{{ :howto:android:lineageos-logo.png?nolink&60|}} 
 + 
 +[[https://lineageos.org/|Lineage]] ist die am meisten verbreitete Custom-ROM und wird von einer großen open-source community gepflegt. Es wird wöchentlich mit Updates versorgt und ist bei der Erstinstallation sehr minimalistisch: Selbst einen App-Store wie F-Droid oder Yalp muss man selbst nachinstallieren.  
 + 
 +Eine allgemeine Liste unterstützter Geräte ist in ihrem [[https://wiki.lineageos.org/devices/|Wiki]]. Auf https://lineageosdevices.com/ kann man gezielt mit Suchkriterien wie z.B. Displaygröße das passende Gerät finden.
  
 ==== LineageOS for microG ==== ==== LineageOS for microG ====
 +
 +{{ :howto:android:lineage-microg-logo.png?nolink&60|}}
  
 [[https://lineage.microg.org/|LineageOS for microG]] ist eine gepatchte Version von Lineage, auf der microG und F-Droid vorinstalliert sind. Unterstützt werden alle Geräte, für die Lineage verfügbar ist. Auch für //LineageOS for microG// gibt es regelmäßige Updates. [[https://lineage.microg.org/|LineageOS for microG]] ist eine gepatchte Version von Lineage, auf der microG und F-Droid vorinstalliert sind. Unterstützt werden alle Geräte, für die Lineage verfügbar ist. Auch für //LineageOS for microG// gibt es regelmäßige Updates.
Zeile 43: Zeile 64:
 ==== /e/ ==== ==== /e/ ====
  
-[[https://e.foundation|///e///]] ist ein ebenfalls ein Fork, d.h. eine modifizierte Version, von LineageOSEs kommt mit einem eigenen App-Store, über das sowohl Apps von F-Droid als auch Google Play installiert werden können, sowie anderen vorinstallierte Apps. Auch microG ist mitenthalten. Empfehlenswert für diejenigen, die gleich nach der Installation ein Android haben wollen “das einfach funktioniert” und möglichst benutzer:innenfreundlich ist.+{{ :howto:android:e_os-logo.jpg?nolink&60|}}
  
-Es werden mehr Geräte unterstützt als zurzeit von LineageOS. Manche der unterstützten Geräte sind allerdings auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind.+//[[https://e.foundation|/e/]]// ist ein ebenfalls ein Fork, d.h. eine modifizierte Version, von LineageOS: Es kommt mit einem eigenen App-Store, über den sowohl Apps von F-Droid als auch Google Play installiert werden können, microG und weiteren vorinstallierten Apps. Gute Wahl, wenn man ein benutzer:innenfreundliches Android möchte, das gleich nach der Installation "einfach funktioniert”. 
 + 
 +Es werden mehr Geräte unterstützt als zurzeit von LineageOS ([[https://doc.e.foundation/devices/|Geräteliste]]). Für manche Geräte sind nur auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind.
  
 ==== grapheneOS ==== ==== grapheneOS ====
  
-Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Sehr zuverlässig in der Bereitstellung von Sicherheitsupdates. F-Droid ist vorinstalliert.+{{ :howto:android:grapheneos-logo.png?nolink&60|}} 
 + 
 +Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Sicherheitsupdates werden sehr schnell bereitgestellt. F-Droid ist vorinstalliert.  
 + 
 +Um aktuelle Firmware für die unterstützten Geräte sicherzustellen, ist GrapheneOS nur für die neuesten //Google Pixel// Geräte verfügbar, die vom Hersteller mit Sicherheitsupdates versorgt werden. 
 + 
 +==== CalyxOS ====
  
-Um aktuelle Firmware für die unterstützten Geräte sicherzustellen, ist GrapheneOS nurfür die neuesten //Google Pixel// Geräte verfügbar, die vom Hersteller mit Sicherheitsupdates versorgt werden.+{{ :howto:android:calyxos-logo.jpg?nolink&60|}} 
  
 +[[https://calyxos.org/|CalyxOS]] unterstützt microG und ist auf Datenschutz und einfache Benutzbarkeit ausgelegt. Apps wie Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Es unterstützt ein paar Geräte mehr als grapheneOS.
howto/android/geraetesicherheit.1602197395.txt.gz · Zuletzt geändert: 2020/10/09 00:49 von yadda