Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:android:geraetesicherheit

Dies ist eine alte Version des Dokuments!


Betriebssystem und Gerät für ein google-freies Android auswählen

Diese Seite sammelt einige Überlegungen zu Sicherheit und Nutzbarkeit bei der Auswahl des passenden Gerätes für ein google-freies Android-Smartphone.

Alternative Android-Betriebssysteme

Das Android Open Source Project (AOSP) ist ein freies und quelloffenes Betriebssystem. Zwar wird es maßgeblich von Google entwickelt, der Quellcode steht allerdings allen Menschen zur Inspektion und Veränderung bereit. Dadurch ist es möglich, dass andere Entwickler:innen als die, die bei Google arbeiten, ihre eigenen Änderungen beisteuern, oder eine Custom ROM, d.h. eine eigene, modifizierte Version von Android veröffentlichen, wie z.B. LineageOS.

Sicherheitsupdates für Android

Wie bei jeder anderen Software können auch beim Android-Betriebssystem Sicherheitslücken entdeckt werden. In der Regel werden sie bei Bekanntwerden so schnell wie möglich durch die Entwickler:innen von Google geschlossen und Updates zur Verfügung gestellt.

Viele Smartphone-Hersteller vertreiben auf ihren Geräte leicht modifizierte Androids (z.B. hat Samsung lange einen eigenen App-Store mitinstalliert), weswegen diese ihrerseits oft die Sicherheitsupdates in ihren eigenen Android-Varianten einspielen müssen bevor sie bei den Nutzer:innen landen. Auch die Betreuer:innen von Custom ROMs müssen sich um das einspielen dieser Updates in ihre eigene Android-Version kümmern.

Für die verschiedenen Android-Versionen gibt es dabei unterschiedliche Support-Zeiträume. Während die neueste Version, Android 11 (Stand 2020) sicher noch einige Jahre mit Sicherheitsupdates versorgen werden wird, hat Google z.B. den Support für Android 7 Ende 2019 eingestellt.

Durch alternative Betriebssysteme ist es möglich, ältere Telefone, die von ihren Herstellern längst nicht mehr auf sichere Android-Versionen aktualisiert werden, wieder sicher benutzen zu können. Es gibt allerdings auch Custom ROMs, die selbst noch auf veralteten Android-Versionen basieren. Bei solchen Custom ROMs ist Vorsicht geboten: Zwar können deren Entwickler:innen die Verantwortung dafür übernehmen, beim Bekanntwerden von Sicherheitslücken ihre Custom-ROM zu patchen. Allerdings stehen einem kleines Team unabhängiger Entwickler:innen, die in der Regel in ihrer Freizeit eine Custom-ROM betreuen, ganz andere Ressourcen zur Verfügung als Google.

Sicherheitsupdates für Firmware

Neben den Updates für das Android-Betriebssystem spielt auch die Firmware des Gerätes eine Rolle. Mit Firmware sind Gerätetreiber gemeint, die für die Funktionalität der Hardware benötigt werden. Beispielsweise Treiber für den WLAN-Chip, den Prozessor, oder das Bluetooth-Modul.

Diese Firmware ist in der Regel aber nicht quelloffenen, weswegen hier nur der Hersteller der jeweiligen Hardware Updates für etwaige Sicherheitslücken schreiben und zur Verfügung stellen kann. Über den offiziellen Support-Zeitraum hinaus stellen die meisten Hersteller keine Sicherheitsupdates bereit, und selbst da, wo offiziell Support besteht, sind Hersteller oft nachlässig.

Dadurch wird veraltete Firmware zu einer sehr großen Schwachstelle in der Sicherheit von Android-Geräten: Selbst wenn man, etwa durch Installation einer Custom-ROM, ein Gerät mit einem sicheren Betriebssystem ausstatten kann, bleibt die Sicherheit der Hardware und Firmware vorallem älterer Geräte ungewiss.

microG und "Signature Spoofing"

Eine google-freie Custom ROM zu installieren hat viele Vorteile, geht aber auch mit dem Verlust von Funktionalität einher.

Wer Funktionen wie das Contact-Tracing für die Corona-Warn-App nutzen möchte, dafür aber nicht die Google-Play-Services installieren und ihre Privatsphäre aufgeben möchte, kann alternativ microG nutzen. Das ist ein OpenSource-Projekt, dass einige Funktionen der Google-Play-Services privatsphäre-freundlich implementiert und sich gegenüber anderen Apps als Google-App ausgibt. Um sich als Google-Play-Services ausgeben zu können, muss das Betriebssystem das Vortäuschen einer Signatur (“signature spoofing”) erlauben. Manche halten das für ein unnötiges Sicherheitsrisiko, es könnte sich ja schlimmstenfalls eine bösartige App als eine andere App ausgeben. Da das Vortäuschen einer Signatur allerdings die aktive Zustimmung der Besitzerin benötigen würde, ordnen die Entwickler:innen von microG dieses Risiko als unwahrscheinlich ein.

Empfohlene Custom-ROMs

LineageOS

Lineage ist die am meisten verbreitete Custom-ROM und wird von einer großen open-source community gepflegt. Es wird sehr regelmäßig (wöchentlich) mit Updates versorgt und ist bei der Erstinstallation sehr minimalistisch, selbst einen App-Store wie F-Droid oder Yalp muss man selbst nachinstallieren. Eine Liste unterstützter Geräte ist in ihrem Wiki. Wem das zu allgemein ist, kann sich im Subreddit für Lineage nach aktuellen Geräte-Empfehlungen umschauen.

LineageOS for microG

LineageOS for microG ist eine gepatchte Version von Lineage, auf der microG und F-Droid vorinstalliert sind. Unterstützt werden alle Geräte, für die Lineage verfügbar ist. Auch für LineageOS for microG gibt es regelmäßige Updates.

/e/

/e/ ist ein ebenfalls ein Fork, d.h. eine modifizierte Version, von LineageOS: Es kommt mit einem eigenen App-Store, über das sowohl Apps von F-Droid als auch Google Play installiert werden können, sowie anderen vorinstallierte Apps. Auch microG ist mitenthalten. Empfehlenswert für diejenigen, die gleich nach der Installation ein Android haben wollen “das einfach funktioniert” und möglichst benutzer:innenfreundlich ist.

Es werden mehr Geräte unterstützt als zurzeit von LineageOS. Manche der unterstützten Geräte sind allerdings auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind.

grapheneOS

Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: GrapheneOS enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Sehr zuverlässig in der Bereitstellung von Sicherheitsupdates. F-Droid ist vorinstalliert.

Um aktuelle Firmware für die unterstützten Geräte sicherzustellen, ist GrapheneOS nurfür die neuesten Google Pixel Geräte verfügbar, die vom Hersteller mit Sicherheitsupdates versorgt werden.

howto/android/geraetesicherheit.1602197481.txt.gz · Zuletzt geändert: 2020/10/09 00:51 von yadda

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki