• IT-Karriere:
  • Services:

So sieht ein sicheres System aus

Nach dem ersten Start begrüßt uns kein Einrichtungsassistent, das Betriebssystem startet vorkonfiguriert und wir bekommen direkt den Startbildschirm zu sehen. Dort geht es eher beschaulich zu: Neben den Standard-Android-Apps zum Telefonieren und SMS-Versenden finden wir eine Kamera-App sowie den Browser Vanadium vor. Letzterer basiert auf Chromium, der von den Graphene-Entwicklern gehärtet wurde. Beispielsweise hat er keinen Zugriff auf die Sensoren, Drittseiten-Cookies werden deaktiviert sowie Duckduckgo als Standard-Suchmaschine gesetzt. Ansonsten sieht alles wie bei einem ganz normalen Stock-Android 10 aus - nur eben ohne Google.

Stellenmarkt
  1. BG Klinikum Unfallkrankenhaus Berlin gGmbH, Berlin
  2. Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg

Das Beschauliche und die wenigen Apps gefallen uns. Es gibt keine unnötige Bloatware und auch keinen Appstore. Wir installieren F-Droid, einen Appstore für freie Software. "In Zukunft wird es ein GrapheneOS-App-Repository mit gehärteten Builds aus sorgfältig ausgewählten Apps geben. Es wird auch eine alternative, gesperrte Betriebssystemversion geben, die nicht in der Lage ist, Code aus einer anderen Quelle zu installieren oder auszuführen", wie Micay auf Twitter ankündigt.

Uns reichen die F-Droid-Apps. Nur der Messenger Signal fehlt in F-Droid, wir laden daher die APK von der Signal-Webseite herunter. Der Messenger funktioniert auch ohne Google und bringt einen eigenen Updater mit, der bei uns allerdings nicht immer zuverlässig funktioniert. Manchmal müssen wir von Hand aktualisieren, vielleicht sind wir aber auch einfach nur zu ungeduldig, was Updates angeht.

Schnelle Versorgung mit Android-Sicherheitsupdates

GrapheneOS übernimmt die Android-Sicherheitsupdates direkt nach der Veröffentlichung von Google. Neue GrapheneOS-Images mit den Dezember-Patches stehen nur wenige Stunden später zum Download bereit. Damit gleicht die Update-Geschwindigkeit der von Google selbst und liegt weit vor den Sicherheitsupdates von anderen ROMs wie Lineage oder den Android-Updates der Smartphone-Hersteller - wenn Letztere überhaupt zeitnah Updates bekommen.

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Die Supportgeschwindigkeit kommt nicht von ungefähr, GrapheneOS basiert auf AOSP und verwendet Smartphones von Google, die Patches können entsprechend einfach und direkt in den eigenen Build-Prozess übernommen werden. Die so generierten Images werden anschließend per Seamless Update heruntergeladen und neben dem aktuell verwendeten Betriebssystem installiert. Bei einem Neustart des Gerätes wird die neue, aktualisierte Android-Installation gestartet.

Hart, härter, Graphene

GapheneOS aktiviert die Android-Geräteverschlüsselung von Haus aus und setzt dabei auf die Sicherheitsfunktionen von Google. Die persönlichen Daten werden mit Passwort, PIN oder Muster des jeweiligen Nutzers verschlüsselt (File-Based Encryption) und über Googles Titan-M-Sicherheits-Chip abgesichert. Dieser schützt den Schlüssel und verhindert Brute-Force-Angriffe auf Passwort, PIN oder Muster des Nutzers. Eine Full-Disc-Encryption gibt es bei Android 10 nicht mehr.

Viele wichtige Sicherheitsfunktionen von GrapheneOS bekommen Anwender aber nicht zu Gesicht, denn sie haben vor allem mit der Verhinderung von Speicherfehlern und Speicherzugriffen zu tun. Einen Beitrag dazu leistet das Exec-Spawning-Modell für Anwendungen, das auf der GrapheneOS-Webseite hervorgehoben wird.

Anwendungen werden dabei nicht nur wie sonst unter Android üblich per Fork-Aufruf gestartet, sondern eben per Exec-Aufruf. Die Anwendungen erhalten damit ein einzigartiges Adressraum-Layout im Speicher und ebenso zufällige und einzigartige Stack Canaries. Beides kann Angriffe deutlich erschweren. Beim Start jeder Applikation koste dies ein paar Milisekunden Zeit, danach würden jedoch keine Extra-Ressourcen benötigt, heißt es auf der GrapheneOS-Webseite.

Darüber hinaus nutzt GrapheneOS das aus OpenBSD abgeleitete Hardended Malloc zur direkten Speicherverwaltung in der Libc. Dieses setzt auf einige spezielle Designentscheidungen und Sicherheitsfunktionen. So sind zugewiesene Speicherbereiche klar voneinander isoliert und werden zufällig genutzt. Ebenso wird der Speicher beim Freigeben mit null überschrieben, wodurch etwa Use-after-Free-Fehler verhindert werden sollen. Eine ausführliche Beschreibung von Hardended Malloc bietet die Dokumentation auf Github.

Neben den fehlenden Google-Apps versucht GrapheneOS, die Privatsphäre mit Funktionen wie einer zufällig generierten MAC-Adresse beim Verbinden mit oder Scannen nach Wi-Fis zu schützen. Dies soll vor Tracking in Kaufhäusern und Fußgängerzonen schützen. Auch Android selbst baut die MAC-Randomisierung seit Version 8 kontinuierlich aus. Noch seien nicht alle Funktionen von Copperhead OS in GrapheneOS gelandet, erklärt Micay. Das liege jedoch nicht nur an den begrenzten Ressourcen des Projektes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 GrapheneOS: Ein gehärtetes Android ohne Google, bitteVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. Planet Zoo - Deluxe Edition für 19,49€, SnowRunner - Epic Games Store Key für 26,99€)
  2. (u. a. LG OLED77CX6LA 77 Zoll OLED für 2.899€, LG 43UP75009LF 43 Zoll LCD für 399€)
  3. (u. a. Mad Games Tycoon für 6,50€, Transport Fever 2 für 21€, Shadow Tactics: Blades of the...
  4. 759€ (Bestpreis)

OderUnd 01. Jan 2020

Hatte es das systemweit, also dass auch Drittanbieter-Apps automatisch...

IchBIN 21. Dez 2019

Ah, hier ist schon ein Negativpunkt, von dem ich denke, dass er die Nutzung der modified...

FreiGeistler 18. Dez 2019

Logisch. Spiele sind in der Herstellung vor allem Arbeitssufwändig und deshalb meist...

FreiGeistler 18. Dez 2019

Die rüstet MicroG grösstenteils nach, mit besserer Laufzeit. Der Rest ist eh...

bentol 14. Dez 2019

Vielen Dank für deine Erläuterung!


Folgen Sie uns
       


Sony Alpha 1 - Fazit

Die Alpha 1 von Sony überzeugt in unserem Test.

Sony Alpha 1 - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /