So sieht ein sicheres System aus

Nach dem ersten Start begrüßt uns kein Einrichtungsassistent, das Betriebssystem startet vorkonfiguriert und wir bekommen direkt den Startbildschirm zu sehen. Dort geht es eher beschaulich zu: Neben den Standard-Android-Apps zum Telefonieren und SMS-Versenden finden wir eine Kamera-App sowie den Browser Vanadium vor. Letzterer basiert auf Chromium, der von den Graphene-Entwicklern gehärtet wurde. Beispielsweise hat er keinen Zugriff auf die Sensoren, Drittseiten-Cookies werden deaktiviert sowie Duckduckgo als Standard-Suchmaschine gesetzt. Ansonsten sieht alles wie bei einem ganz normalen Stock-Android 10 aus - nur eben ohne Google.

Stellenmarkt
  1. Senior-Berater:in Projektmanagement (m/w/d)
    parameta Projektmanagement GmbH, Erding
  2. WLAN Administrator (m/w/d)
    willy.tel GmbH, Hamburg
Detailsuche

Das Beschauliche und die wenigen Apps gefallen uns. Es gibt keine unnötige Bloatware und auch keinen Appstore. Wir installieren F-Droid, einen Appstore für freie Software. "In Zukunft wird es ein GrapheneOS-App-Repository mit gehärteten Builds aus sorgfältig ausgewählten Apps geben. Es wird auch eine alternative, gesperrte Betriebssystemversion geben, die nicht in der Lage ist, Code aus einer anderen Quelle zu installieren oder auszuführen", wie Micay auf Twitter ankündigt.

Uns reichen die F-Droid-Apps. Nur der Messenger Signal fehlt in F-Droid, wir laden daher die APK von der Signal-Webseite herunter. Der Messenger funktioniert auch ohne Google und bringt einen eigenen Updater mit, der bei uns allerdings nicht immer zuverlässig funktioniert. Manchmal müssen wir von Hand aktualisieren, vielleicht sind wir aber auch einfach nur zu ungeduldig, was Updates angeht.

Schnelle Versorgung mit Android-Sicherheitsupdates

GrapheneOS übernimmt die Android-Sicherheitsupdates direkt nach der Veröffentlichung von Google. Neue GrapheneOS-Images mit den Dezember-Patches stehen nur wenige Stunden später zum Download bereit. Damit gleicht die Update-Geschwindigkeit der von Google selbst und liegt weit vor den Sicherheitsupdates von anderen ROMs wie Lineage oder den Android-Updates der Smartphone-Hersteller - wenn Letztere überhaupt zeitnah Updates bekommen.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Die Supportgeschwindigkeit kommt nicht von ungefähr, GrapheneOS basiert auf AOSP und verwendet Smartphones von Google, die Patches können entsprechend einfach und direkt in den eigenen Build-Prozess übernommen werden. Die so generierten Images werden anschließend per Seamless Update heruntergeladen und neben dem aktuell verwendeten Betriebssystem installiert. Bei einem Neustart des Gerätes wird die neue, aktualisierte Android-Installation gestartet.

Hart, härter, Graphene

GapheneOS aktiviert die Android-Geräteverschlüsselung von Haus aus und setzt dabei auf die Sicherheitsfunktionen von Google. Die persönlichen Daten werden mit Passwort, PIN oder Muster des jeweiligen Nutzers verschlüsselt (File-Based Encryption) und über Googles Titan-M-Sicherheits-Chip abgesichert. Dieser schützt den Schlüssel und verhindert Brute-Force-Angriffe auf Passwort, PIN oder Muster des Nutzers. Eine Full-Disc-Encryption gibt es bei Android 10 nicht mehr.

Viele wichtige Sicherheitsfunktionen von GrapheneOS bekommen Anwender aber nicht zu Gesicht, denn sie haben vor allem mit der Verhinderung von Speicherfehlern und Speicherzugriffen zu tun. Einen Beitrag dazu leistet das Exec-Spawning-Modell für Anwendungen, das auf der GrapheneOS-Webseite hervorgehoben wird.

Anwendungen werden dabei nicht nur wie sonst unter Android üblich per Fork-Aufruf gestartet, sondern eben per Exec-Aufruf. Die Anwendungen erhalten damit ein einzigartiges Adressraum-Layout im Speicher und ebenso zufällige und einzigartige Stack Canaries. Beides kann Angriffe deutlich erschweren. Beim Start jeder Applikation koste dies ein paar Milisekunden Zeit, danach würden jedoch keine Extra-Ressourcen benötigt, heißt es auf der GrapheneOS-Webseite.

Darüber hinaus nutzt GrapheneOS das aus OpenBSD abgeleitete Hardended Malloc zur direkten Speicherverwaltung in der Libc. Dieses setzt auf einige spezielle Designentscheidungen und Sicherheitsfunktionen. So sind zugewiesene Speicherbereiche klar voneinander isoliert und werden zufällig genutzt. Ebenso wird der Speicher beim Freigeben mit null überschrieben, wodurch etwa Use-after-Free-Fehler verhindert werden sollen. Eine ausführliche Beschreibung von Hardended Malloc bietet die Dokumentation auf Github.

Neben den fehlenden Google-Apps versucht GrapheneOS, die Privatsphäre mit Funktionen wie einer zufällig generierten MAC-Adresse beim Verbinden mit oder Scannen nach Wi-Fis zu schützen. Dies soll vor Tracking in Kaufhäusern und Fußgängerzonen schützen. Auch Android selbst baut die MAC-Randomisierung seit Version 8 kontinuierlich aus. Noch seien nicht alle Funktionen von Copperhead OS in GrapheneOS gelandet, erklärt Micay. Das liege jedoch nicht nur an den begrenzten Ressourcen des Projektes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 GrapheneOS: Ein gehärtetes Android ohne Google, bitteVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


OderUnd 01. Jan 2020

Hatte es das systemweit, also dass auch Drittanbieter-Apps automatisch...

IchBIN 21. Dez 2019

Ah, hier ist schon ein Negativpunkt, von dem ich denke, dass er die Nutzung der modified...

FreiGeistler 18. Dez 2019

Logisch. Spiele sind in der Herstellung vor allem Arbeitssufwändig und deshalb meist...

FreiGeistler 18. Dez 2019

Die rüstet MicroG grösstenteils nach, mit besserer Laufzeit. Der Rest ist eh...

bentol 14. Dez 2019

Vielen Dank für deine Erläuterung!



Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /