• IT-Karriere:
  • Services:

So sieht ein sicheres System aus

Nach dem ersten Start begrüßt uns kein Einrichtungsassistent, das Betriebssystem startet vorkonfiguriert und wir bekommen direkt den Startbildschirm zu sehen. Dort geht es eher beschaulich zu: Neben den Standard-Android-Apps zum Telefonieren und SMS-Versenden finden wir eine Kamera-App sowie den Browser Vanadium vor. Letzterer basiert auf Chromium, der von den Graphene-Entwicklern gehärtet wurde. Beispielsweise hat er keinen Zugriff auf die Sensoren, Drittseiten-Cookies werden deaktiviert sowie Duckduckgo als Standard-Suchmaschine gesetzt. Ansonsten sieht alles wie bei einem ganz normalen Stock-Android 10 aus - nur eben ohne Google.

Stellenmarkt
  1. AKKA Deutschland GmbH, Braunschweig
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Das Beschauliche und die wenigen Apps gefallen uns. Es gibt keine unnötige Bloatware und auch keinen Appstore. Wir installieren F-Droid, einen Appstore für freie Software. "In Zukunft wird es ein GrapheneOS-App-Repository mit gehärteten Builds aus sorgfältig ausgewählten Apps geben. Es wird auch eine alternative, gesperrte Betriebssystemversion geben, die nicht in der Lage ist, Code aus einer anderen Quelle zu installieren oder auszuführen", wie Micay auf Twitter ankündigt.

Uns reichen die F-Droid-Apps. Nur der Messenger Signal fehlt in F-Droid, wir laden daher die APK von der Signal-Webseite herunter. Der Messenger funktioniert auch ohne Google und bringt einen eigenen Updater mit, der bei uns allerdings nicht immer zuverlässig funktioniert. Manchmal müssen wir von Hand aktualisieren, vielleicht sind wir aber auch einfach nur zu ungeduldig, was Updates angeht.

Schnelle Versorgung mit Android-Sicherheitsupdates

GrapheneOS übernimmt die Android-Sicherheitsupdates direkt nach der Veröffentlichung von Google. Neue GrapheneOS-Images mit den Dezember-Patches stehen nur wenige Stunden später zum Download bereit. Damit gleicht die Update-Geschwindigkeit der von Google selbst und liegt weit vor den Sicherheitsupdates von anderen ROMs wie Lineage oder den Android-Updates der Smartphone-Hersteller - wenn Letztere überhaupt zeitnah Updates bekommen.

Die Supportgeschwindigkeit kommt nicht von ungefähr, GrapheneOS basiert auf AOSP und verwendet Smartphones von Google, die Patches können entsprechend einfach und direkt in den eigenen Build-Prozess übernommen werden. Die so generierten Images werden anschließend per Seamless Update heruntergeladen und neben dem aktuell verwendeten Betriebssystem installiert. Bei einem Neustart des Gerätes wird die neue, aktualisierte Android-Installation gestartet.

Hart, härter, Graphene

GapheneOS aktiviert die Android-Geräteverschlüsselung von Haus aus und setzt dabei auf die Sicherheitsfunktionen von Google. Die persönlichen Daten werden mit Passwort, PIN oder Muster des jeweiligen Nutzers verschlüsselt (File-Based Encryption) und über Googles Titan-M-Sicherheits-Chip abgesichert. Dieser schützt den Schlüssel und verhindert Brute-Force-Angriffe auf Passwort, PIN oder Muster des Nutzers. Eine Full-Disc-Encryption gibt es bei Android 10 nicht mehr.

Viele wichtige Sicherheitsfunktionen von GrapheneOS bekommen Anwender aber nicht zu Gesicht, denn sie haben vor allem mit der Verhinderung von Speicherfehlern und Speicherzugriffen zu tun. Einen Beitrag dazu leistet das Exec-Spawning-Modell für Anwendungen, das auf der GrapheneOS-Webseite hervorgehoben wird.

Anwendungen werden dabei nicht nur wie sonst unter Android üblich per Fork-Aufruf gestartet, sondern eben per Exec-Aufruf. Die Anwendungen erhalten damit ein einzigartiges Adressraum-Layout im Speicher und ebenso zufällige und einzigartige Stack Canaries. Beides kann Angriffe deutlich erschweren. Beim Start jeder Applikation koste dies ein paar Milisekunden Zeit, danach würden jedoch keine Extra-Ressourcen benötigt, heißt es auf der GrapheneOS-Webseite.

Darüber hinaus nutzt GrapheneOS das aus OpenBSD abgeleitete Hardended Malloc zur direkten Speicherverwaltung in der Libc. Dieses setzt auf einige spezielle Designentscheidungen und Sicherheitsfunktionen. So sind zugewiesene Speicherbereiche klar voneinander isoliert und werden zufällig genutzt. Ebenso wird der Speicher beim Freigeben mit null überschrieben, wodurch etwa Use-after-Free-Fehler verhindert werden sollen. Eine ausführliche Beschreibung von Hardended Malloc bietet die Dokumentation auf Github.

Neben den fehlenden Google-Apps versucht GrapheneOS, die Privatsphäre mit Funktionen wie einer zufällig generierten MAC-Adresse beim Verbinden mit oder Scannen nach Wi-Fis zu schützen. Dies soll vor Tracking in Kaufhäusern und Fußgängerzonen schützen. Auch Android selbst baut die MAC-Randomisierung seit Version 8 kontinuierlich aus. Noch seien nicht alle Funktionen von Copperhead OS in GrapheneOS gelandet, erklärt Micay. Das liege jedoch nicht nur an den begrenzten Ressourcen des Projektes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 GrapheneOS: Ein gehärtetes Android ohne Google, bitteVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (Arthouse Cnma, RTL Crime, StarzPlay jeweils 3 Monate für 0,99€/Monat)
  2. 649,00€ (Vergleichspreise ab 718,99€)
  3. (aktuell u. a. MSI Optik MAG271CP Gaming-Monitor für 279,00€, Corsair Gaming Void Pro 7.1...

OderUnd 01. Jan 2020

Hatte es das systemweit, also dass auch Drittanbieter-Apps automatisch...

IchBIN 21. Dez 2019

Ah, hier ist schon ein Negativpunkt, von dem ich denke, dass er die Nutzung der modified...

FreiGeistler 18. Dez 2019

Logisch. Spiele sind in der Herstellung vor allem Arbeitssufwändig und deshalb meist...

FreiGeistler 18. Dez 2019

Die rüstet MicroG grösstenteils nach, mit besserer Laufzeit. Der Rest ist eh...

bentol 14. Dez 2019

Vielen Dank für deine Erläuterung!


Folgen Sie uns
       


Minikonsolen im Vergleich - Golem retro

Retro-Faktor, Steuerung, Emulationsqualität: Wir haben sieben Minikonsolen miteinander verglichen.

Minikonsolen im Vergleich - Golem retro Video aufrufen
Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Galaxy Z Flip im Hands-on: Endlich klappt es bei Samsung
Galaxy Z Flip im Hands-on
Endlich klappt es bei Samsung

Beim zweiten Versuch hat Samsung aus seinen Fehlern gelernt: Das Smartphone Galaxy Z Flip mit faltbarem Display ist alltagstauglicher und stabiler als der Vorgänger. Motorolas Razr kann da nicht mithalten.
Ein Hands on von Tobias Költzsch

  1. Isocell Bright HM1 Samsung verwendet neuen 108-MP-Sensor im Galaxy S20 Ultra
  2. Smartphones Samsung schummelt bei Teleobjektiven des Galaxy S20 und S20+
  3. Galaxy Z Flip Samsung stellt faltbares Smartphone im Folder-Design vor

Gebrauchtwagen: Was beim Kauf eines gebrauchten Elektroautos wichtig ist
Gebrauchtwagen
Was beim Kauf eines gebrauchten Elektroautos wichtig ist

Noch steht der Markt für gebrauchte Teslas und andere Elektroautos am Anfang der Entwicklung. Für eine verlässliche Wertermittlung benötigen Käufer ein Akku-Zertifikat. Das bieten private Verkaufsberater an. Ein österreichisches Startup will die Idee groß rausbringen.
Ein Bericht von Dirk Kunde

  1. Elektroautos EU-Kommission billigt höheren Umweltbonus
  2. Elektroauto Jaguar muss I-Pace-Produktion mangels Akkus pausieren
  3. 900 Volt Lucid stellt Serienversion seines Luxus-Elektroautos vor

    •  /