Mit der Auditor-App das System prüfen

Zwar verschickt Nitrokey das Nitrophone wie eingangs erwähnt versiegelt, wer auf Nummer sicher gehen will, kann das Smartphone jedoch zusätzlich mit der Auditor-App des GrapheneOS-Hauptentwicklers Daniel Micay auf Manipulationen hin überprüfen. Dazu wird ein zweites Android-Smartphone benötigt, auf dem die Auditor-App installiert wird, die beispielsweise aus dem Google Play Store bezogen werden kann. Auf dem Nitrophone oder anderen Smartphones mit GrapheneOS ist sie bereits vorinstalliert.

Die Bedienung der Auditor-App ist sehr simpel. Es gibt zwei Buttons, je nachdem, ob es sich um das zu prüfende oder das überprüfende Gerät handelt, muss der entsprechende Button gewählt werden und anschließend gegenseitig ein QR-Code gescannt werden (Pairing-Vorgang). Das kann logischerweise nur funktionieren, wenn die Kamera nicht ausgebaut wurde.

Die Überprüfung baut auf einem weiteren Sicherheitsfeature von GrapheneOS beziehungsweise der Pixel-Geräte auf: einem verifizierten Bootprozess. Dabei werden die Softwarekomponenten des Betriebssystems signiert und beim Booten über einen im Titan-M2-Chip hinterlegten Schlüssel von GrapheneOS verifiziert. Mit der Technik können Veränderungen am Betriebssystem festgestellt werden. Hierauf baut die Auditor-App auf und überprüft das installierte Betriebssystem mit der Technik und einem externen Smartphone.

Wurden Veränderungen vorgenommen, erscheint ein rötlich eingefärbter Bildschirm mit einer Fehlermeldung. Ist alles in Ordnung, erscheint ein Bestätigungsbildschirm mit verschiedenen Informationen zum Gerät, der gelb oder grün eingefärbt sein kann, je nachdem, wie hoch das Vertrauenslevel zwischen den Geräten ist. Auch das Stock-Android eines herkömmlichen Pixel 6 lässt sich mit der App überprüfen.

Hart, härter, Graphene

Viele wichtige Sicherheitsfunktionen von GrapheneOS bekommen Anwender aber nicht zu Gesicht, denn sie haben vor allem mit dem Verhindern von Speicherfehlern und Speicherzugriffen zu tun. Einen Beitrag dazu leistet das Exec-Spawning-Modell für Anwendungen, das auf der GrapheneOS-Webseite hervorgehoben wird. Anwendungen werden dabei nicht nur wie sonst unter Android üblich per Fork-Aufruf gestartet, sondern eben per Exec-Aufruf. Die Anwendungen erhalten damit ein einzigartiges Adressraum-Layout im Speicher und ebenso zufällige und einzigartige Stack Canaries.

Darüber hinaus nutzt GrapheneOS das aus OpenBSD abgeleitete Hardened Malloc zur direkten Speicherverwaltung in der Libc. Dieses setzt auf einige spezielle Designentscheidungen und Sicherheitsfunktionen. So sind zugewiesene Speicherbereiche klar voneinander isoliert und werden zufällig genutzt. Ebenso wird der Speicher beim Freigeben mit null überschrieben, wodurch etwa Use-after-Free-Fehler verhindert werden sollen. Eine ausführliche Beschreibung von Hardened Malloc bietet die Dokumentation auf Github

Neben dem Verzicht auf Google-Apps versucht GrapheneOS, die Privatsphäre mit Funktionen wie einer zufällig generierten MAC-Adresse beim Verbinden mit oder Scannen nach Wi-Fis zu schützen. Dies soll vor Tracking in Kaufhäusern und Fußgängerzonen schützen.

Das sind jedoch bei Weitem nicht die einzigen Änderungen, die GrapheneOS und damit das Nitrophone noch sicherer machen als das vorinstallierte Android von Google. Die implementierten Sicherheitsmechanismen sollen unter anderem das Ausnutzen von Sicherheitslücken und Zero Days deutlich erschweren und das Gerät soll damit auch weniger anfällig für Schadsoftware oder Trojaner sein.

Schnelle Updates und fünf Jahre Support

GrapheneOS übernimmt die monatlich erscheinenden Android-Sicherheitspatches direkt von Google und liefert sie sehr schnell aus. Die Updates werden automatisch neben der aktuell verwendeten GrapheneOS-Version installiert und mit einem Reboot aktiviert. Mit dem Pixel 6 hat Google die bisherige Supportdauer von drei auf fünf Jahre angehoben. Davon profitiert auch das auf dem Pixel 6 basierende Nitrophone 2, das nun ebenfalls mit einem noch verbleibenden Support von rund viereinhalb Jahren aufwarten kann.

Danach pflegt GrapheneOS die Geräte jedoch üblicherweise noch eingeschränkt - sprich ohne Firmwareupdates - für einige Monate weiter. Entsprechend dürfte auch das Nitrophone 2 etwas über den offiziellen Supportzeitraum von Google beziehungsweise GrapheneOS hinaus Updates erhalten.