Das alternative, auf Android basierende Custom-ROM GrapheneOS gilt als das sicherste seiner Klasse. Wir testen das die Privatsphäre achtende Betriebssystem auf einem Google Pixel 3a.
Wir tragen unsere Smartphones wie selbstverständlich überall mit uns herum. Das eröffnet Google und anderen Unternehmen die Möglichkeit, uns in unserem Alltag fast lückenlos zu verfolgen und Bewegungsprofile anzulegen. Diese Tatsache wird immer mehr Anwendern bewusst. sodass der Wunsch nach mehr Sicherheit für die eigenen Daten und stärkeren Schutz der Privatsphäre besonders bei mobilen Betriebssystemen in den letzten Jahren stark angewachsen ist.
Dem tragen einige Hersteller von Hard- und Software Rechnung und entwickeln Geräte oder Betriebssysteme unter diesen Gesichtspunkten. Dabei handelt es sich meist um Linux- oder Android-Smartphones mit freier Software. Für Letztere wird die Software in der Form von Custom-ROMs bereitgestellt, die auf dem freien Basis-Android basieren, dem Android Open Source Project (AOSP [1]).
GrapheneOS [2], das wir in diesem Artikel auf einem Google Pixel 3a installieren, zählt zu diesen quelloffenen Betriebssystemalternativen in der Form eines Custom-ROM. Hinter GrapheneOS, das wir im Folgenden Graphene nennen, steht Daniel Micay, ein respektiertes Mitglied der Sicherheits-Community und ehemaliger Entwickler von CopperheadOS [3]. Er und sein Team zielen darauf ab, Googles Original-Firmware auf dem Android-Gerät gegen ein sicheres und nachhaltiges Betriebssystem zu ersetzen und zusätzlich die von vielen Herstellern geplante Obsoleszenz zu unterlaufen.
Graphene unterstützt Android-Apps, wird aber nach Aussage von Micay niemals Google Play oder Implementierungen davon wie etwa MicroG [4] enthalten. Wer Google-Dienste nutzen möchte oder muss, kann diese als eine Reihe von vollständig in Sandboxen isolierten Apps ohne besondere Privilegien über die Kompatibilitätsschicht Sandboxed Play-Services installieren [5].
Graphene setzt Maßstäbe in Sachen Sicherheit auf Android-Geräten. Das bestätigte auch Edward Snowden, als er auf Twitter äußerte, dass er GrapheneOS nutzen würde, wenn er gerade ein Smartphone konfigurieren müsste. Wenn Snowden das tun würde, sähe er sich genau wie wir einer limitierten Auswahl an Hardware für diese Aufgabe gegenüber.
Graphene unterstützt derzeit nur Google-Pixel-Geräte, wobei die Spanne von Version 3 bis zur aktuellen Ausgabe 6 [6] reicht. Eine Liste finden Sie in der Tabelle “Unterstützte Geräte”. Sie können die Installation durchaus auf einem anderen Smartphone versuchen. Es gibt jedoch keine Garantie, dass das funktioniert, auch wenn es Berichte von erfolgreichen Installationen außerhalb der Pixel-Reihe gibt.
|
Model |
Codename |
|---|---|
|
Voll unterstützt |
|
|
Pixel 6 Pro |
Raven |
|
Pixel 6 |
Oriole |
|
Pixel 5a |
Barbet |
|
Pixel 5 |
Redfin |
|
Pixel 4a (5G) |
Bramble |
|
Pixel 4a |
Sunfish |
|
Pixel 4 XL |
Coral |
|
Pixel 4 |
Flame |
|
Pixel 3a XL |
Bonito |
|
Pixel 3a |
Sargo |
|
Nicht mehr voll unterstützt |
|
|
Pixel 3 XL |
Crosshatch |
|
Pixel 3 |
Blueline |
Was macht Graphene sicherer?
Ironischerweise eignen sich die Google-Geräte der Pixel-Baureihe besonders gut für auf Sicherheit ausgelegte Custom-ROMs, da der Hersteller unter anderem drei Jahre Aktualisierungen garantiert. Für das aktuelle Pixel 6 und 6 Pro sagt Google sogar für 5 Jahre Sicherheits-Updates zu, die der Konzern auch zeitiger ausliefert als andere Hersteller.
Zudem bieten die Geräte ab dem Pixel 3 den Sicherheitsbaustein Titan M, der beim Pixel 6 Titan M2 heißt und auf RISC-V basiert. Dieser Chip dient zur Speicherung besonders kritischer biometrischer Daten, verbessert die Sicherheit des Boot-Vorgangs und erlaubt Apps das Ablegen von Schlüsseln. Damit besitzen die Pixel-Geräte bereits einen Sicherheitsvorsprung vor der Konkurrenz.
Custom-ROMs setzen zur Installation einen offenen Bootloader voraus, um Android durch ein anderes Betriebssystem ersetzen zu können. Bei vielen ROMs bleibt dieser nach der Installation jedoch weiter offen und stellt so ein nicht zu unterschätzendes Sicherheitsrisiko dar. Nicht so bei Graphene: Hier umfasst die Installation das Schließen des Bootloaders. Selbst wenn Sie vergessen, ihn zu schließen, unterbindet der Verified Boot über einen im System hinterlegten Schlüssel die Installation nicht korrekt signierter Versionen.
Als wichtiger Teil der Härtung von Graphene dient ein monolithischer Kernel mit deaktivierten dynamischen Kernel-Modulen, was die Angriffsfläche verkleinert. Darüber hinaus nutzt das Custom-ROM Maßnahmen aus dem Linux-Hardened-Projekt [7]. Dabei wird nicht nur der Kernel und die Werkzeugkette des Compilers gehärtet, sondern auch die C-Standard-Bibliothek Libc und deren dynamische Speicherzuweisung Malloc.
Die Apps laufen zudem alle in ihrer eigenen, besonders gehärteten Sandbox. Die ausgezeichnete Dokumentation [8] listet unter Features viele weitere Sicherheitsaspekte auf, wie ein gehärtetes Dateisystem und den bereits erwähnten verifizierten Start [9]. Das System erlaubt es zudem, dass Sie den Netzzugriff restriktiv handhaben, egal, ob Breitband oder WLAN. So können Sie das Erstellen von Bewegungsprofilen erschweren, indem Sie eine falsche MAC-Adresse senden, wenn Sie sich mit einem neuen Netzwerk verbinden. Auf diese Weise können öffentliche WLAN-Anbieter die Gerätekennung nicht nachverfolgen, wenn Sie zwischen Netzwerken wechseln.
Apps, die im Hintergrund laufen, kann Graphene den Zugriff auf die Zwischenablage verwehren. Zudem können Sie sich Zugriffe auf die Zwischenablage anzeigen lassen. Apps, die Sie zwar benötigen, denen Sie aber wegen zu vieler Berechtigungen nicht vertrauen, isolieren Sie in einem separaten Profil (Abbildung 1). Dazu dient etwa die App Shelter, die Sie von F-Droid aus installieren. Sie bedient sich des Arbeitsprofils (“work profile”) von AOSP, um solche Apps in ihre Schranken zu verweisen (Abbildung 2).
Abbildung 1: Mit der App Shelter nutzen Sie das Arbeitsprofil von Android, das der Trennung von Privatem und Geschäftlichem dient, mit zusätzlichen Einstellungen, um Apps zu isolieren, denen Sie nicht vertrauen.
Abbildung 2: Nach der Installation von Shelter teilt sich die App-Übersicht in zwei Bereiche, wobei die nach Shelter geklonten Apps unter Geschäftlich erscheinen.
Geführte Installation
Um Graphene zu installieren, müssen Sie auf dem Android-Gerät zunächst den Entwicklermodus aktivieren, um Zugriff auf notwendige Funktionen zu erhalten. Das erreichen Sie, indem Sie in den Einstellungen zum Punkt Über das Telefon wechseln und dort nach unten zu Build-Nummer scrollen. Nachdem Sie einige Male die Build-Nummer angetippt haben, folgt die Bestätigung Der Entwicklermodus wurde aktiviert.
Als Nächstes navigieren Sie in den Einstellungen zu System | Entwickleroptionen. Dort aktivieren Sie OEM-Entsperrung, um den Bootloader zu entsperren, sowie weiter unten USB-Debugging, um Daten zwischen einem Rechner und dem Telefon kopieren zu können. Jetzt ist das Smartphone bereit zur Installation.
Bevor Sie beginnen, sollten Sie ein Backup aller wichtigen Informationen auf dem Smartphone anlegen, da das Einspielen des Systems alle Daten auf dem Gerät löscht. Sie können die Installation von Windows, MacOS, ChromeOS oder von Linux aus vornehmen. Auf der Webseite von Graphene gibt es unter dem Menüpunkt Installation ausführliche Beispiele für Arch Linux, Debian und Windows [10].
Wir folgen dem Beispiel für Debian. Es gibt zwei Wege, Graphene zu installieren. Wir verwenden hier den webbasierten Ansatz, das System lässt sich aber auch über die Kommandozeile aufspielen. Die Installation aus dem Browser heraus klappt mit Google Chrome, Chromium (nicht unter Ubuntu), Brave und Microsoft Edge, jedoch nicht mit Firefox (Abbildung 3).
Abbildung 3: Die alternative Installation per Kommandozeile bietet mehr Kontrolle über und Einblick in die Installation, verfährt aber nach dem gleichen Prinzip wie die Installation im Web-Installer.
Zunächst starten Sie das Pixel neu und drücken während des Neustarts die Lautstärkewippe nach unten. Daraufhin landen Sie im Bootloader. Gelingt das nicht gleich, wiederholen Sie den Vorgang einfach. Nun verbinden Sie das Smartphone mit einem Notebook oder PC, der mindestens 2 GByte freien Arbeitsspeicher und 32 GByte Platz auf der Festplatte haben sollte. Die Anleitung rät dazu, keine USB-Docks oder Ähnliches zu verwenden, sondern nur direkte USB-Ports am Gerät. Daraufhin starten Sie das Smartphone erneut in den Bootloader, wie soeben beschrieben.
Klicken Sie jetzt in der Installationsanleitung auf den Schalter Unlock bootloader, werden Sie aufgefordert, das für das erkannte Gerät zu bestätigen (Abbildung 4). Anschließend müssen Sie die Aktion auch am Smartphone selbst freischalten. Danach laden Sie das aktuelle Release von Graphene herunter, indem Sie in der Anleitung auf den Schalter Download release klicken (Abbildung 5). Der Download dauert je nach verfügbarer Bandbreite lediglich ein paar Minuten. Ist er erledigt, klicken Sie auf den Schalter Flash release, der das Image auf das Pixel überträgt.
Abbildung 4: Im interaktiven Web-Installer drücken Sie auf eine Schaltfläche, um den Bootloader zu entsperren. Daraufhin werden Sie aufgefordert, das erkannte Gerät zu bestätigen.
Abbildung 5: Ist der Bootloader entsperrt, laden Sie per Mausklick im Installer das passende aktuelle Abbild für Ihr Pixel-Modell herunter.
Während des Vorgangs startet das Smartphone mehrmals neu, bis das Flash-Skript seine Arbeit abgeschlossen hat. Dann verlässt es den Bildschirm mit der Überschrift fastbootd, und das Gerät befindet sich wieder im Bootloader. Nun geht es daran, den Bootloader zu schließen. Dazu gibt es einen Schalter mit der Aufschrift Lock bootloader.
Den Befehl müssen Sie auf dem Pixel autorisieren, indem Sie die Lautstärkewippe betätigen, bis die Bestätigung erscheint. Dann drücken Sie den Startknopf. Das Smartphone signalisiert den korrekten Zustand mit einem grünen locked. Damit ist der Installationsvorgang abgeschlossen.
Die Nutzerführung über mehrere Schalter im Browser macht es fast unmöglich, das Smartphone zu “bricken”, also in einen nutzlosen Backstein zu verwandeln. Wenn während des Vorgangs etwas nicht auf Anhieb gelingt, wechseln Sie einfach zurück in den Bootloader und versuchen es erneut (Abbildung 6).
Abbildung 6: Das aus Sicherheitsgründen wichtige Schließen des Bootloaders nach der Installation löst der GrapheneOS-Installer vorbildlich: Sie benötigen lediglich jeweils einen Mausklick im Installer und einen weiteren auf dem Gerät, um dieses Einfallstor für Manipulationen zu versiegeln.
Danach wählen Sie die Startoption und booten erstmals in das neu installierte System. Nach dem Start durchlaufen Sie zunächst die üblichen Einstellungsdialoge, etwa zur Konfiguration von Sprache, Uhrzeit und WLAN. Als Nächstes öffnen Sie in den Einstellungen wieder System | Entwickleroptionen und setzen unter OEM-Unlocking den Entwicklermodus zurück. Möchten Sie sichergehen, dass das neue System nicht über das zur Installation genutzte Gerät kompromittiert wurde (Abbildung 7), prüfen Sie das mit der vorinstallierten App Auditor [11].
Abbildung 7: Mit der App Auditor stellen Sie nach der Installation sicher, dass das Smartphone während des Vorgangs nicht kompromittiert wurde. Dazu benötigen Sie ein zweites Gerät, auf dem Android 8 oder neuer läuft.
Apps installieren
Um den Zweck von Graphene, nicht aus den Augen zu verlieren, nämlich ein möglichst sicheres System, sollten Sie bei der Installation von Apps überlegt vorgehen. Als guter Einstieg bietet sich statt des standardmäßig verfügbaren Google Play Store der alternative App-Store F-Droid an. Alles, was Sie aus dem in der Standardkonfiguration ebenfalls freigeschalteten Repository installieren, ist freie Software.
Dazu müssen Sie das APK der Anwendung von der Projektseite herunterladen und dann einspielen. Wenn Sie das Paketformat APK noch nicht kennen, sollten Sie sich vorher über eventuelle Gefahren informieren [12]. Falls Sie bei Graphene auf Anhieb keinen Browser finden: Er versteckt sich hinter der App Vanadium, einer speziell gehärteten Version von Googles Browser Chromium (Abbildung 8).
Abbildung 8: Der alternative App-Katalog F-Droid bietet in der Standardeinstellung nur quelloffene Software ohne Werbung an. Sie installieren die App als APK und sollten sie dazu nur von der Projektseite selbst herunterladen.
Nach dem Einrichten von F-Droid installieren Sie von dort zunächst KDE Connect und erhalten damit von diversen Rechnern im Heimnetz Zugriff auf das Pixel und umgekehrt. Sie können in F-Droid nach Apps oder Stichworten suchen. So finden Sie beispielsweise nach der Eingabe von “Messenger” eine Auswahl an Apps dieser Gattung von verschiedenen Anbietern wie Matrix, Telegram oder Wire. Eine weitere Vielzahl an Apps bietet der quelloffene Aurora Store, der eine Alternative zu Google Play darstellt und sich ebenfalls über F-Droid einrichten lässt (Abbildung 9).
Abbildung 9: Der Aurora-Store bietet eine weitere Möglichkeit, Apps ohne Google Play und ohne Umweg über APKs zu installieren. Er offeriert auch Apps, die im Play Store fehlen. Soll auf dem Gerät nur freie Software laufen, so müssen Sie hier im Gegensatz zu F-Droid selbst auf die Lizenz achten.
Soll es doch lieber der originale Google-Play Store sein, so lässt sich das mit dem oben bereits erwähnten Sandboxed Google Play erreichen. Die sehr ausführliche Dokumentation beschreibt die Herangehensweise gut. Zur Absicherung laufen Google Play und daraus installierte Apps in einem eigenen Profil, das Sie vor der Installation anlegen.
Fazit
GrapheneOS bietet auf einem Android-basierten Smartphone ein Maximum an Sicherheit, ohne das Gerät seiner Alltagstauglichkeit zu berauben. Ein handlicher Web-Installer führt Sie durch das Einrichten des Systems. So gelingt das Setup wesentlich entspannter als beispielsweise das Aufspielen von LineageOS. Die Dokumentation ist insgesamt sehr ausführlich, eine FAQ [13] beantwortet häufig gestellte Fragen rund um die Sicherheit.
Dort wird auch beschrieben, wie Sie den Standard-DNS-Server von Cloudflare durch den eines anderen Anbieters ersetzen. Wie sicher Ihr Smartphone mit Graphene läuft und wie gut es Ihre Daten schützt, hängt zum Teil von Ihrer Auswahl an Apps und Diensten sowie den vorgenommenen Einstellungen ab. So erlaubt Graphene beispielsweise, die Kamera systemseitig abzuschalten (Abbildung 10). Dann dürfen auch Anwendungen, denen der Zugriff prinzipiell erlaubt ist, die Kamera nicht mehr öffnen (Abbildung 11).
Abbildung 10: Die Sicherheit Ihres Geräts bestimmen Sie zum Teil selbst durch die Auswahl der installierten Apps und die getroffenen Einstellungen.
Abbildung 11: Die Kamera ist aus Sicherheitsgründen standardmäßig blockiert. Es liegt an Ihnen, sie generell oder situationsbedingt freizugeben.
Die derzeitige Beschränkung auf Googles Pixel-Smartphones könnte demnächst fallen. Wie Daniel Micay auf Twitter mitteilte, will das GrapheneOS-Projekt mit einem Hardwarehersteller zusammenarbeiten, um Graphene vorinstalliert auf einem Smartphone auszuliefern. Weitere Einzelheiten sollen in den nächsten Monaten folgen.
Als Alternative mit ähnlichem Sicherheitsansatz gibt es eigentlich nur CalyxOS [14]. Im Unterschied zu GrapheneOS bringt es allerdings MicroG und reiht sich damit bei der Sicherheit zwischen AOSP und GrapheneOS ein, schränkt aber den Komfort weniger ein als Letzteres. (cla)
Infos
-
GrapheneOS: https://grapheneos.org
-
CopperheadOS: https://copperhead.co/android/
-
MicroG: https://github.com/microg
-
Google Apps: https://grapheneos.org/usage#sandboxed-google-play
-
Linux-Hardened: https://github.com/anthraxx/linux-hardened
-
Dokumentation: https://grapheneos.org/features
-
Verified Boot: https://source.android.com/security/verifiedboot
-
Installation: https://grapheneos.org/install/
-
Auditor: https://attestation.app/about
-
APK: https://www.netzwelt.de/news/163790-apk-dateien-installieren-apps-bedenkenlos-herunterladen.html
-
CalyxOS: https://calyxinstitute.org
