1
Hi Leute, nach der Suche nach einem sicheren (mobilen) Betriebssystem, nach
LineageOS etc. sind wahrscheinlich viele von euch auch bei GrapheneOS gelandet.
Das Problem bezieht sich auf alle Custom Androids, aber nicht viele werden in
Zukunft noch Sicherheitsanforderungen bestehen. Das Problem: Google schafft sein
Sicherheits-Framework “SafetyNet” ab
[https://developer.android.com/privacy-and-security/safetynet/deprecation-timeline],
welches lückenhaft war, jedoch bisher die Nutzung etlicher Apps auch auf Custom
Androids möglich gemacht hat (auch wenn das das Vortäuschen eines veralteten
Geräts war…) Ab jetzt werden Apps die “Play Integrity” verwenden, um zu
bestimmen, ob dein Gerät sicher ist oder nicht. Wichtig: Das ist freiwillig.
Apps können es einbauen, aber auch andere Checks verwenden. Und: noch verwenden
viele Apps SafetyNet. Jetzt ist der Moment, wo neue Systeme eingebaut werden,
jetzt wird Code geschrieben. Und dieser muss sichere Androids, die nicht von
Google verifiziert sind, erlauben! GrapheneOS verwendet eigene Methoden
[https://grapheneos.org/articles/attestation-compatibility-guide], welche
sicherer sind und auf Hardware-Attestierung basieren. Sie erklären, wie man dies
implementieren kann, und so ohne Abhängigkeit von Google die Integrität des
Betriebssystems nachweisen kann. Banken sind in komplexen
Abhängigkeitsbeziehungen, viele sind Tochterfirmen anderer Banken. Stellt also
sicher, dass eure Bitte an höchster Stelle ankommt! Das ist bei sogenannten
“Ökobanken” oft die Volksbank, deren SecureGoPlus z.B. die Atruvia [atruvia.de]
entwickelt. Verwendet gerne Teile meines Anschreibens, in dem ich meine Bank
gebeten habe, GrapheneOS zu unterstützen. Über Verbesserungen freue ich mich
natürlich auch. Gerne können wir eine Liste mit Kontaktwegen zusammentragen.
Berichtet bitte eure Ergebnisse im verlinkten Repository
[https://github.com/PrivSec-dev/banking-apps-compat-report]. ::: spoiler Text
Sehr geehrte Damen und Herren, Google hat in Android die Nutzung der
“SafetyNet”-Verifikation eingestellt¹, was bedeutet, dass Apps nun auf “Play
Integrity” umstellen werden, um die Sicherheit des Gerätes zu attestieren, was
dann als Voraussetzung für die Nutzung von Apps verwendet wird. Dies ist ein
großes Problem für die Nutzer*innen von GrapheneOS², einer auf Sicherheit und
Privatsphäre optimierten Version von Android. GrapheneOS baut auf dem Code des
Android Opensource Project (AOSP) auf, erweitert dessen Sicherheitsfunktionen
jedoch drastisch.³ Ohne die zahlreichen Funktionen aufzulisten, ist es somit
mindestens so sicher wie “Google certified” Versionen von Android, wobei sie
einige erhebliche Sicherheitsfunktionen ergänzen. Ein Ausschnitt: - gehärteter
Memory Allocator - Schutz vor Auslesen des Encryption Keys durch auto-reboot -
Verbesserung der App-Sandbox mit weiteren Berechtigungen - Verbesserung der
Nutzung mehrerer Nutzerprofile, welche einen “cold state” (verschlüsselte Daten
ohne Schlüssel im RAM) ohne einen Neustart erlauben - verified & measured Boot
mit gesperrtem Bootloader und vollen Sicherheitsfunktionen (deswegen momentan
ausschließlich auf Google Pixel Geräten verfügbar) - Hardware Attestation mit
dem Auditor⁴ - Secure App spawning ohne die Verwendung einer Zygote, was die
Sicherheit stark erhöht Ich möchte sicherstellen, dass ich dieses sichere
Betriebssystem weiterhin mit ihrer Bank verwenden kann, da für mich Sicherheit
kompromisslos ist. Zudem steht sie für mich nicht im Gegensatz zu angemessenem
Datenschutz, was GrapheneOS sehr gut demonstriert. Um GrapheneOS in ihrer
Sicherheitsverifizierung zu erlauben, können sie folgende Methode anwenden:
https://grapheneos.org/articles/attestation-compatibility-guide
[https://grapheneos.org/articles/attestation-compatibility-guide] Ich hoffe
sehr, ihre Apps weiterhin verwenden zu können. Mit freundlichen Grüßen, Links: ¹
developer.android.com/privacy-and-security/safetynet/deprecation-timeline
[http://developer.android.com/privacy-and-security/safetynet/deprecation-timeline]
² grapheneos.org [http://grapheneos.org] ³ grapheneos.org/features
[http://grapheneos.org/features] ⁴ attestation.app :::
Fühl ich.
Mein 4a ist ideal gewesen, Fingerabdrucksensor geht einfach und erspart auch den powerbutton-druck, super kleine Größe (ein Traum) und gute Kameras.
Die Kameras beim 6a sind schlechter???
Keinen Kopfhörerport haben, bei diesen riesigen Größen (6a ist noch das kleinste) ist einfach nur lächerlich. Da sind Fairphones aber nicht besser.
Hab noch das 6pro, je größer je besser für mich. Aber ich hab auch Taschen wo das reinpasst 😁
Was mir am meisten aber abgeht ist der sd-slot. Hatte nie zeugs auf dem phone. Immer nur auf der karte. Geht’s mal kaputt, karte raus und einschicken. Ohne sd? Ich muß jedes photo instant nach hause in die cloud laden und lokal löschen. Nur weil Google & co ihre sch… Clouds verkaufen wollen. Wer lädt seine bilder in eine cloud???
Ja kopfhörer-port nervt auch gewaltig. Aber wenigstens gibt’s da nen adapter für. Trotzdem lächerlich. Bei den geringen Mehrkosten ist klar warum das wegelassen wird. Kauft unsere earbuds. Ugh. Fingerabdruck könnte besser sein, geht aber…
Ne fairphones sind auch doof. Kosten viel, können nix. Der markt ist echt übel geworden. Wirklich schade.
Ich kann localsend und syncthing empfehlen. Transfer über USB ist die Hölle, instabil wie sonstwas.
SD karten waren immer entweder unverschlüsselt oder nur auf dem Gerät nutzbar. Leider nichts davon ne gute option.
Syncthing nutze ich deswegen, danke. Localsend muss ich mir angucken. Aber die karten waren stets fat32. Wo waren die verschlüsselt? Ach usb geht eigentlich, ist wenigstens 5gbit fix. Aber nicht hilfreich wenn ich nicht zuhause bin. Hatte jedenfalls nie nen prob mit den Karten und vermiss das sehr.
Allein meine 100gb Musik die ich auf dem phone hab. Wenn ich das phone wechsel muss ich erstmal stundenlang syncen. Ugh.
Und alles nur damit ich bloss deren dämliche cloud nutze…
Usb geht gar nicht gerät zu gerät. MTP generell funktioniert einfach nicht und bricht andauernd ab.
Die karten konnte man verschlüsseln aber hat keiner gemacht weil der schlüssel auf dem gerät gespeichert wird und man sie nirgendwo anders benutzen kann.
Mach bei syncthing global discovery aus, leg die handys dicht an den router, schließ syncthing von ner VPN app aus, und das geht super schnell und so viel besser als per USB. MTP do be like that
Hab mit mtp keine Probs. Aber nutze es auch selten. Wenn ich was vom phone will dann wireless adb.
Ja das war ne sinnlos Verschlüsselung. Für mich war ja Sinn der Sache, daß ich anderswo dran kam.
Danke für die Tips, syncthing läuft, aber ich mag’s nicht. Bastel mir grad selbst ne app dafuer. Danke google. Danke smartphone-markt.
Was magst du an syncthing nicht? Interessant, die App würde ich gerne probieren
Naja, meine pers. Daten gehen nicht-transparent durch die Welt. Klar, ist es das sicherste foss was ich fand, aber das ist ja relativ und die Wahl gering. Kommerzielles kommt mir nicht ins Haus für solche Zwecke. Aber absolut nix gegen Syncthing. Läuft prima und zuverlässig.
Oh die app wird nie released. Ich code nur für uns, nicht für public. Software, die keiner kennt und es nirgends gibt, ist noch die sicherste 😁