GrapheneOS verspricht, Ihr Android-Telefon in eine Bastion der Privatsphäre zu verwandeln, aber wie fühlt es sich an, es zu verwenden?
Wenn Sie auf Datenschutz achten und ein neues Smartphone kaufen möchten, haben Sie heutzutage nicht viele Möglichkeiten. Manche kaufen jedes Mal widerwillig ein iPhone, weil Apples Engagement und Erfolgsbilanz in Sachen Datenschutz so hervorragend ist, während viele von uns die Datensammlung von Google im Austausch für den Komfort und die KI-gestützten Funktionen akzeptieren, die Android zu bieten hat. Aber was wäre, wenn Sie ein Android-Telefon in eine Bastion der Privatsphäre verwandeln könnten? Genau das ist das Ziel von GrapheneOS, einem Aftermarket-Custom-ROM, das ich kürzlich entdeckt habe.
GrapheneOS bietet ein einfaches Angebot: Es bietet ein privates und sicheres Android- Erlebnis, ohne die Benutzerfreundlichkeit Ihres Smartphones zu beeinträchtigen. Sie können Apps aus dem Play Store herunterladen, Push-Benachrichtigungen über die Server von Google erhalten und sogar Ihre Daten wie gewohnt synchronisieren. Und das alles, während Google daran gehindert wird, Daten über Ihr Smartphone zu sammeln. Aber wie funktioniert das alles und lohnt es sich überhaupt, GrapheneOS zu verwenden? Um das herauszufinden, habe ich es auf einem Pixel 6 getestet.
Warum GrapheneOS verwenden: Mehr als ein Smartphone ohne Google
Bevor ich über meine Erfahrungen bei der Installation und Nutzung von GrapheneOS spreche, gehe ich auf eine Frage ein, die Sie sich wahrscheinlich fragen: Was ist überhaupt ein „datenschutzgeschütztes“ benutzerdefiniertes ROM? Und wie erreicht GrapheneOS sein datenschutzorientiertes Ziel mit installierten Google-Diensten?
Einfach ausgedrückt: GrapheneOS verfolgt nicht den nuklearen Ansatz in Bezug auf Datenschutz und Sicherheit bei Android, wie wir ihn in der Vergangenheit gesehen haben. Anstatt die Google-Dienste vollständig zu entfernen, bietet es eine Möglichkeit, sie in einer Sandbox zu betreiben.
GrapheneOS löscht Google-Apps nicht im Namen des Datenschutzes, sondern sorgt lediglich dafür, dass sie sich gut verhalten.
Sandboxing ist kein neues Konzept. Unter Android werden alle vom Benutzer installierten Apps aus Sicherheitsgründen absichtlich in einer Sandbox ausgeführt oder isoliert. Dies verhindert, dass sie miteinander interagieren oder schädlichen Code ausführen, der Ihr gesamtes Gerät beeinträchtigt. Google-Apps werden jedoch besonders behandelt. Die meisten Android-Telefone werden mit Google-Diensten ausgeliefert, die als privilegierte Apps auf der Systempartition vorinstalliert sind, was ihnen im Wesentlichen uneingeschränkten Zugriff gewährt, bevor Sie das Gerät überhaupt eingerichtet haben.
Um diesem Diktat zu entgehen, installieren datenschutzbewusste Benutzer normalerweise ein benutzerdefiniertes ROM wie LineageOS und weigern sich einfach, Google-Apps zu installieren. Natürlich können Sie dasselbe mit GrapheneOS tun, da es standardmäßig nicht mit Google-Diensten ausgeliefert wird. Aber was, wenn Sie Google-Dienste ohne Tracking wünschen? Hier glänzt GrapheneOS und hier enden auch die Ähnlichkeiten mit anderen benutzerdefinierten ROMs.
Während die meisten anderen ROMs erwarten, dass Sie Google-Apps auf der Systempartition installieren, macht GrapheneOS das Gegenteil. Sie können den Google Play Store und die Play Services als Benutzer-Apps installieren und sie so zwingen, die Sandbox von Android zu respektieren. Auf diese Weise können Sie auch vertrauliche App-Berechtigungen wie Standort- und Dateizugriff widerrufen. Das Blockieren von Berechtigungen funktioniert genauso effektiv wie beispielsweise für die Twitter-App.
GrapheneOS schenkt den Apps und Diensten von Google keine Sonderbehandlung.
GrapheneOS ermöglicht es Ihnen, die Annehmlichkeiten und Vorteile von Google-Diensten auf Ihrem Android-Gerät zu nutzen, ohne Ihre Privatsphäre zu gefährden. Aber das ist nur die Spitze des Eisbergs. Während meiner Zeit mit GrapheneOS habe ich eine Reihe von Funktionen entdeckt, von denen ich nur hoffen kann, dass sie in Zukunft auch auf Android verfügbar sein werden.
Welche Geräte unterstützt GrapheneOS?
Die Liste der von GrapheneOS unterstützten Geräte ist auf Google Pixel-Telefone beschränkt. Sie können GrapheneOS auf Pixel 7 Pro, Pixel 7, Pixel 6a, Pixel 6 Pro, Pixel 6, Pixel 5a, Pixel 5, Pixel 4a 5G und Pixel 4a installieren.
Speicherbereiche
Mit Android 13 hat Google einen neuen Fotowähler eingeführt, mit dem Sie nur ausgewählte Fotos und Videos mit einer App teilen können. Das bedeutet, dass Sie nicht mehr vollen Zugriff auf Ihren Speicher oder sogar alle Ihre Mediendateien gewähren müssen. Es ist eine nette Datenschutzfunktion, aber Google hat den neuen Fotowähler noch nicht durchgesetzt.
GrapheneOS geht mit seinem eigenen alternativen Berechtigungssystem namens Storage Scopes noch einen Schritt weiter. Wenn es aktiviert ist, täuscht GrapheneOS der App vor, dass sie Zugriff auf alle angeforderten Speicherberechtigungen hat. In Wirklichkeit kann die App jedoch nur Dateien erstellen. Wenn ich ein Foto oder Dokument mit der App teilen möchte, kann ich einzelne Dateien und Ordner über die Seite „App-Info > Speicher“ (siehe Abbildung oben) angeben.
Was wäre, wenn Sie über die Speicherberechtigung nur bestimmte Dateien und Ordner für Apps freigeben könnten?
Selbst wenn Google seinen neuen Fotowähler später in diesem Jahr mit Android 14 durchsetzt , wird er für Nicht-Mediendateien nicht funktionieren. Tatsächlich scheint Storage Scopes eine bessere Version zu sein und funktioniert bei meiner Verwendung sehr gut, um weniger vertrauenswürdige Apps davon abzuhalten, in meinen Speicher zu spähen.
Ein Grund für die Verwendung mehrerer Benutzerprofile
Android ermöglicht Ihnen die Erstellung mehrerer Benutzerprofile, jedes mit seinen eigenen Apps, Konten und Daten. Ich habe die Funktion nie für etwas anderes als ein separates Arbeits- oder Unterhaltungsprofil auf Telefonen nützlich gefunden, aber Sie können sie auch verwenden, um ein Tablet für mehrere Benutzer freizugeben. Apps können nicht außerhalb des aktuellen Profils „sehen“, was es zu einem weiteren effektiven Datenschutztool macht.
Mit GrapheneOS kann ich mehrere Benutzerprofile verwenden, um Apps noch weiter zu isolieren. Da GrapheneOS Google-Dienste als normale Apps installiert, können wir sie zusammen mit anderen Apps, die nicht im Hintergrund laufen sollen, in ein sekundäres Profil verbannen.
GrapheneOS kann außerdem Benachrichtigungen von einem Profil an das Profil weiterleiten, das ich gerade verwende. Auf anderen Android-Geräten müsste ich mich bei jedem Benutzerprofil anmelden, um nach verpassten Benachrichtigungen zu suchen – nicht sehr praktisch.
Netzwerkzugriff pro App
Haben Sie sich schon einmal gefragt, warum eine Taschenlampen-App Internetzugang benötigt? Mit GrapheneOS kann ich Apps einfach den Internetzugang verweigern. Immer wenn ich eine neue App installiere, erscheint eine Bestätigungsabfrage, ob ich den Netzwerkzugriff aktivieren möchte.
Zugegeben, Sie können mit einer Firewall wie Netguard dasselbe auf jedem anderen Android-Gerät erreichen. Aber es ist wohl bequemer und effektiver, den Internetzugang zu blockieren, bevor Sie überhaupt eine neue App auf Ihrem Gerät installiert haben. Ganz zu schweigen davon, dass Firewall-Apps wie Netguard ein VPN auf dem Gerät erstellen, um den Netzwerkverkehr zu filtern. Dieser Ansatz verhindert, dass Sie eine Verbindung zu einem tatsächlichen VPN herstellen.
Mit GrapheneOS müssen Sie sich nicht zwischen dem Blockieren des Netzwerkzugriffs auf bestimmte Apps und der Verbindung mit einem echten VPN entscheiden – Sie können beides haben. Ich erwähne dies, weil die meisten Leute, denen die Sicherheit ihres Geräts am Herzen liegt, wahrscheinlich auf ein VPN vertrauen.
Weitere Sicherheits- und Datenschutzboni
Als ob das alles noch nicht genug wäre, bündelt GrapheneOS auch kleinere sicherheits- und datenschutzorientierte Funktionen. Hier sind einige Beispiele:
- Verschlüsselte PIN-Eingabe: Der Sperrbildschirm von GrapheneOS ändert das PIN-Eingabelayout jedes Mal, wenn ich mein Telefon entsperre (siehe Abbildung oben). Dadurch wird verhindert, dass jemand meine PIN allein anhand meiner Handbewegungen errät. Ich erinnere mich, dass Galerie-Tresor-Apps von Drittanbietern diese Funktion schon vor fast einem Jahrzehnt hatten, aber sie hat ihren Weg immer noch nicht zu Android gefunden.
- Umschalten der Sensorberechtigung: Mit GrapheneOS können Sie den Zugriff auf Sensoren wie Kompass, Gyroskop und Barometer steuern. Dies ist eine App-Berechtigung. Wenn Sie sie deaktivieren, empfängt die App keinerlei Sensordaten.
- Automatischer Neustart: Einige Android-OEMs bieten die Möglichkeit, automatische Neustarts jede Nacht oder Woche zu planen, Google jedoch nicht. Warum sollten Sie diese Möglichkeit aktivieren? Aus Datenschutzgründen löscht ein Neustart Ihres Geräts die Verschlüsselungsschlüssel aus dem Speicher und zwingt den Gerätebesitzer, seine PIN einzugeben.
GrapheneOS auf einem Google Pixel installieren: Unerwartet einfach!
Wenn Sie wie ich die frühen 2010er Jahre hauptsächlich damit verbracht haben, mit Android-Mods wie CyanogenMod und Xposed zu experimentieren, werden Sie wahrscheinlich überrascht sein, wie einfach es ist, GrapheneOS zum Laufen zu bringen.
Die Installation ist zwar immer noch ein mehrstufiger Prozess, der jedoch größtenteils vollständig in einem Webbrowser abläuft. Und noch besser: Ich musste mir keine Sorgen machen, dass ich die falsche Zip-Datei herunterlade oder etwas flashe, das mein Telefon möglicherweise unbrauchbar machen könnte. Die Dokumentation von GrapheneOS bietet eine hervorragende Schritt-für-Schritt- Anleitung . Und selbst diese besteht im Wesentlichen nur aus dem Klicken einiger Schaltflächen auf einem Computer und dem Akzeptieren der Eingabeaufforderungen, die auf meinem verbundenen Telefon angezeigt werden.
Die Installation von GrapheneOS erfordert bemerkenswert wenig Aufwand und erfolgt größtenteils über einen Webbrowser.
Auch die Rückkehr zum Standard-ROM ist nicht sehr aufwändig – Sie müssen stattdessen lediglich das Web-Flashing-Tool von Google verwenden. Alles in allem handelt es sich um eine wesentliche Verbesserung gegenüber einem früher recht mühsamen und riskanten Prozess.
Sie können GrapheneOS auch über die Befehlszeile installieren, aber die WebUSB-Methode sollte genauso gut funktionieren. Und sobald Sie GrapheneOS gestartet haben, ist die Installation von Sandboxed Play Services kein großer Aufwand. Die App „Apps“ deckt alle wichtigen Google-Apps ab.
Wie installiere ich GrapheneOS?
Um GrapheneOS zu installieren, müssen Sie die OEM-Entsperrung im Menü „Entwickleroptionen“ Ihres Pixel-Smartphones freischalten. Verbinden Sie das Gerät anschließend über ein USB-C-Kabel mit einem Computer und rufen Sie das offizielle GrapheneOS-Webinstallationsprogramm auf. Das Installationsprogramm führt Sie durch das Entsperren des Bootloaders Ihres Telefons, das Flashen des benutzerdefinierten ROM und das erneute Sperren des Bootloaders.
Die Nachteile von GrapheneOS: Was funktioniert nicht?
Bisher habe ich hauptsächlich die Vorzüge von GrapheneOS gepriesen, ohne auf die Nachteile einzugehen. Aber zugegebenermaßen gibt es einige davon – einige davon sind schwerwiegender als andere.
Zunächst einmal können Sie GrapheneOS nur auf neueren Pixel-Smartphones installieren . Das mag kontraintuitiv klingen, da Sie ein Telefon der Marke Google kaufen müssen, um alles herauszureißen und von vorne anzufangen. Aber es gibt ein paar gute Gründe für diesen Gegensatz, angefangen mit der Tatsache, dass Google Sie nicht davon abhält, alternative Betriebssysteme zu installieren. Das Unternehmen hält auch seinen Kernel-Quellcode, den Gerätebaum und die Werksabbilder ständig auf dem neuesten Stand.
Selbst wenn Sie die Anforderung akzeptieren, dass nur Pixel verfügbar sein dürfen, unterstützt GrapheneOS Geräte nur so lange, wie sie noch Android-Sicherheitsupdates erhalten. Das bedeutet, dass die Pixel-3-Serie beispielsweise weder von Google noch vom GrapheneOS-Projekt neue Updates erhält. Laut den Entwicklern ist es nicht mehr möglich, ältere Geräte sicher zu halten, wenn „Firmware, Kernel und Herstellercode nicht mehr aktiv gepflegt werden“.
GrapheneOS unterstützt nur moderne Pixel-Telefone, die noch Sicherheitsupdates erhalten.
Und dann ist da noch das große Problem: die App-Kompatibilität. Obwohl die überwiegende Mehrheit der Google-Apps problemlos funktioniert, sind einige wie Android Auto mit dem Sandbox-Modell von GrapheneOS nicht kompatibel. Allerdings ist GrapheneOS im Vergleich zu einem Smartphone ohne Google-Zugriff besonders kompatibel. Sogar Drittanbieter-Apps wie Uber, die auf Google Maps basieren, funktionieren problemlos letterboxd.
GrapheneOS kann jedoch nicht alle SafetyNet-Kompatibilitätsprüfungen ohne Google-Zertifizierung bestehen. Dies bedeutet, dass NFC-Zahlungen in Google Pay und einer kleinen Anzahl von Apps von Drittanbietern nicht funktionieren. Für Ersteres gibt es jedoch einen Workaround: Ihre Bank bietet möglicherweise eine Möglichkeit, kontaktlose Zahlungen über ihre eigene App durchzuführen, die Sie anstelle von Google Pay verwenden können. Die meisten Apps prüfen nicht auf die höchste SafetyNet-Stufe, sodass Sie nur selten auf Probleme stoßen. GrapheneOS unterstützt auch die Hardware-Attestierungsfunktion von AOSP, aber es liegt an den App-Entwicklern, diese zu nutzen.
Aber wenn Sie bereit sind, diese beiden Kompromisse in Kauf zu nehmen, kann ich Ihnen mit Sicherheit sagen, dass Sie GrapheneOS als Ihr alltägliches Smartphone-Betriebssystem verwenden können. Während der gesamten Zeit, in der ich es verwendet habe, habe ich mich nie unwohl gefühlt. Im Gegenteil, das Telefon sah aus und verhielt sich wie jedes andere Pixel 6. Das ist ein großes Lob für jedes benutzerdefinierte ROM, wenn man bedenkt, dass sie im besten Fall fehlerhaft und im schlimmsten Fall unzuverlässig sind.