Sollte Ich GrapheneOS oder CalyxOS verwenden?
GrapheneOS und CalyxOS werden oft als ähnliche Optionen für Personen verglichen, die nach einem alternativen Android-Betriebssystem für ihre Pixel-Geräte suchen. Im Folgenden sind einige Gründe aufgeführt, warum wir GrapheneOS CalyxOS vorziehen sollten.
Update-Häufigkeit
CalyxOS hat einen Ruf, etwas langsamer Sicherheits- und Feature-Updates für sein Betriebssystem- und Kernanwendungen als andere benutzerdefinierte Android-Betriebssysteme. Aktuelle Sicherheitsupdates sind einer der wichtigsten Faktoren bei der Entscheidung, ob ein OS sicher genug für den regelmäßigen Gebrauch ist, was eine Voraussetzung für Privatsphäre ist.
Im Gegensatz dazu gelingt es GrapheneOS, nahe am Hauptentwicklungsstrang zu bleiben und in einigen Fällen sogar Updates vor dem Standard-OS zu liefern.
Zum Beispiel wurde die erste Android 12-Version von GrapheneOS im Oktober 2021 veröffentlicht, während CalyxOS im Januar 2022 zu Android 12 wechselte.
Sandboxed Google Play vs. privileged microG
Systemberechtigungen
Wenn Sandboxed Google Play Dienste auf GrapheneOS verwendet werden, werden sie mit dem stark einschränkenden Privilegien, der standardmäßigen untrusted_app SELinux-Domain Flag, eingegrenzt. Dadurch habt ihr die volle Kontrolle darüber, auf welche Apps diese Dienste über Berechtigungen zugreifen können, genau wie bei jeder anderen App, die ihr installiert. Sandboxed GooglePlay ist für GrapheneOS einfach gesagt, nur eine normale App, die nichts darf, ausser zu funktionieren. Außerdem könnt ihr auswählen, in welchem Profil Sandboxed Google Play installiert werden soll, und in welchem nicht, könnt also ein sauberes Profil ohne G-Play fahren, und ein Profil, indem G-Play installiert ist. Dies ist sinnvoll für den Umstieg, und wenn ihr noch nicht ganz auf Open Source Apps umgestiegen seid.
MicroG ist eine teilweise Open-Source-Neuimplementierung der Google Play Dienste. Bei CalyxOS wird es hingegen im privilegierten system_app SELinux-Domain betrieben, ähnlich den regulären Google Play Diensten, und es verwendet Signature Spoofing, um sich als Google Play Dienste auszugeben. Dies ist weniger sicher als der Ansatz von Sandboxed Google Play, der keinen Zugriff auf sensible System-APIs benötigt.
Standortabfragen
Bei Verwendung von Sandboxed Google Play in GrapheneOS ist so eingestellt, dass Standortanfragen an die GooglePlay Services API zurück an die OS-Standort-API geleitet werden, welches satellitengestützte Standortdienste verwendet. Die Standortbestimmung von G-Play wird hier effektiv ausgetrickst.
Mit MicroG könnt Ihr zwischen verschiedenen A-GNSS Standort-Backend-Anbietern wählen, einschließlich der Verlagerung des Vertrauens zu einem anderen Standort-Backend wie Mozilla: der Verwendung von DejaVu, einem Standort-Backend, das RF-basierte (Funkfrequenzstandards) Standortdaten lokal sammelt und in einer Offline-Datenbank speichert, die verwendet werden kann, wenn GPS nicht verfügbar ist; ihr könnt aber auch verzichten, überhaupt ein Netzwerkstandort-Backend zu verwenden. Die Nutzung eines externen Backends bedeutet immer, dass ihr Daten aus der Hand gebt, auch wenn es sich dabei um vertrauensvolle Anbieter wie Mozilla handelt, ist dies von manchen Usern nicht erwünscht.
Netzwerkstandortanbieter wie die GooglePlay Dienste oder Mozilla basieren darauf, dass die MAC-Adressen und SSID's umliegender WLAN-Access Points und Bluetooth-Geräte für die Standortnäherung übermittelt werden. Die Wahl eines Netzwerkstandortes wie Mozilla zur Verwendung mit microG bietet wenig bis gar keinen Datenschutzvorteil gegenüber Google, da ihr immer noch dieselben Daten übermittelt und darauf vertraut, dass diese nicht zur Erstellung von Profilen verwendet werden.
Lokale RF-Standort-Backends wie DejaVu erfordern, dass das Telefon zuerst ein aktiviertes GPS hat, damit die lokal gesammelten RF-Daten nützlich sind. Dies macht sie als Standortanbieter weniger effektiv, da die Aufgabe eines Standortanbieters darin besteht, die Standortnäherung zu unterstützen, wenn satellitengestützte Dienste nicht funktionieren.
Wenn euch der Schutz eures Standortes oder der MAC-Adressen und SSID's vor nahegelegener Geräte wichtig ist, ist die Umleitung von Standortanfragen an die OS-Standort-API immer die beste Option. Der von microG's benutzerdefiniertem Standort-Backend gebrachte Vorteil ist im Vergleich zu Sandboxed Google Play minimal und besteht nur darin, die Daten an Mozilla zu senden, und nicht an Google. Natürlich ist Mozilla weitaus mehr zu vertrauen, als Google, einen Unterschied macht dass dann aber in der praxis gesehen nicht.
Anwendungskompatibilität
In Bezug auf die Anwendungskompatibilität wird Sandboxed Google Play auf GrapheneOS immer kompatibler mit allmöglichen Apps sein, da es sich um denselben Code handelt, der von Google veröffentlicht wird. MicroG ist eine Neuimplementierung dieser Dienste. Daher werden nur die Teile unterstützt, die neu implementiert wurden, was bedeutet, dass einige Dinge wie Google Play Games und die In-App Billing API noch nicht unterstützt werden.
Größere Apps, insbesondere Spiele, erfordern, dass GooglePlay Asset Delivery installiert ist, was derzeit in microG nicht implementiert ist. Die Authentifizierung mit FIDO bei Online-Diensten auf Android basiert ebenfalls auf Play Diensten und funktioniert derzeit nicht mit microG.
eSIM-Aktivierungsanwendung
Derzeit ist die eSIM-Aktivierung in CalyxOS an eine privilegierte proprietäre Anwendung von Google gebunden. Die App hat die Berechtigung READ_PRIVILEGED_PHONE_STATE, die Google Zugriff auf Eure Hardware-Identifikatoren wie die IMEI gibt.
Bei GrapheneOS ist die App standardmäßig deaktiviert, und ihr können sie nach der Installation von Sandboxed Google Play optional aktivieren.
Bei CalyxOS ist die App standardmäßig installiert (unabhängig davon, ob ihr euch für microG entschieden habt oder nicht), und Ihr könnt sie nicht abwählen. Das bedeutet, dass Google weiterhin Zugriff auf eure Hardware-Identifikatoren hat, unabhängig davon, ob ihr die eSIM-Aktivierung benötigt oder nicht, und sie könnten dauerhaft darauf zugreifen.
Dieses eSim Problem besteht auch auf weitesgehend auf anderen Betriebssystemen wie LineageOS, eOS und Vola Smartphones!
Priviligierte App-Erweiterungen
Android 12 und höher bieten spezielle Unterstützung für nahtlose App-Updates mit Drittanbieter-App-Stores. Das beliebte Free and Open-Source Software (FOSS) Repository F-Droid implementiert diese Funktion nicht und erfordert eine privilegierte Erweiterung, die mit der Android-Distribution enthalten sein muss, um unbeaufsichtigte App-Updates zu ermöglichen.
CalyxOS enthält die privilegierte Erweiterung, die die Gerätesicherheit verringern könnte.
Wir empfehlen alle Apps, bzw. soviele wie möglich davon, aus dem F-Droid Store zu beziehen, da hier auch unerfahrenere Benutzer davon ausgehen können, dass sie googlefreie Software erhalten: Google Push/FCM Implementationen sind da garnicht er enthalten. Alle Apps aus dem F-Droid Store sind von proprietären Funktionen wie Location Services und Push vollständig befreit. Problematisch ist jedoch ein Punkt: es kann es sein, dass auch im F-Droid Store Apps landen, in der sich böswilliger Code eingeschlichen hat, deshalb seid ihr in der Verantwortung, die App vorher zu prüfen, wie alt sie ist, und wann sie das letzte mal geupdated worden ist. GrapheneOS empfiehlt für absolute Einsteiger sogar, Apps via Sandboxed Google Play zu installieren, da Google mit seiner Kapazität auch wirklich darauf achten kann, dass sich keine virenverseuchte Apps im PlayStore befinden.
Profile
GrapheneOS verbessert Benutzerprofile in vielerlei Hinsicht, z. B. durch Erhöhung des Limits, wie viele Profile ihr erstellen könnt (32 statt der Standard 4), die Möglichkeit sich aus Benutzerprofilen auszuloggen, die Deaktivierung der App-Installation und die Weiterleitung von Benachrichtigungen. All diese Verbesserungen ermöglichen es, dass Benutzerprofile täglich genutzt werden können, ohne zu viel Benutzerfreundlichkeit zu opfern.
CalyxOS bietet keine Verbesserungen für Benutzerprofile im Vergleich zu AOSP und enthält stattdessen eine Gerätesteuerungs-App, damit das Arbeitsprofil ohne Download einer Drittanbieter-App wie Shelter verwendet werden kann. Arbeitsprofile sind jedoch nicht annähernd so flexibel (da ihr auf nur eines beschränkt seid) und bieten nicht den gleichen Grad an Isolation und Sicherheit.
Zusätzliche Absicherung von GrapheneOS
GrapheneOS verbessert die AOSP-Sicherheit mit:
- Hardened WebView: Vanadium WebView erfordert 64-Bit-Prozesse im WebView-Prozess und deaktiviert veraltete 32-Bit-Prozesse. Es verwendet gehärtete Compileroptionen wie -fwrapv und -fstack-protector-strong, die helfen können, Stack Pufferoverflows zu verhindern. APIs wie die Batteriestatus-API werden aus Datenschutzgründen deaktiviert.
Alle System-Apps auf GrapheneOS verwenden das Vanadium WebView, sodass Apps, die WebView verwenden, ebenfalls von der Absicherung von Vanadium profitieren. Der Vanadium Patch-Set ist umfangreicher als CalyxOS's Chromium Patch-Set, das davon abgeleitet ist. - Gehärteter Kernel: Der GrapheneOS-Kernel enthält einige Absicherungen aus dem linux-hardened Projekt und dem Kernel Self Protection Project (KSPP). CalyxOS verwendet denselben Kernel wie reguläres Android mit einigen geringfügigen Modifikationen.
- Hardenend Memory Allocator: GrapheneOS verwendet das gehärtete malloc-Subprojekt als seinen Memory Allocator. Dies konzentriert sich auf die Absicherung gegen memory heap corruption's. CalyxOS verwendet den standardmäßigen AOSP Scudo Malloc, der im Allgemeinen weniger effektiv ist. Hardened Malloc hat Schwachstellen in AOSP aufgedeckt, die von GrapheneOS behoben wurden, wie z.B. CVE-2021-0703.
- Secure Exec-Spawning: GrapheneOS startet frische Prozesse anstelle des von AOSP und CalyxOS verwendeten Zygote-Modells. Das Zygote-Modell schwächt die Address Space Layout Randomization (ASLR) und gilt als weniger sicher. Das Erstellen frischer Prozesse ist sicherer, hat jedoch einige Leistungseinbußen beim Starten einer neuen Anwendung. Diese Einbußen sind wirklich nur bemerkbar, wenn Ihr ein altes Gerät mit langsamem Speicher habt, wie z. B. das Pixel 3a/3a XL, da es noch eMMC Speicher hat.
Empfehlungen
Schauen wir uns die Unterschiede nochmals etwas verständlicher an:
Die Wahl zwischen MicroG in CalyxOS und sandboxed Google Play in GrapheneOS hängt von euren persönlichen Anforderungen und Vorlieben ab, besonders wenn es um die Nutzung von Google Apps (G-Apps) geht.
MicroG in CalyxOS:
- MicroG ist ein auf Privatsphäre ausgerichteter Ersatz für Google Play Services. Es ersetzt viele sensible Informationen durch generische Werte und entfernt bestimmte Funktionen, die Datenschutz bedenken erzeugen könnten.
- MicroG nutzt Open-Source-Komponenten, die durch Reverse-Engineering entwickelt wurden, was bedeutet, dass man sehen kann, welche Daten an welche Dienste weitergeleitet werden.
- Allerdings kann MicroG zwischen Apps Daten "leaken", da es in der Regel nicht innerhalb einer Sandbox läuft.
- Die Standortbestimmung verwendet externe Dienste wie Beispielsweise die von Mozilla, können aber deaktiviert werden.
Sandboxed Google Play in GrapheneOS:
- Hier werden die unveränderten, proprietären Google-Dienste verwendet, jedoch ohne Systemrechte. Dies verhindert, dass diese Dienste auf höhere Rechte zugreifen, wie zum Beispiel das Auslesen der IMEI oder anderen Gerätedaten.
- Die Gerätedaten werden verbessert durch generische Daten geschützt.
- Nutzer können den Apps selektiv Netzwerk- und Speicherzugriffsrechte entziehen, was die Privatsphäre verbessern kann.
- GrapheneOS sendet keine Standort Unterstützungsfragen an externe Dienste sondern verwendet dabei nur das interne GPS. Das ist jedoch langsamer als mit externen Standort-Unterstützenden Ortung Diensten. Mit SUPL und PSDS kann die Standortbestimmung effizient verbessert werden, ohne dafür private Daten opfern zu müssen.
- GrapheneOS verwendet eigene Proxies für Geo-Daten und Health-Checks, um das Datenverhalten zu Google zu unterbinden.
Detailierter betrachtet:
GrapheneOS
Für Benutzer, die die höchste Sicherheitsstufe und Datenschutzpriorisierung suchen, ist GrapheneOS die beste Wahl. Mit regelmäßigen Sicherheitsupdates und strengen Absicherungen wie gehärtetem WebView, Kernel und Speicherzuordner, bietet es eine robuste Verteidigung gegen Bedrohungen. Es verfolgt einen Ansatz, der nahe am Hauptentwicklungsstrang von Android bleibt, was eine zügige Implementierung von Aktualisierungen ermöglicht. Außerdem profitieren Benutzer von Sandboxed Google Play, was euch eine sicherere (aber nicht komplett Anonyme!) Methode bietet, Google-Dienste zu nutzen, ohne grossartig viel Privatsphäre zu opfern. Eine komplette anonyme Erfahrung erlangt ihr nur bei kompletten Verzicht auf Sandboxed Google Play und der Verwendung von F-Droid Apps. Nutzer, die bereit sind, potenzielle Leistungseinbußen für zusätzliche Sicherheitsmaßnahmen in Kauf zu nehmen und denen eine stärkere Kontrolle über ihre Geräte am Herzen liegt, werden GrapheneOS als ideal empfinden.
CalyxOS:
CalyxOS eignet sich für diejenigen, die eine Balance zwischen Benutzerfreundlichkeit und Datenschutz suchen. Es bietet einige der Datenschutzvorteile, ist jedoch flexibler in Bezug auf Anwendungen und Dienste. Zum Beispiel beinhaltet es microG, eine Open-Source-Alternative zu Google Play Diensten, und ermöglicht benutzerfreundliche Features wie das einfache Einrichten von Arbeitsprofilen. Während es einige Sicherheitsverbesserungen gegenüber dem Standard-Android bietet, steht es nicht ganz auf dem gleichen Niveau wie GrapheneOS. Für Nutzer, die von den Google-Diensten wegkommen, aber nicht alle Vorteile von GrapheneOS benötigen oder wollen, ist CalyxOS eine ausgezeichnete Alternative.
Und LineageOS?
LineageOS, das aus dem CyanogenMod-Projekt hervorgegangen ist, hat seit langem einen Platz in der Gemeinschaft der Android-Enthusiasten. Es hat vielen Nutzern ermöglicht, ältere Geräte wiederzubeleben und bietet eine Reihe von Anpassungen, die in der Standard-Android-Erfahrung nicht zu finden sind.
Allerdings, in einer Zeit, in der Sicherheit und Datenschutz immer wichtiger werden, haben sich andere Betriebssysteme wie CalyxOS und GrapheneOS mit einem stärkeren Fokus auf diese Aspekte entwickelt. Sie bieten fortschrittliche Datenschutzfunktionen und Sicherheitsverbesserungen, die LineageOS oft nicht auf dem gleichen Niveau bieten kann. Darüber hinaus wird LineageOS manchmal kritisiert, weil es nicht so schnell Sicherheitspatches integriert wie andere Systeme.
Während LineageOS eine größere Geräteunterstützung aufweist und für viele ältere Smartphones oft die einzige Alternative zu veralteter Stock-Software darstellt, hat es seinen Platz als "One-Size-Fits-All"-Lösung für Android-Alternativen verloren. Für Benutzer, die wirklich Wert auf maximale Sicherheit und Datenschutz legen, sind CalyxOS und GrapheneOS oft bessere Optionen, vorausgesetzt, ihr Gerät wird unterstützt.
Bei allen Lineage Installation kann der Bootloader nach der Installation nicht mehr gesperrt werden. Dies stellt eine Gefahr dar, da ein technisch versierter Anwender der eures Smartphone findet das System anschliessend ganz einfach löschen oder im schlimmsten Fall manipulieren kann. Deshalb sollte Lineage auschliesslich auf alten Geräten installiert werden auf dem ein googlefreies Erlebnis für eine kurze Zeit getestet werden sollte.
Wer sein Smartphone wirklich lange und sicher verwenden möchte, benutzt CalyxOS oder am besten GrapheneOS
Fazit
Während alle Betriebssysteme ihre Stärken haben, hängt die Entscheidung letztlich von den individuellen Anforderungen und Prioritäten von euch als Nutzer ab. Wer maximale Sicherheit und Kontrolle über sein Gerät sucht, sollte GrapheneOS wählen, während diejenigen, die eine Mischung aus Komfort und Datenschutz suchen, CalyxOS in Erwägung ziehen sollten.
Insgesamt sollte LineageOS in Erwägung gezogen werden, wenn das Hauptziel darin besteht, ältere Hardware mit einer aktualisierten Android-Version wiederzubeleben. Wenn jedoch Sicherheit und Datenschutz im Vordergrund stehen, sollten Benutzer die Kompatibilität ihres Geräts mit den neueren, sicherheitsorientierten Betriebssystemen überprüfen.