Frage an euch: Viele zögern, #GraphenOS zu installieren, obwohl es eigentlich recht einfach ist. Wie wäre es, wenn der Kuketz-Blog eine Dienstleistung anbietet, die die Installation gegen eine
Frage an euch: Viele zögern, #GraphenOS zu installieren, obwohl es eigentlich recht einfach ist. Wie wäre es, wenn der Kuketz-Blog eine Dienstleistung anbietet, die die Installation gegen eine Aufwandsentschädigung von etwa 50 € übernimmt? Was denkt ihr – gäbe es dafür Interesse?
@[email protected] Wenn ich eh ein neues Tamagotchi kaufe, gibt es doch Onlinehändler, die gleich mit vorinstalliertem CustomROM oder Linux liefern. Gerade da, wo ich nach neuen Mobilgeräten schaue, wo es möglichst fair produzierte, reparable, vielleicht refurbishte Geräte gibt, gibt es auch mehr Datenschutz- und -sicherheitsbewusstsein.
@[email protected] Interessant zu erfahren währe der Grund des Zögerns.
@[email protected] Ich würde es mir sofort installieren, wenn ich ein Handy hätte, dass supportet wird. Ich brauche aber aktuell kein neues Handy und werde mir sicher kein neues Handy wegen einer Custom-ROM kaufen, also gibt es wohl erstmal kein GrapheneOS für mich. 🤷♂️
@[email protected]
Da #grapheneos leider den Support für mein Pixel4a eingestellt hat, werde ich demnächst zu #divestos wechseln.
Ich möchte eben mein Gerät so lang wie möglich nutzen. Ist halt das Spannungsfeld zwischen Sicherheit und Ressourcensparsamkeit.
@[email protected] @[email protected] It's a highly insecure device with known remote code execution vulnerabilities and many local vulnerabilities including ones which are known to have been successfully actively exploited. It hasn't received any driver, firmware or other device specific patches since after August 2023. You already should have stopped using it and moved to a reasonably security device long before GrapheneOS stopped releasing legacy extended support releases each month. We just slowed it down.
@[email protected] @[email protected]
Thanks for your detailed explanation. And as already said, #GrapheneOS is always my first choice if possible. You're doing a great job!
Do you know where to find a brief overview of all unpatched CVE for Pixel4a?
The only summary I'vr found is on
https://app.opencve.io/cve/?vendor=google&product=pixel_4a
A search on the NIST cve database was noch successful.
@[email protected] @[email protected]
Look at each of the Android and Pixel security bulletins for September 2023 and later. You're missing all the fixes in the YYYY-MM-05 section and the Pixel security bulletin page. You're also missing nearly all of the Moderate/Low severity AOSP patches since Android 14 was initially released because only Critical/High severity patches are backported to older releases in general. The monthly, quarterly and yearly releases of Android have many extra privacy/security patches.
@[email protected] @[email protected] For the YYYY-MM-05 sections, anything about Qualcomm or Broadcom is generally relevant. Most driver/firmware related vulnerabilities are not listed in the Android Security Bulletin. Pixel Security Bulletins list all the vulnerabilities tied to hardware components in Pixels, such as the GPU, radios (cellular, Wi-Fi, Bluetooth, NFC, GNSS and UWB radios) and various other components. Similarly to the ASB, look for Qualcomm and Broadcom components there among others.
@[email protected] @[email protected] Pixel 5a is end-of-life since after August 2024. Qualcomm SoC related vulnerabilities no longer get listed in Pixel security bulletins for September 2024 onwards since there are no Qualcomm SoC devices remaining. Pixel 6 and later are the Tensor SoC which is heavily based on Exynos including a Mali GPU and they have a Samsung cellular radio instead of Qualcomm. Still Broadcom Wi-Fi other than 7a which is standalone Qualcomm, but also Broadcom/Samsung GNSS instead of Qualcomm.
@[email protected] @[email protected] You're missing a couple dozen Critical/High severity patches and hundreds of Moderate/Low severity patches. You will not get any of those moving to DivestOS or LineageOS. We think it would be harmful for us to continue providing regular legacy extended support releases where people mislead themselves into believing it's fine and they don't really need to listen to us about it. Perhaps this helps you understand why we're trying to get people to stop using these devices.
@[email protected] @[email protected] Current Pixels have 7 years of support from launch rather than 3. Get a Pixel 9 or Pixel 8a, use it for 7 years and then replace it with another new device. You can send back the Pixel 4a to them as part of buying it directly from them they'll pay you around $30 for it despite it being so old because they accept everything from the Pixel 1 with a floor on how low they go for the trade-in value.
Pixels even have longer proper support than iPhones now unless Apple extends it.
@[email protected] @[email protected] thanks for the hints. This might help to perform a very personal risk analysis :)
@[email protected] @[email protected] There are Critical tier remote code execution vulnerabilities for the GPU, cellular, Wi-Fi and Bluetooth drivers. There are also critical remote code execution vulnerabilities for the cellular, Wi-Fi and Bluetooth firmware. It doesn't really get much worse than the kinds of things which have been fixed regularly. Current Tensor Pixels have dramatically better hardening and security features too, not only receiving current patches. A lot more to privacy/security than patches.
@[email protected] @[email protected] Simply due to being on Android 13, you're missing 2 years of privacy/security improvements to Android, over a year of our privacy/security improvements in GrapheneOS and 2 years of Moderate/Low security patches. The missing Critical/High severity hardware/driver patches is a whole separate problem that's not fixable even if we received a massive influx of resources specifically for reviving support for older devices, which we would not do for ethical reasons anyway.
@[email protected] @[email protected] There is little point in us doing a release each month for the end-of-life 4th generation devices. We do still unofficially support them in the sense that we will keep these insecure devices working without pretending that any serious form of security can be provided for them. You should not use them, and you will not make them at all secure by using another OS. You'll only be misleading yourself, not attackers with basic exploits for years old vulnerabilities. Up to you.
@[email protected] @[email protected] Current devices have 7 years of support from launch. Buying a device with 7 years of support near launch and using it for 7 years or better yet buying one someone has already used for a year is the best way for you to conserve resources while having any security at all. You will not have privacy or security on a 4th gen Pixel, and using another OS will not provide it for you even if you wrongly believe that the subset of the AOSP patches you're getting make it reasonable.
@[email protected] @[email protected] It is a highly insecure device where basic privacy and security can't be provided. OS choice really doesn't matter. We tell people all this very clearly in our docs and each release for extended support releases called them out as insecure before they were legacy extended support. Replace the device if you care about privacy and security. Moving to LineageOS or DivestOS will not solve your problem. Neither of those provides decent security even on a non-end-of-life device.
@chrisw @kuketzblog Ist mir noch gar nicht aufgefallen, aber das letzte Update ist schon über zwei Monate her. https://grapheneos.org/releases#sunfish Ich habe die Info, dass der extended legacy support nun vorbei ist, nicht gefunden. @GrapheneOS
@mahlzahn @kuketzblog @GrapheneOS
Ja ist nicht direkt ersichtlich, da steht etwas von Support bis zur Major-Vorversion. Und nun ist Android 15 released. Android 13 ist also jetzt außen vor.
Hab deswegen kürzlich auch mal ein eigenes GOS Image Build versucht und kam dabei an NTFS Pfadgrenzen während des Compilerens. Das Phänomän habe ich bei Standard LineageOS Builds nicht. Aber mag an meinem kruden OS Setup NTFS-Mount unter KDE Neon liegen.
@chrisw It's a highly insecure device with known remote code execution vulnerabilities and many local vulnerabilities including ones which are known to have been successfully actively exploited. It hasn't received any driver, firmware or other device specific patches since after August 2023. You already should have stopped using it and moved to a reasonably security device long before GrapheneOS stopped releasing legacy extended support releases each month. We just slowed it down.
@[email protected] There is little point in us doing a release each month for the end-of-life 4th generation devices. We do still unofficially support them in the sense that we will keep these insecure devices working without pretending that any serious form of security can be provided for them. You should not use them, and you will not make them at all secure by using another OS. You'll only be misleading yourself, not attackers with basic exploits for years old vulnerabilities. Up to you.
@[email protected] Current devices have 7 years of support from launch. Buying a device with 7 years of support near launch and using it for 7 years or better yet buying one someone has already used for a year is the best way for you to conserve resources while having any security at all. You will not have privacy or security on a 4th gen Pixel, and using another OS will not provide it for you even if you wrongly believe that the subset of the AOSP patches you're getting make it reasonable.
@[email protected] It is a highly insecure device where basic privacy and security can't be provided. Your OS choice really doesn't matter. We tell people all of this very clearly in our docs and each release for the extended support releases called them out as insecure before they were legacy extended support. Replace the device if you care about privacy and security. Moving to LineageOS or DivestOS will not solve your problem. Neither of those provides decent security even on a non-end-of-life device.
@[email protected]
Ich habe in den letzten Jahren immer wieder versucht bei allen unseren abgelegten Wischtelefonen alternative OS zu installieren. Für keines gab es ein passendes Image.
Aber wegen des Rootens habe ich auch Bedenken, dass das Homebanking nicht funktionieren wird.
@[email protected]
Als ich mein Pixel angeschlossen habe um loszulegen, hatte ich auch erst zittrige Hände und war doch umso erstaunter, wie einfach es war und ich bin immer noch froh, diesen Schritt gegangen zu sein.
@[email protected] Ich glaub das ist nichtmal die größte Hürde. Niemand hat Lust sein komplettes Smartphone von 0 auf wieder neu einzurichten
@[email protected] Nitrokey hat das mal gemacht. Die nahmen vor ca. 3 Jahren 120€ https://www.nitrokey.com/de
#GrapheneOS #android #datenschutz #privacy #customrom
@[email protected] KINDERHANDYS, lieber Mike. Das ist das Stichwort. Damit kriegst du die Technik Noobs zu FOSS und Datenschutz. Wenn man als Elter das Kindersmartphone einrichtet und beim Geburtsdatum schummeln muss, damit man Google, Apple und WhatsApp überhaupt installiert kriegt, ist DAS der Moment an dem ganz Viele zum ersten mal ERNSTHAFT an Datenschutz denken. War bei mir auch so. Hab dann recherchiert, bin auf deinen Blog gestoßen und jetzt hat K1 GrapheneOS (Installation hat 50€ gekostet)
@[email protected]
Die Idee ist super Mike, nur denke ich das diejenigen die den Nutzen darin sehen technisch so versiert sind es selbst zu machen - ja, und dem Rest ist's wohl relativ egal?
@[email protected]
Ich habe ein ausgemustertes Nokia androidone TA-1100 - das wäre mir definitiv nen Fuffi wert wenn es wieder zu gebrauchen wäre...
Hatte immer mal wieder selbst geguckt ob es sich einfach befreien lässt - habe aber seit nem Jahr viel größere Probleme als dabei zu schauen...🤷♂️
@[email protected] das Problem ist doch nicht das installieren.
Gehen wir Mal von einem Lifecycle direkt nach Kauf im Laden aus. Gerät wird eingerichtet und installiert. Es werden Apps installiert, auch für Banking und Social Media. Gerät läuft und alle Apps laufen. Es wird angenommen 2 Monate genutzt. Da fallen Bilder an, Screenshots usw. So und jetzt auf ein neues OS umstellen?
Vergiss es , was mach ich wenn Banking nicht läuft weil auf der Webseite kann ich nur anmelden wenn ich die App auf dem ..
@[email protected] ich hatte vor anderthalb oder zwei Jahren Graphene OS installiert und nach zwei Tagen wieder deinstalliert, weil keine wichtige App (Banken App, E-Scooter App, Krankenkassen App) zum laufen zu bringen war, während bei Iodé OS, Calyx OS und /e/OS alles, wirklich alles problemlos läuft.
@[email protected] Ehrlich gesagt fand ich es so einfach, dass ich regelrecht begeistert war
@[email protected] ich habe auch schon überlegt, das in einem Art Workshop in einem Hackerspace oder offenen Werkstatt anzubieten.
Aber mich schreckt ein bisschen diese Warnung ab, dass man die Hardware in dem Prozess komplett zerstören kann. Und je öfters man das eben macht, desto wahrscheinlicher ist das auch.
Oder ist das einfach nur eine Alibi-Warnung, die eigentlich nie auftritt?
@[email protected]
Mein Problem ist eigentlich nur, dass es nur mit den Google Phones funktioniert.
@[email protected] I think you could turn you name into profit by this. There is a market for this, but the tricky thing is that just asking a random hacker person to install an OS for you is ... well... dangerous if you don't understand what they are doing. I helped some of my friends installing GrapheneOS and have always wondered if it might be possible to make a living out of that, but I guess the more important part of that is marketing or rather building a public persona that customers trust.
Also it is dangerously close to other companies that made "secure phones" that then were used by criminals, some of which have blown up in the past.
@[email protected] Ich glaube schon, dass es einige Menschen gibt, die solch einen Service in Anspruch nehmen.
Ich selbst fand die Installation nicht so schwierig. Mit dem Webinstaller läuft es fast allein. Nur die Vorbereitung mit den erweiterten Einstellungen und OEM etc. ist es wohl für manche eine Hürde.
Mein größter Zeitaufwand war nach der Installation: Die passenden Apps installieren, die Einstellungen Akku-sparsam justieren usw. Damit habe ich mehrere Abende verbracht...
@[email protected] hatte auch schon etwas Ähnliches im Sinn als Dienstleistung anzubieten. Habe aber nicht so viel Lust auf Reklamationen von Leuten denen generell technischer Durchblick fehlt und die dann kommen weil App XY nicht funktioniert oder sich das Gerät nicht mit dem alten LPT Drucker verbinden lässt...etc...
@[email protected] 👀 🤓 😎
@[email protected]
Würde sich bei meinen Geräten, die in der Anschaffung unter 300 € liegen, vermutlich nicht lohnen. Selber würde ich mich nicht trauen, rin neues System zu installieren, da ich nicht wüsste, was geeignet wäre.
@[email protected] „Einfach“ und „mach ich fürn fuffi“ bezieht sich sicher auch auf so exotische Geräte, die nicht von Google sind, richtig?
Bei mir läuft es.
Auch, weil ein "gewisser" @[email protected] hier bei Mastodon für GrapheneOs "getrommelt" hat.
Allerdings:
Bei mir läuft es ohne Mobilfunkkarte. Das "Netz" holt sich das Smartphone vom Haus-WLAN, Freifunk oder von WLAN-Hotspot eines Nokia-Mobilgerätes.
@[email protected] Wir bieten einen GrapheneOS-Installationsservice für 70 Euro an: https://shop.proxysto.re/conf/1005
Davon leiten wir jeweils 20 Euro an das GrapheneOS-Projekt weiter.
Außerdem haben wir die offiziellen GrapheneOS-Installationsanleitungen ins Deutsche übersetzt: https://dys2p.com/en/grapheneos-preface.html
@[email protected] Ich glaube auch, dass Nutzer die sich die (eigentlich sehr einfache) Installation nicht selber zutrauen auch nicht unbedingt das Bedürfnis dazu haben. Zumal der laufende Service zu so einem System dann das nächste Thema ist.
Ich mache das seit einer Weile so: Ich versuche jemanden dazu zu motivieren GrapheneOS/Signal zu nutzen und biete im gleichen Zug Support dazu an.
@[email protected] Ich möchte dringend davon abraten. Nach meiner Erfahrung bist du danach für jedes "Problem" verantwortlich und Ansprechpartner, was innerhslb der nächsten fünf Jahre auftaucht.
@[email protected]
Ich hätte es in Anspruch genommen. Ich hab's zwar nach der Schritt-für-Schritt-Anleitung selbst gemacht, habe aber bei einigen Dingen keine Ahnung, was ich tue, und ob mein Telefon so sicher ist, wie es sein könnte.
Gleiches übrigens bei Linux, Wordpress und Nextcloud (auf Sicherheit und Funktionalität bezogen).
@[email protected]
Interessierte Nutzer würden es wahrscheinlich selbst heraus finden.
Aber ich fände es gut, das anzubieten.
Das gäbe auch interessierten, aber technisch weniger versierten Nutzern die Möglichkeit, ein google-freies OS auszuprobieren.
@[email protected] Tatsächlich sollten die Leute lernen, es selbst zu machen. Dazu muss man sich eben bequemen.
Besser wären "Installation-Parties" mit Fachpersonen vor Ort.
@[email protected] Habe das Projekt schon beobachtet, allerdings ich hatte noch nie ein Pixel Handy. Bin schon froh, wenn ein altes Samsung geschenkt bekam, aber es scheint keine gescheiten Googlefreie Systeme zu geben
@[email protected] puh. ich denke eigentlich nein, aber ich bin ja auch nicht die Zielgruppe, da ich das direkt nach Erhalt meines gebrauchten Pixel 8 Pro selber gemacht habe 😅.
Ist halt ne Nischenlösung. Ich denke, das Venn-Diagramm von "Menschen, die keine Ahnung von Technik haben" und "Menschen, die sich gerne entgoogeln möchten" ist überschaubar. Aber für die Leute wäre es bestimmt super, wenn sie sich bei eBay gebrauchte Pixel mit GrapheneOS von euch kaufen können. 😉
@[email protected] Ich vermute die Installation als Dienstleistung kann für wenig technikaffine Menschen interessant sein. Die Hauptsorge ist schließlich, das teure Handy zu bricken.
@[email protected] Hatte sowas auch schon überlegt, bin aber an den rechtlichen Rahmenbedingungen sozusagen "geflohen"? Man müsste doch Gewährleistung geben...bzw. man waere doch bei Fehlern infolge der Installation haftbar...
Hast du da schon ne Idee?
@kuketzblog
"Im Prinzip" würde ich so einen Service gerne nutzen, auch wenn ich's selber flashen könnte (Stress, Arbeitszeit sparen).
Dass ich nicht #GrapheneOS verwende liegt an der Zwickmühle, dass nur die Google Pixels derzeit die nötige Sicherheitshardware dafür mitbringen und ich mich nicht so recht überwinden kann, ausgerechnet diesem Konzern Geld zu geben.
@[email protected] @[email protected] Other Android devices do not have reasonable security. Our official security requirements are listed at https://grapheneos.org/faq#future-devices. Everything there is a very basic and reasonable requirement. No other Android OEM takes security seriously. The next best choice after GrapheneOS is an iPhone and non-Pixel Android devices are nowhere close. None even stops commercial exploit tools widely available to police from successfully brute forcing a PIN in Before First Unlock state.
@[email protected] @[email protected] Which Android OEM do you think has better practices than Google? The idea that Google is a uniquely bad company is quite strange and not aligned with the reality of for-profit companies focusing on maximizing their profit and the vast majority not taking security seriously or even compromising between their interests and user privacy to even the extent Google does. Storing a bunch of data for targeted ads and not adding enough E2EE options is far from below average.
@[email protected]
Should I ever need lecturing wrt to Google I'll ask you for it.
Muted for 7 days.
@[email protected]
@[email protected] @[email protected] Muting any information that's at odds with your beliefs/decisions is a strange thing to do when you're seeking out discussion about it by replying to a post this way. You could have marked the reply only for your followers and the author of the post if you didn't want discussion about it.
@[email protected] We aren't ever going to support insecure devices, so as long as other Android devices are insecure we're never going to be supporting them. It's not simply that they are less secure but flat out insecure without basic security features needed to protect people's privacy/security. A device where it's impossible for us to even protect users from very widely used exploits routinely used at borders, protests, etc. is not acceptable. We have security standards and they're reasonable.
@katzenberger @kuketzblog Genau das gleiche Dilemma habe ich auch..
@[email protected] Other Android devices do not have reasonable security. Our official security requirements are listed at https://grapheneos.org/faq#future-devices. Everything there is a very basic and reasonable requirement. No other Android OEM takes security seriously. The next best choice after GrapheneOS is an iPhone and non-Pixel Android devices are nowhere close. None even stops commercial exploit tools widely available to police from successfully brute forcing a PIN in Before First Unlock state.
@[email protected] Which Android OEM do you think has better practices than Google? The idea that Google is a uniquely bad company is quite strange and not aligned with the reality of for-profit companies focusing on maximizing their profit and the vast majority not taking security seriously or even compromising between their interests and user privacy to even the extent Google does. Storing a bunch of data for targeted ads and not adding enough E2EE options is far from below average.
@[email protected] We aren't ever going to support insecure devices, so as long as other Android devices are insecure we're never going to be supporting them. It's not simply that they are less secure but flat out insecure without basic security features needed to protect people's privacy/security. A device where it's impossible for us to even protect users from very widely used exploits routinely used at borders, protests, etc. is not acceptable. We have security standards and they're reasonable.
@BafDyce @katzenberger @kuketzblog
Eben. Ein Thema bei #GrapheneOS ist die Limitierung auf #Pixel-Geräte von #Google(!).
@[email protected] Other Android devices do not have reasonable security. Our official security requirements are listed at https://grapheneos.org/faq#future-devices. Everything there is a very basic and reasonable requirement. No other Android OEM takes security seriously. The next best choice after GrapheneOS is an iPhone and non-Pixel Android devices are nowhere close. None even stops commercial exploit tools widely available to police from successfully brute forcing a PIN in Before First Unlock state.
@[email protected] Which Android OEM do you think has better practices than Google? The idea that Google is a uniquely bad company is quite strange and not aligned with the reality of for-profit companies focusing on maximizing their profit and the vast majority not taking security seriously or even compromising between their interests and user privacy to even the extent Google does. Storing a bunch of data for targeted ads and not adding enough E2EE options is far from below average.
@[email protected] We aren't ever going to support insecure devices, so as long as other Android devices are insecure we're never going to be supporting them. It's not simply that they are less secure but flat out insecure without basic security features needed to protect people's privacy/security. A device where it's impossible for us to even protect users from very widely used exploits routinely used at borders, protests, etc. is not acceptable. We have security standards and they're reasonable.
@nick @BafDyce @katzenberger Die Unterstützung eines anderen Herstellers würde _aktuell_ zulasten der Sicherheit gehen. Das wird GrapheneOS daher erst machen, wenn ein anderer Hersteller ein vergleichbares Sicherheitsniveau bietet: https://www.kuketz-blog.de/weshalb-grapheneos-aktuell-nur-google-pixel-geraete-unterstuetzt/
@mynacol
Das mit der angeblich besseren Sicherheit der Pixels kann ich nicht wirklich nachvollziehen. Auch Googles Geräte bringen proprietäre (Google (!), Qualcom, ...) BLOBs mit, auf die sich jedes OS stützen muss. Und dann hätten wir noch das Baseband. Da können überall hübsche Hintertüren versteckt sein, an denen das OS genau nichts retten kann. Man muss sich nur mal die Sicherheitsmitteilungen der FW-Hersteller ansehen.
@BafDyce @katzenberger @nick
@PC_Fluesterer @mynacol @BafDyce @katzenberger @nick Every ARM and x86_64 CPU is entirely closed source. CPU, GPU, MMU and everything else in them is closed source. This is not a negative or positive security property for this hardware but rather orthogonal to it. Even with reproducible builds, open source does not prevent a backdoor at all. That's clearly true based on the fact that unintentional, non-hidden critical vulnerabilities last for many years in open source projects. It's basic logic.
@[email protected] @[email protected] @[email protected] @[email protected] @[email protected] CPU, GPU, MMU and all the other SoC components along with the RAM, SSD, cameras, Wi-Fi, Bluetooth, cellular, NFC, UWB and everything else in essentially any laptop, desktop, smartphone or tablet is closed source. What makes you think that your laptop has open source hardware and firmware? The highly inaccurate false marketing from companies like Purism? That's just false marketing misleading users into believing closed source hardware is open.
@[email protected] @[email protected] @[email protected] @[email protected] @[email protected] Cellular basebands are very comparable to the basebands for Wi-Fi, Bluetooth, UWB, GNSS and other radios. They are not particularly special and do not have privileged access on a modern smartphone. Pixels have a well isolated cellular radio with a lot of extra hardening (https://security.googleblog.com/2024/10/pixel-proactive-security-cellular-modems.html). Compromising cellular radio with an exploit is very difficult and does not provide control over the device. You'd need an OS exploit from there.
@[email protected]
habe leider kein Google Pixel, die kosten sind fűr mich zu hoch, aber die idee, finde Ich grundsätzlich toll !!! 😇