GrapheneOS: sicherheitsgehärteter Android-Build

 (lwn.net)
1 Punkte von GN⁺ 2025-07-25 | 2 Kommentare | Auf WhatsApp teilen
  • GrapheneOS ist ein Open-Source-Betriebssystem, das entwickelt wurde, um Sicherheit und Privatsphäre von Android deutlich zu verbessern
  • Es unterstützt nur eine begrenzte Auswahl an Hardware, darunter Google-Pixel-6-bis-9-Geräte, und bietet verschiedene Schutzfunktionen wie Hardening und Kontrolle über Benutzerberechtigungen
  • Google-Play-Apps können in einer Sandbox genutzt werden, und unnötige Apps und Funktionen sind standardmäßig entfernt
  • Der Installations- und Ersteinrichtungsprozess ist nicht immer intuitiv und kann Zeit kosten, ist für sicherheitsorientierte Nutzer aber eine nützliche Option
  • Allerdings kann es bei unverzichtbaren kommerziellen Apps und Funktionen zu Einschränkungen kommen, zudem gibt es Bedenken hinsichtlich der Transparenz der Community-Governance

Überblick und Projekthintergrund

  • GrapheneOS ist ein Open-Source-Android-Rebuild-Projekt, das entstanden ist, um Probleme rund um Datenschutz und Sicherheitsbedrohungen auf Smartphones anzugehen
  • Ausgangspunkt war die Einschätzung, dass bestehende Android-Distributionen die Interessen der Eigentümer nicht ausreichend vertreten; das Projekt spaltete sich von CopperheadOS ab und entwickelte sich unter Daniel Micay eigenständig weiter
  • Eine 2023 gegründete, in Kanada ansässige Stiftung unterstützt die Entwicklung, über Organisationsstruktur und Transparenz der Arbeitsweise sind jedoch kaum Informationen öffentlich verfügbar

Zentrale Merkmale und Hardening-Strategie

  • Auf Basis des Android Open Source Project (AOSP) wurden erhebliche Mengen an Code entfernt und zahlreiche sicherheitsverstärkende Patches angewendet
  • Dazu gehören etwa wichtige Änderungen zur Verbesserung von Speicherschutz und Robustheit, etwa die gehärtete malloc()-Bibliothek und Control-Flow Integrity
  • Die meisten Sicherheitsfunktionen sind so konzipiert, dass sie für Nutzer fast unsichtbar bleiben und die Nutzung des Systems möglichst wenig beeinträchtigen

Installation und unterstützte Geräte

  • Die unterstützten Geräte sind auf die Serien Google Pixel 6 bis 9 beschränkt, Pixel 4/5 werden in einigen Ausnahmefällen ebenfalls unterstützt
    • Neuere Pixel-Geräte werden empfohlen, unter anderem wegen 7 Jahren garantierter Sicherheitsupdates und Unterstützung für hardwarebasiertes Memory Tagging auf ARMv9-Basis
    • Die Memory-Tagging-Funktion ist standardmäßig aktiviert und trägt dazu bei, Exploits in OS und kompatiblen Apps zu verhindern
  • Es gibt zwei Installationswege, Web-Installation und Kommandozeilen-Installation, offiziell gilt die Web-Installation als stabiler

Erste Nutzungserfahrungen

  • GrapheneOS bietet nur eingeschränkte Standard-Apps und Datenmigrationsfunktionen, daher müssen Nutzer die Ersteinrichtung vollständig selbst neu vornehmen
  • Standard-Apps: nur Webbrowser (Vanadium), Kamera-App, PDF-Viewer, eigener App-Store usw.
    • Der Google Play Store und die zugehörigen Apps sind standardmäßig nicht enthalten (können später aber in einer Sandbox installiert werden)
    • Im App-Store sind insgesamt nur 13 Apps enthalten
  • Der Vanadium-Browser ist ein Fork von Chrome und stärkt Site Isolation auf Mobilgeräten sowie die Code-Sicherheit
    • In der Dokumentation wird empfohlen, Firefox möglichst nicht zu verwenden (wegen möglicher Sicherheitsprobleme)
  • Die Kamera-App entfernt standardmäßig Exif-Metadaten; Standortinformationen müssen ausdrücklich aktiviert werden

App-Installation und Nutzung des Ökosystems

  • Über alternative App-Stores wie Accrescent lassen sich einige Open-Source-Apps installieren (z. B. Organic Maps, Molly, IronFox)
  • F-Droid kann genutzt werden, die GrapheneOS-Community steht F-Droid wegen Sicherheitsproblemen jedoch kritisch gegenüber
  • Da die meisten Nutzer den Google Play Store benötigen, bietet GrapheneOS sandboxed Google Play
    • Diese Version hat weniger Systemrechte und läuft eingeschränkt wie eine normale App
    • Wenn Apps ihre Vertrauenswürdigkeit über die Integrity API prüfen, funktionieren manche Apps mit nicht offiziellen Images möglicherweise nicht
    • In der Praxis funktionierte das meiste zwar normal, die App-Kompatibilität sollte aber unbedingt vorab getestet werden

Zusätzliche Sicherheits- und Privatsphäre-Funktionen

  • Blockieren des Netzwerkzugriffs pro App: Android unterstützt das standardmäßig nicht, in GrapheneOS kann der Netzwerkzugriff jedoch für jede App einzeln gesperrt werden
  • Feingranulare Sensorberechtigungen: Auch Beschleunigungsmesser, Orientierungssensor, Thermometer und andere Sensoren werden über separate Berechtigungen verwaltet
  • Storage/Contact Scope: Apps erhalten keinen Zugriff auf den gesamten Gerätespeicher oder alle Kontakte; stattdessen werden nur freigegebene Dateien/Kontakte virtuell offengelegt
  • Erweiterte Sicherheitsoptionen wie 30 Minuten Sperre nach fehlgeschlagenem Entsperren per Fingerabdruck und sofortiges Löschen der Daten bei Eingabe einer Duress PIN sind vorhanden
  • Über eine Audit-App zur Geräteintegrität wird eine hardwaregestützte Integritätsprüfung unterstützt
  • Regelmäßige und schnelle Updates: Android 16 wurde innerhalb eines Monats nach der offiziellen Freigabe übernommen
  • Automatischer Neustart nach 18 Stunden Inaktivität sorgt für Datenverschlüsselung und den Erhalt aktueller Software

Projektbetrieb und Community

  • Mangelnde Transparenz im Betrieb: Es gibt zwar eine offizielle Stiftung, doch über Entscheidungsprozesse und Mittelverwendung ist nach außen fast nichts bekannt
  • Die Struktur der Entwickler-Community ist unklar, der Großteil der Beteiligung besteht offenbar aus Fragen und Antworten von Nutzern
  • Der Einfluss des Hauptentwicklers Daniel Micay wirkt weiterhin überragend, und es gibt gewisse Sorgen über die langfristige Nachhaltigkeit bei personellen Veränderungen

Gesamturteil und Praxiseindruck

  • Geräteeinrichtung und Wiederherstellung der Umgebung kosten viel Zeit, dafür ist eine Nutzung mit Fokus auf wesentliche Funktionen ohne unnötige Extras möglich
  • Der Umfang der Sicherheits- und Privatsphäre-Kontrollen wird größer, unnötige AI-/Google-Funktionen entfallen, was dem Ziel des Projekts entspricht
  • Allerdings gibt es keine Unterstützung für Wisch-Eingabe auf der Tastatur, ein Google-Play-Login ist oft unvermeidbar, und bei proprietären Pflicht-Apps kann es zu Einschränkungen oder Unannehmlichkeiten kommen
  • GrapheneOS ist eine sinnvolle Wahl für Nutzer, die nutzerzentrierte Rechtekontrolle und verstärkte Sicherheit suchen
  • Wenn jedoch die Lauffähigkeit kommerzieller Apps, die für das moderne Leben unverzichtbar sind, entscheidend ist, bleiben gewisse Grenzen bestehen; auch die Fragen zur Community-Governance verdienen Beachtung

Verwandte Beiträge

2 Kommentare

 
GN⁺ 2025-07-25
Hacker-News-Kommentare

  • Ich habe GrapheneOS auf einem neuen Pixel installiert und benutze es seit etwa zwei Tagen. Es fühlt sich an wie damals, als ich 1999 zum ersten Mal Linux installiert habe – wieder dieses Gefühl, im eigenen Hinterhof einen Schatz gefunden zu haben. Ich kann kaum glauben, dass so großartige Software in jeder Hinsicht kostenlos ist. Das ist eine enorme Arbeitsleistung, und wirklich vieles ist hervorragend umgesetzt. Bei Sicherheit und Bedienbarkeit kann man sehr fein steuern, was man möchte. Ich bin niemand, der üblicherweise Mobilgeräte empfiehlt, aber bisher funktioniert es ziemlich gut. In meinem Fall nutze ich fast keine Drittanbieter-Apps und auch keine Play-Store-exklusiven Apps. Der Nachteil ist die Hardware, aber das liegt außerhalb der Kontrolle des Graphene-Teams.

    • Ich frage mich, ob es auch gut funktioniert, wenn man Mobile Banking braucht, etwa für den Zugriff auf Bankkonten.

    • Ich frage mich, woher man Apps bekommt und installiert – ob damit der App Store von Google gemeint ist.

    • Ich frage mich, ob du früher schon einmal so etwas wie LineageOS benutzt hast.

    • Du nutzt GrapheneOS auf einem Pixel? Du bist nicht zufällig so eine Art Krimineller, oder? /s

  • Ich habe auf einem älteren Handy mehrere Jahre lang LineageOS genutzt und letztes Jahr ein Pixel 4 gekauft, auf dem ich jetzt GrapheneOS verwende. Beide Systeme funktionieren gut, worüber ich mich sehr freue. Besonders GrapheneOS verdient Zusatzpunkte, weil die Installation sehr einfach ist. Leider beendet Graphene aber gerade schon den Support für das Pixel 4, sodass ich wohl bald wieder zu Lineage zurückmuss. Die einzige technische Einschränkung, die ich bei diesen ROMs erlebt habe, betrifft GPS: Der Standort geht oft verloren, und manchmal dauert es mehrere Minuten, bis er wieder gefunden wird – wenn man Pech hat, sogar gar nicht. Ich vermute, dass es daran liegt, keine Google-Standortdienste zu verwenden. Ich habe auch die Einstellung für verbesserte Standortgenauigkeit per WLAN/Bluetooth aktiviert und verschiedene Tipps aus dem Internet ausprobiert, aber ohne Erfolg. Unter Graphene ist es sogar schlimmer, weil der Standort verschwindet, sobald ich die Maps-App schließe. Ich denke, es ist entweder ein Problem des Telefons oder des OS.

    • Auf dem Pixel 8 ist GPS dank der neuen netzwerkbasierten Standortfunktion von Graphene extrem schnell. Das fühlt sich wirklich wie ein Durchbruch an. Früher wurde nur WLAN unterstützt, aber vor Kurzem kam auch Mobilfunk-Ortung dazu. Dabei wird Apples Standortdienst per Proxy genutzt.

  • Ich habe kürzlich gehört, dass Google seine AOSP-Verwaltungspolitik geändert hat und keine Device Trees und Treiber-Binärdateien für Pixel-Geräte mehr veröffentlicht. Ich frage mich, ob das wirklich eingestellt wurde oder nur verzögert ist. Ich denke auch, dass die Veröffentlichung solcher Dateien einen Business Case schafft, indem sie Nachfrage nach Pixel-Geräten erzeugt. Sind die Kosten so hoch, dass sie den Nutzen aufwiegen, oder ist es einfach ein Wartungsthema? Jedenfalls bin ich wirklich dankbar dafür, dass sowohl GrapheneOS als auch Google eine Telefonplattform geschaffen haben, auf der essenzielle Funktionen gut laufen.

    • In Android 16 werden keine Pixel-Device-Trees mehr in AOSP bereitgestellt, wobei sie für andere Geräte eigentlich ohnehin nie bereitgestellt wurden. Nur einige wenige OEMs liefern grundlegende Trees für ältere Android-Versionen. Das ist zwar einer der wenigen Vorteile, die Pixel hatte, aber es war nie Teil der Hardware-Anforderungen von GrapheneOS. Dazu gibt es ein Dokument hier. Das ist nicht der Grund, warum nur Pixel die Anforderungen erfüllt. Es gibt eine Zusammenarbeit mit einem großen Android-OEM, daher könnte sich 2026 oder 2027 etwas ändern. Das Portieren einer neuen Android-Hauptversion auf GrapheneOS dauert normalerweise nur wenige Tage, und stabile Builds werden innerhalb von zwei Wochen ausgeliefert. Android 16 wurde ebenfalls innerhalb weniger Tage nach Release portiert, danach musste aber der Pixel-Gerätesupport-Code für Android 16 neu implementiert werden. Nach der ersten Produktiv-Auslieferung am 30. Juni erreichte es am 8. Juli den Stable-Kanal. Diesmal dauerte es länger, deshalb wurde ungewöhnlicherweise ein Teil der Android-16-Patches und Firmware auf den Android-15-QPR2-Branch zurückportiert. Für die Zukunft wurde der Workflow bereits automatisiert aufgebaut, sodass Portierungen auf Android 16 QPR1–QPR3 oder Android 17 wieder so schnell wie früher möglich sein sollten.

    • Gerüchten zufolge soll das mit Kartellrechtsfragen zusammenhängen. Falls Google das Gerätesegment erneut verkaufen will, könnten die Treiber auch aus AOSP entfernt werden.

  • Ich bin langjähriger GrapheneOS-Nutzer und halte es für ein wirklich gutes Projekt. Ich teile hier eine Liste mit Open-Source-Apps, die man anstelle von Google-Apps verwenden kann.

    • Aurora Store: anonyme Schnittstelle zum Play Store
    • F-Droid: Open-Source-App-Store
    • Obtainium: Apps von GitHub usw. beziehen
    • Organic Maps: Open-Source-Navigation (nicht ganz auf dem Niveau kommerzieller Apps)
    • SherpaTTS: TTS für Navigation
    • PDF Doc Scanner: Open-Source-Dokumentenscanner
    • Binary Eye: Barcode-Reader
    • K9 Mail / FairMail: Mail-Clients
    • LocalSend: Dateiübertragung
    • Syncthing Fork: Dateisynchronisierung
    • VLC Media Player: Mediaplayer
    • KOReader: E-Book-Reader
    • Voice: lokaler Hörbuch-Player
    • AudioBookShelf: entfernter Hörbuch-Player
    • Immich: Bild-Backup
    • Fossify File Manager: Dateimanager
    • Substreamer / DSub: Audio-Streamer für Navidrome
    • OpenCamera: Open-Source-Kamera-App
      Ich wünschte, ich hätte diese Liste schon früher gekannt. Hoffentlich ist sie für jemanden nützlich.

  • Die interessanteste Funktion in GrapheneOS ist, dass man auf der App-Info-Seite jederzeit die Logs jeder App einsehen kann.

  • Eine zentrale Funktion, die ich mir in GrapheneOS unbedingt wünsche, ist ein Notfall-Passwort, das unter Bedrohungslage ein völlig anderes "Benutzer"-Profil öffnet. Selbst wenn man gezwungen wird, das Passwort preiszugeben, wäre damit zumindest verhindert, dass auf das echte Konto zugegriffen wird. Wenigstens eine Funktion für versteckte Profile würde bereits grundlegende Sicherheit bieten, und es ist schade, dass es das nicht gibt. Zur Einordnung: Stattdessen gibt es eine Funktion zum vollständigen Löschen des Geräts, aber in einer Bedrohungssituation könnte das auch schaden. Eine entsprechende Diskussion gibt es hier.

    • Ich bin Community-Manager von GrapheneOS. Das Problem bei Funktionen dieser Art ist, dass sie sich in der Praxis schon mit einfachen Mitteln aufdecken lassen und daher nicht wirklich verborgen werden können. Auch die Duress-PIN/Password-Funktion wird deshalb nicht absichtlich versteckt. Allein die Existenz einer solchen Funktion kann die Lage sogar gefährlicher machen, weil ein Angreifer dadurch glauben könnte, dass etwas verborgen wird. Schon die bloße Existenz kann dazu führen, dass jemand gezwungen wird, das Gerät zu entsperren und zusätzlich noch versteckte Informationen herauszugeben. Ich denke, das ist realistisch betrachtet ein schwer lösbares Problem. Es ist nicht etwas, das sich allein durch solche Vorschläge beheben lässt.

    • Das GrapheneOS-Diskussionsforum weist darauf hin, dass „diese Website mit aktiviertem JavaScript in einem modernen Browser am besten funktioniert“, und aus Sicherheitssicht ist das wirklich problematisch. Ich habe den Community-Manager gebeten, das zu verbessern, und auch um eine .onion-Seite gebeten.

    • Diese Funktion – also ein Notfall-Passwort – wird in vielen Modding-Communities schon lange gefordert. Ich frage mich, ob das einfach nur schwer umzusetzen ist.

    • Ich finde solche extremen Formulierungen übertrieben. Wenn für jemanden das Überleben davon abhängt, als falscher Nutzer getarnt zu leben, dann gibt es meiner Ansicht nach ein tieferliegendes, ernsteres Problem als das Fehlen einer Betriebssystemfunktion.

  • Mein einziger Kritikpunkt an Graphene ist, dass es zu wenige unterstützte Geräte gibt. Ich verstehe die Gründe wie die Sicherheitsanforderungen, aber ich hätte lieber ein etwas weniger stark gehärtetes System und dafür Graphene statt Googles Standard-Android.

    • Ich bin Community-Manager von GrapheneOS. Derzeit erfüllen nur Geräte von Google die Support-Anforderungen von Graphene (Link), aber wir arbeiten mit einem anderen OEM zusammen, daher hoffen wir, den Support 2026 oder 2027 auch auf dessen Produkte ausweiten zu können. Es steht noch nichts endgültig fest, aber ich bin optimistisch.

    • Es heißt zwar, die Zahl unterstützter Geräte sei gering, aber allein bei Pixel gibt es schon 4–5 Generationen, einschließlich kleinerer und größerer Varianten wie der A-Serie und Pro-Modelle. Dazu kommen unterschiedliche Preisstufen, sodass es meiner Meinung nach praktisch für jeden zugänglich ist.

    • Ich finde es eher gut, dass Graphene sich auf Pixel konzentriert. Pixel ist – anders als Fairphone – in vielen Ländern erhältlich. Das heißt, Graphene ist nicht nur auf Industrieländer oder den Westen beschränkt. Dass andere Hersteller nicht unterstützt werden, liegt vermutlich an mehreren Faktoren: der Teamgröße, der enormen Vielfalt von Android bei jedem OEM und der Schwierigkeit, das alles zu pflegen, sowie an Googles Update-Politik.

    • Google scheint dem Projekt gegenüber womöglich weniger kooperativ zu werden. Wenn es wirklich so viele Menschen brauchen, müsste man wohl selbst versuchen, neue Hardware-Unterstützung auf die Beine zu stellen.

    • CalyxOS unterstützt auch andere Geräte und wirkt stärker auf echte Privatsphäre fokussiert.

  • Graphene ist ein hervorragendes Betriebssystem für Pixel-Geräte: schlicht, zuverlässig und reich an Sicherheits- und Privatsphäre-Funktionen, was ein angenehm beruhigendes Gefühl gibt. Systemupdates laufen automatisch, und Grundfunktionen wie Telefonate funktionieren perfekt. Der einzige Wermutstropfen ist die Kamerqualität, was vermutlich an fehlenden proprietären Treibern liegt. Auch Signal läuft ohne Google-Dienste ziemlich gut, daher eignet es sich perfekt als tägliches Smartphone. Ein großes Dankeschön an die Entwickler.

  • Ich war sehr an GrapheneOS interessiert, aber es ist schade, dass man es nur auf so eingeschränkten Geräten wie Pixel nutzen kann. Ich hätte es gern auch auf einem Galaxy A55 ausprobiert.

  • Es ist interessant, dass die einzigen Geräte, die die Sicherheitsanforderungen erfüllen, allesamt von Google stammen. Ich frage mich, ob Google intern eine noch stärker auf Sicherheit ausgerichtete Android-Version verwendet. Dass die persönlichen Geräte wichtiger Ingenieure gehackt werden, wäre für Google ein enormes Sicherheitsrisiko, daher könnte es gut sein, dass es intern eine sicherheitsorientiertere Version gibt.