GrapheneOS und forensische Datenextraktion (2024)

 (discuss.grapheneos.org)
2 Punkte von GN⁺ 2025-09-12 | 1 Kommentare | Auf WhatsApp teilen
  • GrapheneOS erhält viel Aufmerksamkeit wegen seiner hohen Sicherheit und Privatsphäre und gilt als mit iOS vergleichbar
  • Im Mai 2024 gab es in sozialen Medien eine falsche Behauptung, GrapheneOS sei anfällig für Datenextraktion
  • Forensische Werkzeuge wie Cellebrite ermöglichen auf den meisten Android-/iOS-Geräten eine Extraktion ohne Einwilligung, aber GrapheneOS lässt sich nicht kompromittieren, wenn die neuesten Sicherheitspatches installiert sind
  • Einwilligungsbasierte Datenextraktion liegt vor, wenn Nutzer ihr eigenes Gerät selbst entsperren; nur dann ist eine Extraktion möglich
  • Die Kombination aus Pixel 6 oder neuer und GrapheneOS blockiert auch aktuelle Angriffe wie Passwort-Brute-Force-Angriffe und Hacking über USB-Verbindungen

Überblick über GrapheneOS und der Hintergrund des Angriffs in sozialen Medien

  • GrapheneOS ist ein Android-basiertes, Open-Source-, sicherheits- und datenschutzorientiertes Betriebssystem und bietet Schutz auf iOS-Niveau oder darüber hinaus
  • Im Mai 2024 gab es in sozialen Medien einen Angriff, der das Missverständnis schürte, GrapheneOS sei von Forensik-Tools geknackt worden
  • Tatsächlich wurde ein Fall der einwilligungsbasierten (consent-based) Datenextraktion böswillig fehlinterpretiert und fälschlich als Schwachstelle von GrapheneOS dargestellt

Überblick über digitale Forensik und Datenextraktion

  • Digitale Forensik ist der Prozess der Sammlung und Analyse elektronischer Beweise
  • Dabei werden aus verschiedenen Geräten wie Computern, Smartphones und Speichermedien Beweise für Straftaten oder rechtliche Auseinandersetzungen extrahiert und analysiert
  • Forensische Techniken können jedoch auch für Eingriffe in die Privatsphäre, Vergeltung oder Beweismanipulation missbraucht werden
  • GrapheneOS entwickelt verschiedene Sicherheitsmaßnahmen, um Datenextraktion ohne Einwilligung und Manipulation von Geräten zu verhindern

Cellebrite und seine Auswirkungen

  • Cellebrite ist ein führendes israelisches Unternehmen für digitale Forensik, bekannt für das Tool UFED (Universal Forensic Extraction Device)
  • Das Unternehmen verkauft seine Geräte legal an Regierungen und Justizbehörden, aber auch an autoritäre Staaten oder Länder mit Unterdrückung von Menschenrechten
  • Mit diesem Tool werden weltweit in vielen Regionen Versuche unternommen, Daten aus Smartphones zu extrahieren

Methoden der Datenextraktion und technischer Hintergrund

  • Der erste Schritt der digitalen Forensik ist die Datenextraktion von Mobilgeräten
  • Wenn ein Gerät gesperrt ist, wird mit verschiedenen Methoden (Hacking, Brute Force) versucht, Passwort oder PIN zu erraten
  • Zwei Zustände von Smartphones:
    • BFU (Before First Unlock): Zustand nach dem Booten, in dem das Gerät noch nie entsperrt wurde; die internen Daten sind vollständig verschlüsselt, was forensische Analysen stark erschwert
    • AFU (After First Unlock): Zustand nach dem Entsperren; die Schlüssel sind im Speicher vorhanden, wodurch der Datenzugriff vergleichsweise einfacher wird

Praktische Datenextraktion

  • AFU-Zustand: Versuch der Umgehung oder Entsperrung des Sperrbildschirms mittels Software-Schwachstellen und anschließende Datenextraktion
  • BFU-Zustand: Versuch, die PIN bzw. das Passwort per Brute Force (Ausprobieren aller Kombinationen) zu erraten

Cellebrites aktuelle Fähigkeiten zur Datenextraktion

  • Laut im April 2024 veröffentlichtem Material können mit Ausnahme von GrapheneOS alle Android-Marken unabhängig vom AFU- oder BFU-Zustand gehackt und ausgelesen werden

  • Auch neuere iOS-Geräte werden teilweise unterstützt; bei den meisten iPhone-Nutzern werden die neuesten Patches jedoch automatisch installiert, was das Risiko verringert

  • NSO (der Hersteller von Pegasus) hat in der Vergangenheit Schwachstellen in den neuesten iOS-Versionen sehr schnell ausgenutzt

  • GrapheneOS erkennt offiziell an, dass selbst Cellebrite Geräte mit seit Ende 2022 eingespielten Sicherheitsupdates nicht hacken kann

  • Da Updates automatisch aktiviert sind, bleibt bei den meisten Nutzern das aktuelle Sicherheitsniveau erhalten

  • Wenn Nutzer ihr Gerät selbst entsperren (consent-based), ist eine Datenextraktion allerdings bei iOS, Android und GrapheneOS möglich

    • Bei GrapheneOS ist über Entwickleroptionen und das Tool adb vollständiger Datenzugriff möglich

  • Pixel 6 und spätere Modelle + GrapheneOS können selbst mit zufälligen Kombinationen gegen eine 6-stellige PIN nicht per Brute Force geknackt werden

Der Vorfall in sozialen Medien und die Realität

  • Im Mai 2024 wurden in sozialen Medien auf Basis eines erfolgreichen Falls einwilligungsbasierter Extraktion falsche Behauptungen über eine Schwachstelle in GrapheneOS verbreitet
  • Ähnliche Falschdarstellungen gab es schon früher, etwa Gerüchte über eine gebrochene Signal-Verschlüsselung (tatsächlich hatte der Nutzer die App selbst geöffnet und der Forensik bereitgestellt)

GrapheneOS-Strategie zur Abwehr forensischer Hacking-Angriffe

Wichtige Funktionen zum Schutz vor Telefon-Hacking

  • Wenn das Gerät durch den Nutzer gesperrt ist (z. B. per Sperrbildschirm), werden neue USB-Verbindungen blockiert, zudem gibt es eine hardwareseitige Funktion zur Deaktivierung des Ports
  • Für BFU, AFU, vollständig entsperrte Zustände und weitere Szenarien kann eine vollständige USB-Sperre bis zum gewünschten Niveau konfiguriert werden
  • Seit 2024 wurde die Sicherheit bis hin zur Pixel-Firmware weiter verstärkt

Schutz vor Brute-Force-Angriffen

  • Geräte ab Pixel 6 sind mit Titan M2 (Hardware-Sicherheitsmodul) ausgestattet, das die kryptografischen Schlüssel schützt
  • Nach 5 Fehleingaben folgt eine Wartezeit von 30 Sekunden; nach mehr als 30 bzw. 140 Fehlversuchen steigen die Wartezeiten weiter an, danach ist nur noch ein Eingabeversuch pro Tag erlaubt (secure element throttling)
  • Das System hat eine unabhängige Bewertung auf dem Niveau AVA_VAN.5 bestanden und damit eine äußerst hohe Sicherheitsstufe nachgewiesen
  • Die Sicherheitsmodule von iOS, Samsung und Qualcomm wurden bereits von unternehmensgestützten Angreifern umgangen, aber für die Kombination GrapheneOS + Pixel 6 oder neuer gibt es in den letzten Jahren keine erfolgreichen Fälle

Funktion für automatischen Neustart (auto reboot)

  • Nach standardmäßig 18 Stunden (anpassbar ab 10 Minuten) erfolgt ein automatischer Neustart; ohne Nutzung wechselt das Gerät dadurch in den BFU-Zustand
  • Selbst wenn Angreifer einen Exploit entwickeln, ist das tatsächlich nutzbare Zeitfenster für einen Angriff daher nur begrenzt (zwischen Entsperren durch den Nutzer und Neustart)

Fazit und Ausblick

  • Das GrapheneOS-Team verstärkt kontinuierlich verschiedene Sicherheitsverbesserungen und automatisierte Sicherheitsfunktionen
  • Künftig sind noch stärkere und zugleich komfortable Schutzmaßnahmen geplant, etwa 2-Faktor-Authentifizierung mit Fingerabdruck + PIN und eine automatische UI für zufällige Passphrasen
  • Obwohl versucht wird, Falschinformationen zu verbreiten, obwohl selbst hochentwickelte Hackergruppen das System nicht knacken können, lässt sich dem mit faktenbasierten Informationen begegnen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-12
Hacker-News-Kommentare
  • Ich glaube nicht, dass es „schlechte Regierungen“ und „gute Regierungen“ gibt; letztlich hängt alles von der Perspektive der Menschen ab. Deshalb sollten wir der Regierung nicht einfach all unsere Daten anvertrauen, nur weil sie uns angeblich vor Terroristen oder Kindesmissbrauchstätern schützt. In der Praxis missbraucht der Staat irgendwann unschuldige Bürger, und vielleicht passiert das schon jetzt und man fordert noch mehr Kontrolle.
    • Wenn eine Regierung die Bedürfnisse der Bevölkerung nicht angemessen erfüllt – nicht ihre Wünsche, sondern ihre Bedürfnisse –, dann ist das meiner Meinung nach eine schlechte Regierung. Wenn auf den Straßen Gangs, Diebe, Drogen und Krankheiten wüten, ist das keine Frage der Perspektive der Bürger, sondern etwas Schlechtes, das der Staat lösen muss. Gäbe es diese Rolle nicht, gäbe es keinen Grund für die Existenz eines Staates.
    • Deshalb finde ich, dass man weder dem Staat noch sonst jemandem die Datenverwaltung blind überlassen sollte. Beim Staat wird wenigstens noch ein Gemeinwohlanspruch geltend gemacht, Unternehmen hingegen handeln ausschließlich im Interesse ihrer Aktionäre.
    • Theoretisch ist das ein interessantes Argument, aber in dem Land, aus dem ich komme, sieht die Realität so aus, dass der Staat die Handys der Menschen durchsucht und Beweise für regierungsfeindliches Verhalten oder Social-Media-Aktivitäten nutzt, um extrem lange Haftstrafen zu verhängen. Als aktuelles Beispiel siehe diesen Link. So sicher GrapheneOS auch sein mag, um einer solchen Bedrohung wirklich auszuweichen, braucht man unbedingt ein vollständig sauberes Telefon.
    • Ich glaube, hier verwässert jemand absichtlich den Kernpunkt, und meiner Meinung nach muss man darüber eigentlich gar nicht mehr diskutieren. Eine Regierung, die Bürger entführt, foltert, ermordet und „verschwinden“ lässt, ist ganz eindeutig eine schlechte Regierung. Historisch und real sind China, Russland, Mexiko, Nordkorea, Belarus, der Balkan und viele afrikanische Länder Beispiele dafür. Nur weil 34 % meiner Nachbarn wollen, dass ich in ein Arbeitslager geschickt werde, ist das nicht gerechtfertigt. Ich persönlich möchte an solche Orte auf keinen Fall gehen. Und auch dieses „kommt auf die Perspektive an“ ist ein Paradebeispiel für eine schlechte Regierung. Eine gute Regierung zu sein, ist eigentlich nicht schwer: Man muss sich einfach nur nicht schlecht verhalten.
    • Ich halte diese Denkweise für ein sehr problematisches Phänomen – nämlich die Annahme, dass eine Regierung sofort schlecht sei, wenn sie von der eigenen Meinung abweicht. Dabei wird offenbar vergessen, dass Zivilisation manchmal Kompromisse braucht, wenn viele Menschen mit unterschiedlichen Ansichten zusammenleben.
  • Ich mag GrapheneOS wirklich sehr, aber es wäre perfekt, wenn es eine Version gäbe, mit der man bei authentifiziertem Nutzerzustand private App-Daten extrahieren oder eine Root-Shell erhalten könnte. Die Entwickler sagen zwar, Root reiße ein großes Loch in das Sicherheitsmodell, aber wenn es nur einen sicheren Weg gäbe, Root zu nutzen, könnte ich die gewünschten Apps direkt selbst modifizieren und hätte damit wirklich das ideale OS. Klar, man kann es herunterladen und selbst signieren, aber so weit möchte ich nicht gehen.
    • Auch auf GrapheneOS kann man Root konfigurieren, allerdings wird dabei alles gelöscht, also unbedingt vorher ein Backup machen. Wenn man Root wirklich braucht, kann man praktisch so vorgehen: Daten sichern – Root aktivieren – wiederherstellen.
    • Ich wünsche mir diese Funktion ebenfalls. Ich nutze einen selbst gebauten userdebug-Build für adb root, aber offizieller Support wäre deutlich besser.
    • Das bedeutet, dass man nicht beides haben kann. Root-Zugriff ist ein sehr großes Sicherheitsloch, daher wird es das in offiziellen Builds niemals geben. Außer man erstellt sich eigene Custom-Keys und Images, gibt es keinen anderen Weg.
    • Ich frage mich, was genau das Bedrohungsmodell beim Aktivieren von Root auf dem Telefon ist und warum man das nicht vollständig verhindern kann. Die meisten Server oder Desktop-Systeme lassen sich doch auch mit aktiviertem Root problemlos sicher betreiben.
  • Es ist [2024], und dieser Artikel wirkt wie ein Entwurf; auf dem Blog des Autors ist er hier zu finden: https://telefoncek.si/2024/05/2024-05-30-grapheneos-and-forensic-extraction-of-data/
  • Wenn ich das lese, bekomme ich Lust, ein Pixel zu kaufen und GrapheneOS auszuprobieren. Selbst wenn man annimmt, dass große Konzerne ein gewisses Interesse am Datenschutz haben, sind sie am Ende rechtlich leicht angreifbar. Wenn die USA oder die EU morgen ein Gesetz verabschieden würden, das Hintertüren in allen Mobilgeräten vorschreibt, hätte das weltweite Auswirkungen.
    • Das kann man sehr günstig ausprobieren. Ich habe auf eBay ein generalüberholtes Pixel 7 Pro für 250 Dollar gekauft und GrapheneOS installiert. Mit einem 20-Dollar-eSim-Tarif ist das mein reines Ausgeh-Telefon. Wenn es auf Reisen verloren geht oder gestohlen wird, ist mir das egal. Ich deaktiviere einfach die eSim, kaufe ein anderes Pixel und installiere wieder GrapheneOS. Zu Hause liegt mein Haupttelefon, ein Pixel 10 Pro, weiterhin sicher.
    • Nur als Hinweis: Die britische Regierung wollte Apple unter Berufung auf den Investigatory Powers Act von 2016 zur Entwicklung einer Hintertür zwingen, aber Apple hat das abgelehnt.
    • Mein letztes Pixel (4a) war nach etwa anderthalb Jahren schon in ziemlich schlechtem Zustand. Ich frage mich, ob es robustere Android-Geräte gibt. Mein Apple SE lief über Jahre problemlos, deshalb bin ich wieder zu Apple zurückgegangen. Ich würde GrapheneOS aber sehr gern ausprobieren.
    • Ich möchte wegen GrapheneOS ebenfalls ein Pixel kaufen, aber Google ist trotz seiner Billionenbewertung beim weltweiten Vertrieb immer auffallend zurückhaltend.
  • Das wirkt auf mich, als würde hier Internet-Spekulation mit anderer Internet-Spekulation widerlegt. Cellebrite veröffentlicht seinen Supportstatus für aktuelle Geräte nicht, daher können normale Nutzer nicht wissen, welche Fortschritte es bei neueren iPhones oder iOS-Versionen, beim Pixel 9/10 oder bei aktuellen Android-Versionen genau gibt. Was beide Unternehmen offiziell gezeigt haben, ist jedoch, dass Apple mit aktivierter Advanced Data Protection deutlich mehr Ende-zu-Ende-Verschlüsselung bietet als Google und dass beide in Hardware- und Plattform-Sicherheit investieren (zum Beispiel Apples SEAR). Die Existenz von GrapheneOS an sich ist positiv, aber dieser Beitrag selbst scheint mir keinen echten praktischen Nutzen zu haben.
    • In einem Anfang des Jahres geleakten Dokument ist auch das Pixel 9 enthalten. Zumindest laut dem damals geleakten Material wird GrapheneOS mit Patchstand ab 2022 von Cellebrite als nicht unterstützt markiert und ist sogar sicherer als die Stock-Firmware von Google. Einer der Gründe, warum GrapheneOS solche Debatten eher vermeidet, ist, dass es ohne Zögern Maßnahmen wie das Deaktivieren des USB-Ports umsetzt, vor denen Google aus Gründen der Benutzerfreundlichkeit zurückschreckt. Anders als Google, Samsung und Apple (ohne Lockdown Mode) verlangt GrapheneOS immer eine Entsperrung, wenn Nutzer ihr Telefon mit einem Auto, Display, USB-Speicher oder 3,5-mm-Adapter verbinden wollen, und bekommt dadurch weniger Beschwerden. Außerdem werden zur Härtung beim Kompilieren verschiedene Optionen aktiviert, selbst wenn das Leistung kostet. Es wird sogar anhand realer, wenn auch seltener erfolgreicher Angriffe erklärt, dass diese Maßnahmen entscheidend für die Verteidigung waren (GrapheneOS-Fall). Den aktuellen Stand bei Cellebrite kennen wir vielleicht nicht, aber dass sie GrapheneOS über mehr als drei Jahre nicht ernsthaft knacken konnten, stärkt mein Vertrauen. Natürlich verfügen GRU oder NSA möglicherweise über außergewöhnliche Angriffsmethoden, aber derzeit gibt es keine Hinweise darauf, dass kommerziell verfügbare Tools GrapheneOS geknackt hätten.
    • Jemand spielt den GrapheneOS-Entwicklern fortlaufend Informationen über den Cellebrite-Supportstatus zu. Laut diesen Angaben stand in den offiziellen Dokumenten ausdrücklich, dass nur GrapheneOS mit Patchleveln vor 2022 gehackt werden konnte. Man hat sogar die neuesten Unterlagen bis Juni 2025 und könnte bei Bedarf mehr beschaffen, plant das aber derzeit nicht unmittelbar, weil es dringendere Aufgaben gibt. Falls sich etwas ergibt, wird sich die zentrale Kontaktperson, die diese Materialien weitergibt, ohnehin direkt melden, daher ist man beruhigt (Link).
  • Wer einen Wechsel von iOS zu GrapheneOS erwägt, für den könnten dieser Migrationsleitfaden und diese Review hilfreich sein: https://blog.okturtles.org/2024/06/the-ultimate-ios-to-grapheneos-migration-guide-and-review/
    • Es gibt auch vertrauenswürdige Dienste wie Ente als Ersatz für Apple Photos und Google Photos. Darüber hinaus existieren viele weitere Alternativen.
    • Das ist etwas off-topic, aber ich frage mich, aus wie vielen Teammitgliedern GrapheneOS derzeit besteht. Falls Daniel Micay plötzlich ausfallen würde, würde ich gern wissen, ob Personen und Infrastruktur bereitstehen, um die Entwicklung sofort weiterzuführen.
  • Zur Aussage „...weil GrapheneOS gegen diese Angriffe stärker gehärtet ist als iOS. Das iPhone hat zwar ebenfalls ein Secure Element, aber Angreifer haben dieses lange umgangen; bei Samsung und Qualcomm ist es ähnlich“: Ich frage mich, ob Pixel in der Praxis tatsächlich widerstandsfähiger gegen Brute-Force-Angriffe ist und ob iPhones und ähnliche Geräte von solchen Tools leichter geknackt werden.
    • Diesem Urteil stimme ich nicht zu. Ich habe großen Respekt vor GrapheneOS, aber wenn Kritik aufkommt, tauchen dort bisweilen Formulierungen auf, die fast wie übertriebene Werbung wirken. Die betreffenden Artikel und Informationen beruhen auf geleakten Cellebrite-Supportlisten – also Verwaltungsgerätedateien mit Inhaltsverzeichnissen –, und der Stand kann sich je nach Zeitpunkt ändern. Zum Zeitpunkt des Artikels konnte Cellebrite per Brute Force auf iPhones bis einschließlich iPhone 12 vor der Einführung der Secure-Storage-Komponente zugreifen; beim iPhone 12 war man für Versionen vor iOS 17 noch in der Forschungsphase. Bei Android ist Brute Force seit dem Pixel 6 (mit Titan M2) nicht mehr möglich. Grundsätzlich ist das Vertrauensmodell bei iPhone und Pixel fast identisch: Der Passcode des Nutzers wird mit sicherer Entropie kombiniert, um Schlüsselmaterial zu erzeugen, und ein Sicherheitsprozessor begrenzt die Anzahl der Versuche. Apples Architektur ist in der offiziellen Dokumentation sehr gut beschrieben, und Googles Weaver funktioniert ähnlich. Insgesamt denke ich, dass sowohl aktuelle iPhones mit iOS als auch aktuelle Pixel mit GrapheneOS Schutz auf Spitzenniveau bieten. Wie im Artikel beschrieben, liegen die meisten anderen Geräte und Firmwares bei der Konzeption der Sicherheitssoftware (ROM, Bootloader usw.) deutlich zurück.
    • Bis auf das Wort „leicht“ stimmt das größtenteils.
  • Die naheliegendste Sicherheitsbedenken betreffen für mich die Blobs – also die unverzichtbaren proprietären Hardware-Treiber auf Android-Telefonen, die mit hohen Rechten laufen. Wenn GrapheneOS diese Treiber nicht sehr strikt sandboxed, könnte ein versierter Angreifer die Sicherheit über Hintertüren in WLAN-, Modem- oder Bluetooth-Treibern aushebeln. Bei solchen Blobs ist es letztlich schwer, grundlegende Probleme zu verhindern, egal was die GrapheneOS-Entwickler tun. Man könnte sich zum Beispiel vorstellen, dass ein WLAN-Treiber die PIN-Eingabe abfängt.
    • GrapheneOS führt auch diese Blobs in sehr strikten Sandboxes aus. Der HN-Nutzer strcat hat dazu viele ausführliche Erklärungen geschrieben: ausführliche Antworten von strcat
  • Solange man den USB-Port eines Smartphones verwendet, kann man vollständige Sicherheit nicht garantieren. Genau darüber wollen Regierungen Hintertüren haben. Ich empfehle, aus Gründen der Privatsphäre und der Freiheit entsprechend zu wählen. Unabhängig von politischen Aussagen geben Regierungen im Geheimen Geld für genau solche Maßnahmen aus. Auf Plattformen wie AWS analysieren zahlreiche Auftragnehmer mit UFED ausgelesene Daten – also im Grunde als Zip komprimierte Telefondateiverzeichnisse. Dazu gehören E-Mails, Anruflisten, Carrier-Einstellungen, Browserverlauf, SMS, Cookies, Apps sowie App-Logs und -Daten – praktisch alles, was sich auf dem Telefon befindet.
    • Wenn man den TFA liest, kann GrapheneOS auch den USB-Port deaktivieren.
  • Aus technischer Sicht fände ich es spannend, einmal einen Artikel zu sehen, in dem digitale Forensik-Tools auf alle Betriebssysteme in ihrer jeweils sichersten Konfiguration angewendet und die tatsächlichen Unterschiede verglichen werden.
    • Wenn mit „sicherster Konfiguration“ gemeint ist, dass das Gerät ausgeschaltet und komplett offline ist, dann vermutlich das.