© kirillm / 123RF.com

Sicherheit erfordert eine hohe Codequalität, robuste Abwehrmechanismen gegen Exploits, einen sicheren Umgang mit dem Speicher und korrektes Sandboxing für Anwendungen. Genau darauf legt GrapheneOS seinen Fokus.

Jeder sollte das Recht auf Privatsphäre haben, also zu kontrollieren, was mit Informationen über ihn passiert. Das setzt jedoch Sicherheit voraus, also die Fähigkeit, diese Informationen vor Angriffen zu schützen.

Das mobile Betriebssystem GrapheneOS [1] verfolgt deshalb an dieser Stelle einen proaktiven Ansatz: Statt darauf zu warten, dass Schwachstellen entdeckt werden und sie dann zu patchen, zielt GrapheneOS darauf ab, ganze Klassen von Exploits zu entschärfen, bevor sie sich zu Schwachstellen auswachsen. Es baut dazu auf dem Android-Sicherheitsmodell auf, verbessert es aber erheblich. Kurz gesagt will GrapheneOS seine Anwender davor bewahren, in die Lage zu geraten, die folgendes Axiom beschreibt: “Wenn Ihr Gegner Ihren Computer dazu bringen kann, seine Programme auszuführen, ist es nicht mehr Ihr Computer.”

Ein besonders wunder Punkt für Nutzer, die sich Sorgen um die Privatsphäre auf ihrem Smartphone machen, sind die mit dem System gebündelten invasiven Apps, die sich nicht entfernen lassen und Daten über den Nutzer sammeln. GrapheneOS liefert keine zusätzlichen Apps oder Dienste von Drittanbietern mit. Alle Verbindungen, die es per Default herstellt, erläutert die Webseite des Projekts ganz klar. Sie werden nur aus legitimen technischen Gründen aufgebaut: zum Abgleich der Uhrzeit, zum Überprüfen der Konnektivität, zum Erkennen unverschlüsselter Portale und zum Prüfen und Herunterladen von Aktualisierungen. Das Setup ist von Haus aus privat und sicher, GrapheneOS sammelt keinerlei Daten über seine Benutzer. Damit gibt GrapheneOS seinen Anwendern ihre Privatsphäre zurück.

Ist es das Richtige für mich?

Abgesehen davon, dass man Googles Zudringlichkeit entkommt, unterscheidet sich die Benutzererfahrung mit GrapheneOS nicht groß von der mit einem üblichen Android-Mobiltelefon wie einem Pixel-Phone. GrapheneOS befriedigt die alltäglichen Bedürfnisse von Nutzern aller Könnensstufen, von Einsteigern bis hin zu fortgeschrittenen Anwendern. Diejenigen, die nicht von Googles Ökosystem, Apps oder Diensten abhängig sind und davon wegkommen wollen, werden die Änderung kaum bemerken (Abbildung 1).

Abbildung 1: GrapheneOS bleibt optisch nah am Original: Erkennen Sie die neuen Optionen?

Die GrapheneOS-Entwickler verfolgen einen pragmatischen Ansatz: Sicherheit muss bedienbar, transparent und automatisiert sein. GrapheneOS bietet eine geradlinige Benutzererfahrung und vermeidet Schnickschnack, Theatralik, Knöpfe, Tasten und Einstellmöglichkeiten. Stattdessen integriert es die Sicherheitsoptionen in bestehende Menüs oder passt sie ganz automatisch an.

GrapheneOS installieren

Für Anwender mit einem von GrapheneOS unterstützten [2] Google-Smartphone aus der Pixel-Modellserie ist die Installation leicht, risiko- und kostenlos. Die Zeiten sind vorbei, in denen man für die Installation eines alternativen Betriebssystems auf einem Smartphone Entwicklerwerkzeuge und Kommandozeilen-Tools brauchte und dubiosen Guides aus dem Internet folgen musste. Stattdessen offeriert GrapheneOS einen intuitiven, gut dokumentierten Web-Installer, der den Installationsprozess auf wenige Schritte reduziert: Sie besuchen die Webseite des Projekts [3] mithilfe eines PCs oder eines zweiten Android-Geräts, stöpseln das zu flashende Telefon an und klicken auf eine Handvoll Buttons.

Der Installer (Abbildung 2) kümmert sich um den Rest, ohne Rätselraten und Unsicherheit. Alles lässt sich in weniger als vier Minuten mit ein paar Mausklicks erledigen. Falls Ihnen GrapheneOS dann nicht gefällt, wechseln Sie mithilfe von Googles Webflasher [3] jederzeit wieder zurück. Besitzen Sie bereits ein unterstütztes Mobiltelefon, besteht also durch die GrapheneOS-Installation kein Risiko. Nach deren Abschluss kommt der GrapheneOS-Launcher ins Spiel, der Sie durch ein kurzes Setup führt (Abbildung 3).

Abbildung 2: Der Installer von GrapheneOS lässt sich intuitiv bedienen.

Abbildung 3: In wenigen Screens führt Sie der Launcher durch die erste Einrichtung von GrapheneOS.

Einmal installiert, aktualisiert sich GrapheneOS drahtlos. Der Update-Client arbeitet automatisch im Hintergrund, nutzt Delta-Updates, um die Größe der Aktualisierungen auf wenige Megabyte zu reduzieren, und unterstützt vollständig A/B-Updates. Wenn eine Aktualisierung nicht funktioniert, greift GrapheneOS einfach auf die letzte funktionierende Version des Systems zurück.

Es gibt Dinge, die man mit Geld nicht kaufen kann. Dazu gehört der Seelenfrieden, der mit dem Wissen einhergeht, dass Ihr Mobiltelefon die beste Sicherheit aller Android-ähnlichen Betriebssysteme genießt. GrapheneOS selbst fällt ebenfalls in diese Kategorie: Die freie, quelloffene Software steht unter der freizügigen MIT-Lizenz. Daniel Micay, der Hauptentwickler, gibt den gesamten Quellcode frei, sodass andere Projekte Verbesserungen aus GrapheneOS leicht übernehmen können.

Geschichte

Das unabhängige Open-Source-Projekt GrapheneOS ist vollständig spendenfinanziert und wird von Freiwilligen betrieben. Es gibt keine Monetarisierung, keine Umsatzziele, keine Anteilseigner, keine Investoren, keine Aktien. Das Projekt vermeidet mit Absicht Partnerschaften oder vertragliche Beziehungen oder Verpflichtungen, um Interessenkonflikten aus dem Weg zu gehen. Die Nutzer stehen an erster Stelle.

GrapheneOS hat seine Wurzeln im Jahr 2014, als Daniel Micay begann, OpenBSDs »malloc()« auf Android “Bionic” zu portieren und Patches beim Android Open Source Project einzureichen. Zunächst nur für seinen eigenen persönlichen Gebrauch gedacht, wuchs sich die Arbeit zu einem eigenen Projekt aus, das er pflegte und unter einer Open-Source-Lizenz für die Öffentlichkeit freigab.

Im Jahr 2015 bot eine Firma namens Copperhead an, Daniel Micays Arbeit zu finanzieren. Im Gegenzug erklärte er sich einverstanden, den Namen des Projekts in CopperheadOS zu ändern. Im Jahr 2018 endete diese Vereinbarung jedoch, nachdem die Firma versucht hatte, die Signierschlüssel unter ihre Kontrolle zu bringen, was Daniel Micay abwehrte. Er benannte sein Projekt nach dem Ende der Partnerschaft in GrapheneOS um und stellte es wieder unter eine Open-Source-Lizenz.

Alles gehärtet

Die Webseite des Projekts umfasst eine ausführliche Dokumentation der Features von GrapheneOS. Einige Merkmale, die es aus der Masse herausheben, wollen wir hier aber kurz näher betrachten.

GrapheneOS verwendet eine eigene, gehärtete Libc, die mit dem von Daniel Micay geschaffenen Hardened Memory Allocator zusammenarbeitet. Letzteren übernahm später auch Whonix, das sicherheitszentrierte Clip-OS der französischen Regierung, und er beeinflusste das Design von Musls neuem Allocator. Der Hardened Memory Allocator separiert die Metadaten von den eigentlichen Daten und benutzt Chacha8 als qualitativ hochwertigen, deterministischen Zufallszahlengenerator. Er legt Schutzregionen rund um große Speicherobjekte an und setzt sogenannte Slap Canaries ein, um die Korruption von Speicherzuweisungen früh zu erkennen und eine Konsistenzprüfung zu ermöglichen.

Der Hardened Memory Allocator löscht den Speicher, sobald er freigegeben wird, prüft ihn dann und vermeidet es, denselben Speicherbereich sofort wieder zu verwenden. Das verhindert, dass nicht mehr benötigte Informationen im Speicher verbleiben und von anderen Programmen gestohlen werden. Der Allocator eliminiert vollständig Use-after-free-Schwachstellen und solche, die nicht initialisierte, im RAM liegende Daten angreifen.

Für die Address Space Layout Randomization (ASLR) stellt GrapheneOS mehr Entropie zur Verfügung, indem es sie von 24 auf 33 Bit erhöht. ASLR ändert den Speicherort der Daten und macht es damit für Malware schwieriger zu entdecken, was ein anderes Programm tut, da sich die Speicherorte von Objekten immer wieder ändern. Durch die Erhöhung der Entropie macht GrapheneOS es Malware deutlich schwerer herauszufinden, wo andere Objekte im Speicher liegen könnten, und diese zu zu korrumpieren.

Die Ausführung von nativem Code ist bei GrapheneOS deaktiviert, um Prozesse zu zwingen, nur innerhalb einer Android-Sandbox zu laufen. Der gehärtete Kernel deaktiviert die Unterstützung für dynamisch geladene Kernel-Module, um Sicherheitsmaßnahmen wie Control Flow Integrity zu stärken. GrapheneOS implementiert Techniken wie Stack Canaries, um Pufferüberläufe zu erkennen und Malware daran zu hindern, in die Ausführung von Programmen einzugreifen.

Alle diese Maßnahmen gehören zu einer Defense-in-Depth-Strategie, die Hand in Hand mit den anderen Maßnahmen geht, um Apps zur Laufzeit zu härten und die App-Sandbox zu stärken. Speicherkorruption und Use-after-free-Schwachstellen machen einen Großteil der CVEs (Common Vulnerabilities & Exposures) aus, die Googles Programm “0day in the Wild” [5] von 2018 bis 2021 offengelegt hat. Das bedeutet, dass GrapheneOS bereits Schutz vor ganzen Klassen von Zero-day-Exploits bot, bevor überhaupt eine dieser Schwachstellen gemeldet wurde. Andere Systeme dagegen waren dafür weiterhin anfällig.

Sicherer App-Start

Android läuft auf einem breiten Spektrum von Hardware, das von High-End-Smartphones bis hin zu billigen vernetzten Smart-Home-Geräten reicht. Die Android-Entwickler mussten oft erhebliche Kompromisse eingehen, damit Android auf kleinen Systemen mit geringer Rechenleistung funktioniert. Unter anderem verwendet Android eine Technik namens Zygote Spawning, um sicherzustellen, dass die Ladezeit der Anwendung auf ressourcenbeschränkten Plattformen nicht zu lang ausfällt.

Während des Systemstarts wird eine Prozessvorlage erstellt, in die das System alle Bibliotheken lädt. Wann immer ein neuer Prozess startet, kopiert es die Vorlage einfach und übergibt sie an den neuen Prozess. Das spart auf langsamen Geräten Zeit, allerdings auf Kosten der Sicherheit: Die Vorlage gibt jedem Prozess, den sie startet, dieselben Speicherzuordnungen, was die Sicherheitsgewinne der Adressraum-Layout-Randomisierung von Linux untergräbt.

GrapheneOS verwendet stattdessen ein Secure-Application-Spawning-System. Es erstellt jeden Prozess individuell und lädt ausschließlich notwendige Bibliotheken. Bei den preisgünstigen Google-Smartphone-Modellen Pixel 3a und 3a XL, die aus Kostengründen ein älteres und deutlich langsameres SoC und eMMC-Speicher anstelle eines Solid-State-Laufwerks verwenden, führt dies zu einer Verzögerung von etwas unter einer Sekunde beim ersten Start einer App nach einem Geräteneustart. Bei den leistungsstärkeren Modellen Pixel 3, 4 und 5 liegt der Leistungsverlust beim ersten Öffnen einer App unter einer Zehntelsekunde. Weitere Leistungseinbußen gibt es nicht.

Angriffe wie der BitUnmap-Exploit und der Qmage-MMS-Exploit missbrauchen Zygote Spawning, um die ASLR von Linux zu überwinden und fremden Code auszuführen. Diese Art von Attacke muss der Angreifer noch nicht einmal gezielt vornehmen. Solche Schwachstellen werden immer relevanter, da viele Unternehmen auf die Einführung eigener Apps drängen. Apps von Drittanbietern sind aber nicht immer sicher gegen Exploits und auch nicht in jedem Fall vertrauenswürdig. Viele kommen mit enormen Abhängigkeitsketten und Bibliotheken, die missbräuchlich, invasiv, unsicher oder sogar bösartig sein können. Das Spawning-Modell von GrapheneOS zeigt sich immun gegen Angriffe, die auf Zygote-Schwachstellen abzielen.

Vanadium und PDF-Viewer

Für GrapheneOS brauchen Sie keinen Webbrowser eines Drittanbieters, da es einen eigenen, gehärteten, die Privatsphäre respektierenden und voll funktionsfähigen Browser enthält. Da Browser mit Code und Medien von Webseiten umgehen müssen, liefert GrapheneOS einen gehärteten Chromium-Fork namens Vanadium aus. Vanadium dient mehreren Zwecken: Es löscht Identifikatoren und entfernt alle invasiven Dienste.

Noch wichtiger: Vanadium nutzt die Verbesserungen von GrapheneOS in Bezug auf Speichersicherheit und Sandboxing voll aus. Das macht es für nicht vertrauenswürdige Seiten im Internet noch schwerer, auszubrechen oder unerlaubt mit anderen Prozessen zu kommunizieren. Vanadium unterstützt auch die optionale Deaktivierung der Just-in-Time-Kompilierung (Abbildung 4), um Memory-Spraying-Angriffe zu entschärfen.

Abbildung 4: Die Sicherheitseinstellungen des Vanadium-Browsers bieten die Möglichkeit, die Just-in-Time-Kompilierung von Javascript auszuschalten.

Vanadium stellt auch die Android-Komponente Webview bereit, die es anderen Apps ermöglicht, Webinhalte anzuzeigen. Sie profitieren dann ebenfalls von den Sicherheitsverbesserungen. Die Herangehensweise von Vanadium an das Fingerprinting von Browsern lässt sich gut mit dem Bonmot beschreiben: “Wo versteckt man einen Elefanten? In einer Herde von Elefanten.” Vanadium wurde so konzipiert, dass es den Soft- und Hardware-Fingerabdruck des Telefonmodells, auf dem das Standardbetriebssystem läuft, sehr genau nachahmt. Das maximiert Ihre Anonymität, wenn Sie Vanadium verwenden.

Da auch PDFs eine große Angriffsfläche bieten, betreibt Vanadium Webview auch den Secure PDF Viewer. Dieser mehrschichtige Ansatz hilft dabei, PDF-Dokumente, die bösartigen Code enthalten könnten, besser in eine Sandbox einzuschließen. All das ist in GrapheneOS Standard. Darüber hinaus bietet es viele leistungsstarke Sicherheitsverbesserungen, die sich auf einfache, unauffällige Weise in das Betriebssystem integrieren und auf Effekthascherei oder Theatralik verzichten.

Telefonie und Netzwerk

Um die Angriffsfläche in der 3G- und 2G-Telefonie zu reduzieren, verfügt GrapheneOS über einen LTE-only-Modus, mit dem es die Verwendung von 4G erzwingen kann (Abbildung 5). Bei der Verwendung von WLAN ist die MAC-Adressen-Randomisierung immer eingeschaltet. Den DHCP-Status löscht GrapheneOS vor dem erneuten Verbinden automatisch, um zu verhindern, dass das Netzwerk zweimal dasselbe Gerät identifiziert.

Abbildung 5: GrapheneOS erlaubt es, 4G beim Telefonieren zu erzwingen.

Verschlüsselung

GrapheneOS nutzt die Sicherheitsfunktionen des Mobiltelefons vollständig, einschließlich des Titan-Sicherheitschips, der Weaver, verifiziertes Booten und Schutz vor Insider-Angriffen bietet. Weaver stellt sicher, dass sich die Schlüssel zur chiffrierten SSD nur auf dem zugehörigen Endgerät anwenden lassen. Verified Boot erzwingt, dass die Systempartition bei jedem Neustart validiert wird. Insider Attack Protection bewirkt, dass man die Firmware auf dem Titan-Chip nicht ohne das Passwort des Benutzers aktualisieren kann. Als zusätzliche Absicherung für den Fall, dass zu einem späteren Zeitpunkt eine Schwachstelle im Sicherheitschip entdeckt wird, erlaubt GrapheneOS das Verwenden von Passphrasen mit bis zu 64 Zeichen.

GrapheneOS baut auf der bestehenden Android-Mehrbenutzerfunktionalität auf und macht es möglich, nicht verwendete Benutzerprofile auch ohne eine privilegierte Geräteverwaltungs-App eines Drittanbieters zu schließen. Die Schlüssel der entsprechenden Profile löscht es aus dem Speicher. Der Ziffernblock für den Pincode verfügt über eine Scramble-Layout-Option, um Schulter-Surfing zu erschweren (Abbildung 6). Es gibt in den Sicherheitsfunktionen sogar einen optionalen Totmannschalter (Abbildung 7). Damit kann man das Telefon zwingen, von selbst neu zu starten und alle Schlüssel aus dem Speicher zu löschen, wenn es nach einer bestimmten Zeit nicht entsperrt wurde. Auf diese Weise lassen sich Angriffe abwehren, bei denen ein konfisziertes Gerät mit dem Stromnetz verbunden bleibt, in der Hoffnung, später eine Methode zu finden, um den Sperrbildschirm zu umgehen oder einen Speicherextraktionsangriff zu starten.

Abbildung 6: Die Ziffern des Ziffernblocks lassen sich immer in einer zufälligen Anordnung anzeigen, sodass die Zahlenkombination durch einen Blick über die Schulter schwerer zu erfassen ist.

Abbildung 7: Der Totmannschalter bootet das Telefon automatisch, wenn es nach einer frei wählbaren Zeit nicht entsperrt wurde.

Neue Berechtigungen

Im Berechtigungsmenü finden sich zwei neue Kippschalter (Abbildung 8), die Android nicht hat: Netzwerk und Sensoren. Diese Berechtigungen werden vom Kernel erzwungen. Verweigern Sie einer App die Netzwerkfunktionalität, schneidet GrapheneOS sie sowohl vom Internet-Zugang als auch vom Zugriff auf das lokale Netzwerk ab, um zu verhindern, dass sie das Netzwerk zur Kommunikation über Profile hinweg nutzen. Kappen Sie einer App den Zugriff auf die Sensoren, setzt das System alle Sensoreingaben auf null, sodass sich die Sensoren nicht für die Bewegungsverfolgung oder als improvisierte Mikrofone verwenden lassen.

Abbildung 8: Pro App lassen sich die beiden neuen Berechtigungen für die Nutzung des Netzwerks und der Sensoren einstellen.

Prüfen und Attestierung

GrapheneOS enthebt Sie der Notwendigkeit, Keysigning-Partys zu besuchen und kryptische Kommandozeilen-Apps zu verwenden, um das System zu verifizieren. Stattdessen verwendet die mitgelieferte Auditor-App den Android Hardware Backed Keystore und Android Remote Attestation zur Verifizierung und – noch wichtiger – zum Erkennen von Einbrüchen.

Mithilfe von Kryptografie lässt sich die Authentizität des Betriebssystems beweisen. Diese hardwaregestützte Verschlüsselung wird von der Strongbox des Sicherheitschips gehandhabt; selbst ein kompromittiertes Betriebssystem kann sie nicht fälschen. Durch einfaches Scannen von Challenge und Response mit einem anderen Gerät, das die Auditor-App ausführen kann, kann das GrapheneOS-System mathematisch beweisen, dass es authentisch ist und das Betriebssystem nicht böswillig verändert wurde (Abbildung 9). Dieser Prozess lässt sich offline über QR-Codes erledigen und zeigt den Zustand des Betriebssystems in einem einfachen, leicht lesbaren Format an. Der gesamte Vorgang dauert nur wenige Sekunden.

Abbildung 9: Als Ergebnis des Audits erhalten Sie ein Testat, aus dem hervorgeht, dass das Betriebssystem in keiner Weise verändert wurde.

Um das Vertrauen in die Binärversionen und den Quellcode zu erhöhen, unterstützt GrapheneOS reproduzierbare Builds für Transparenz. Mit dem Auditor lassen sich Builds nach der Installation verifizieren.

Mehr als die Teile

GrapheneOS zeigt stets an, wenn die Kameras oder Mikrofone des Geräts eingeschaltet sind. Schnellkacheln lassen sich nicht ändern, ohne das Telefon zu entsperren. Das System erlaubt nur fünf Versuche zur biometrischen Authentifizierung, bevor es die biometrische Entsperrung deaktiviert. Um Uhren-Spoofing-Attacken zu verhindern, authentifiziert GrapheneOS das Netzwerkzeitprotokoll, und die Zeit- und Netzwerkverbindungsprüfung verwendet standardmäßig die sicheren Server von GrapheneOS statt denen von Google.

Die Standardeinstellungen sind auf maximale Sicherheit und Privatsphäre ausgelegt. GrapheneOS verzichtet auf die Bündelung von Drittanbieter-Apps und lässt dem Benutzer etwas, was andere Smartphone-Betriebssysteme nicht bieten: eine Wahlmöglichkeit. Es zwingt Ihnen keine Features, Apps oder Dienste auf, die Sie nicht wollen. Es bietet noch keinen eigenen App Store für Drittanbieter an, doch ein Shop wie Aurora oder F-Droid lässt sich leicht installieren, indem Sie die entsprechenden APK-Datei aus dem Internet herunterladen.

Kompatibilität

GrapheneOS ist vollständig kompatibel mit der Android-API und kann alle Apps ausführen, die nicht auf die Google Play Services und Googles proprietäre Software angewiesen sind. GrapheneOS plant, die Play-Services-API in Zukunft auszulagern, damit davon abhängige Apps starten können, ohne Daten an Google zu senden.

GrapheneOS benötigt bestimmte Funktionen in einem Mobiltelefon, zum Beispiel hardwaregestütztes Keying, Unterstützung für nicht herstellerverifiziertes Booten, Keystore Attestation und Unterstützung für Kernel CFI. Viele seiner Sicherheitsmerkmale bauen auf diesen Funktionen auf. Im Moment erfüllen diese Anforderungen nur bestimmte Generationen des Pixel-Phones, nämlich das Pixel 3 und spätere, sowie die deutlich günstigeren Budget-Pixel-Telefone.

Es mag bizarr erscheinen, Google-Hardware zu kaufen, um von invasiven Google-Diensten wegzukommen, aber Google stellt die Firmware-Quellen auf Anfrage zur Verfügung, der verwendete Late-Stage-Bootloader von Qualcomm ist quelloffen, und Google öffnet alle seine Treiber vollständig. Es gibt keine proprietären Treiber auf den Pixels. Google unterstützt vollständig alternative Betriebssysteme auf den Smartphones, was es erlaubt, alle hardwaregestützten Sicherheitsfunktionen voll auszunutzen und die beste Isolation für das Modem und andere Komponenten auf dem SoC anzubieten. GrapheneOS hat die Hardware ausgewählt, weil sie die beste Sicherheit bietet.

Fazit

Einmal eingerichtet, läuft GrapheneOS zuverlässig und stabil. Das nahtlose und automatische Update-System macht die Pflege des Telefons so einfach, dass jedermann damit zurechtkommt. Das System wurde 2019 von Edward Snowden empfohlen, und Twitter-CEO Jack Dorsey twitterte einen Link zur Webseite des Projekts.

GrapheneOS eignet sich jedoch nicht nur für Datenschutz-Freaks. Es legt einen klaren Fokus darauf, seine neuen, hochmodernen Sicherheitsfunktionen auch technisch weniger versierten Nutzern zugänglich zu machen, ohne dass diese überhaupt wissen, dass sie geschützt werden. GrapheneOS eignet sich als Mobilbetriebssystem für den täglichen Gebrauch. Es bietet alles, was man von einem Smartphone-OS erwartet, ergänzt um maximale Sicherheit und einen Datenschutz, der weit über das normale Maß hinausgeht. ((jcb)/(jlu))