Leserartikel GrapheneOS auf dem Google Pixel 8 Pro

Hallo allerseits!
Ich starte aktuell mit der Nutzung von GrapheneOS, nachdem ich das Projekt längere Zeit beobachtet habe, aber immer zu faul war, es auch zu installieren / zu nutzen.

Da es in Deutsch nur wenige ausführlichen Erfahrungsberichte gibt, bzw. ich kaum was dazu gefunden habe, dachte ich mir: Schreibe ich mal auf.
Mehr dazu im Spoiler "Meine Beweggründe"...

Zuerst - Wichtige Links zum Projekt:
Wikipedia
Website
Forum
Matrix (Chat-Client, Auflistung der Server/Kanäle auf der Website)
Mastodon
Github Issue Tracker
Es gibt u.a. noch eine Twitter-Community und einen Reddit-Account. Wie aktiv die Twitter-Communty ist, weiß ich nicht. Reddit wurde mehr oder weniger abgekündigt als Diskussionsplattform.

Ich habe seit einiger Zeit ein zunehmend größer werdendes Problem mit dem Thema "Privatsphäre auf dem Smartphone", weil immer mehr Regierungen Interesse daran zeigen, die Privatsphäre der Bevölkerung durch einen Generalverdacht zu untergraben.

Daher nutze ich seit längerem schon Linux als meinen "Daily-Driver", also als mein Haupt-Betriebssystem auf meinem Notebook, mit dem ich alle wichtigen (und auch unwichtigen) Dinge erledige.

Auf dem Handy ist das bisher noch nicht so gewesen, Hauptgrund dafür war wohl Faulheit. Eigentlich habe ich mir damals ein Pixel 6 Pro für genau diesen Zweck gekauft, war dann aber immer zu faul ein Custom ROM, also ein "Nicht Standard-Android", auf dem Pixel zu installieren. Das habe ich nun geplant zu ändern, und zwar beim Wechsel auf das Pixel 8 Pro.

Da man im Deutschsprachigen Raum leider nicht viele Erfahrungsberichte etc. findet, habe ich mir gedacht: Dann schreib doch selbst etwas. Gesagt, getan - hier bin ich nun also, und werde hier meine Erfahrungen mit GrapheneOS dokumentieren.

Ich hatte überlegt, parallel dazu einen Blog auf Basis von Wordpress zu machen - aber da greift wieder die Faulheit. Muss ich mal schauen, wann ich Zeit und Lust dazu habe. Solange muss der Thread hier im Forum wohl ausreichen ;)

Zum Inhalt: Ich plane das hier regelmäßig zu erweitern, für den ersten Teil wird es aber nur eine Zusammenfassung / Informationsquelle zum Thema, damit auch Menschen die nicht im Thema sind, was wohl auf die meisten zutreffen wird, wissen und verstehen, worum es eigentlich geht. Ich werde versuchen, regelmäßig Updates zu machen und den Beitrag hier ergänzen.
  1. Was ist GrapheneOS? (Incl. Geschichte hinter dem Projekt)
  2. Worin unterscheidet sich GrapheneOS vom "normalen Android"?
  3. Für welche Endgeräte gibt es GrapheneOS und wie installiere ich es?
  4. Wie sieht es mit dem Support aus?
  5. Kann ich von GrapheneOS "testen"?
  6. Falls mir GrapheneOS nicht gefällt, kann ich wieder zurück zum normalen Android?
  7. Wie installiere ich GrapheneOS?
  8. Benutzerprofile
  9. Bekannte Inkompatibilitäten
  10. Apps und was man beachten sollte
1. Was ist GrapheneOS? (Incl. Geschichte hinter dem Projekt)
Zuerst mal generell: GrapheneOS ist Betriebssystem für Smartphones, das auf Android basiert. GrapheneOS wird allerdings nicht von einem Unternehmen o.ä. entwickelt, sondern von einer Gruppe freiwilligen Entwicklern. Das Betriebssystem ist keine vollständige Neu- oder Eigenentwicklung, sondern es basiert, wie schon erwähnt, auf Android. Genauer gesagt, auf dem AOSP - dem Android Open Source Project. Das ist die Basis, die hauptsächlich, aber nicht nur, von Google entwickelt und gepflegt wird, und auf dessen Basis die ganzen normalen Hersteller ("OEMs") ihr Android entwickeln - so auch GrapheneOS.

Ich fasse hier kurz die Geschichte zusammen, ein paar mehr Details finden sich in Englisch auf der Website des Projekts.
Die Anfänge für GrapheneOS liegen im Jahr 2014, als Daniel Micay, ein Kanadischer Entwickler, anfing, Security- und Privacy-Features in eine eigene Android-Version einzupflegen.

Ende 2015 ging daraus das Betriebssystem CopperheadOS hervor, benannt nach dem "neuen Sponsor" der Entwicklung, dem Kanadischen Sicherheitsunternehmen Copperhead.

Im Jahr 2018 trennte sich Micay von Copperhead, da es zu "differenzen" zwischen Micay und dem CEO der Firma gab. Micay startete daraufhin auf Basis des Codes von CopperheadOS das neue Projekt AndroidHardening, woraus später GrapheneOS wurde, um die Entwicklung unabhängig vorantreiben zu können. Ziel des Projektes ist es, sich nie wieder enger an ein Unternehmen zu binden, um weiterhin unabhängig entscheiden über die Entwicklung zu können.

Laut Website arbeiten mittlerweile mehrere Vollzeit- sowie Teilzeitentwickler am Projekt, welche durch Spenden und die Zusammenarbeit mit mehreren Firmen finanziert werden.

Im August 2023 schrieb der Twitter-Account des Projekts, dass es aktuell ungefähr 175.000 Nutzer von GrapheneOS gibt. Genauer Zahlen gibt es nicht, da keine weiteren Daten erhoben werden - die genannte Zahl ergibt sich laut Entwicklern durch die reine Anzahl an Downloads.

2023 wurde für die Verwaltung der Finanziellen Mittel die GrapheneOS Foundation gegründet, eine gemeinnützige Stiftung mit Sitz in Kanada.

Den originalen Abschnitt zu Micays Person habe ich raus genommen, weil ich denke, dass das eventuell auch etwas zu privat ist, bzw. auch nicht mehr wirklich relevant. Es gibt da kontroverse Diskussionen um seine Person, die ich nicht ganz nachvollziehen kann. Letztlich ist es so, dass er sich u.a. aufgrund der Angriffe auf seine Person sowie mehreren Swatting-Vorfällen vollständig vom Projekt zurückgezogen hat, und die Entwicklung an die anderen Entwickler übergeben hat.
Wer da Interesse hat, es gibt ein Video von Tom Spark dazu, welches ich relativ Objektiv finde.

2. Worin unterscheidet sich GrapheneOS vom "normalen Android"?
GrapheneOS basiert, wie schon erwähnt, auf dem AOSP - dem Android Open Source Project.
Darauf basierend werden diverse Änderungen zur Erhöhung der Sicherheit und der Privatsphäre des Betriebssystems und des Nutzers gemacht, während man zeitgleich versucht, das Betriebssystem so Endanwenderfreundlich wie möglich zu halten.


Hier eine kurze Auflistung von nennenswerten Features, die nicht allzu stark ins Technische gehen. Eine vollständige Liste findet sich auf der Website des Projekts.

Der IT-Sicherheitsberater Mike Kuketz testet in einer Artikelserie verschiedene Android ROMs auf ihre Versprechen, wobei GrapheneOS bisher noch nicht betrachtet wurde.
Teil 1: Generelles
Teil 2: CalyxOS
Teil 3: iodéOS
Teil 4: LineageOS
Teil 5: DivestOS

Eine gegenüberstellung verschiedener ROMs findet sich auch beispielsweise hier:
https://eylenburg.github.io/android_comparison.htm

2.1 Entfernung aller Abhängigkeiten / Verbindungen zu Google Cloud Services bzw. Google Diensten
GrapheneOS gibt selbst an, dass alle Abhängigkeiten zu Google Diensten vollständig entfernt bzw. durch Proxies von Graphene ersetzt wurden, die alle nicht benötigten Daten zur Erbringung des Features entfernt.
Eine vollständige Auflistung hiervon findet sich im FAQ des Projekts.

2.1 Sandboxed Google Play Services
Eine der größten Änderungen am System ist wohl, dass sämtliche Verbindungen zu Google bzw. Google-Diensten standardmäßig entfernt wurden. Nichtsdestotrotz lassen sich die Google Dienste, z.B. der Google Play Store, nutzen. Hierzu werden die Google-Dienste in einer Sandbox vom restlichen System isoliert, sodass man genau bestimmen kann, auf welche Bestandteile des Betriebssystems bzw. des Smartphones die Google-Dienste zugreifen können.

2.2 Netzwerkberechtigungen pro App
Es ist möglich, einzelnen Apps die Netzwerkberechtigungen zu entziehen. Will man z.B. eine Notiz App nutzen, die man sowieso nur Offline benutzt, kann man dieser App sämtliche Netzwerkberechtigungen entziehen. Das macht meist Sinn, denn viele Apps enthalten von sich aus Tracking Features. Man kann nie sicher sein, wohin die Apps kommunizieren und welche Daten sie dabei wohin senden - wenn sie das also aus Nutzersicht nicht müssen, kann man ihnen einfach die Berechtigungen dafür entziehen.

2.3 "Storage-Scopes"[/SIZE][/SIZE]
Normalerweise lassen sich Apps nur darin beschränken, ob diese Zugriff auf Dateien auf dem Handy haben dürfen, oder nicht. Mit den Storage Scopes lassen sich diese Berechtigungen deutlich stärker eingrenzen, so kann man einer App zwar Berechtigungen geben, einen bestimmten Ordner zu sehen (z.B. die Bilder auf dem Handy), aber sonst nichts. Um die Kompatibilität mit Apps weiterhin sicherzustellen, wird den Apps ein vollständiges Android Dateisystem "emuliert", sodass die App denk, sie hätte alle erforderlichen Berechtigungen, ohne diese jedoch real zu besitzen.

2.4 Contact Scopes
Standardmäßig haben Apps keine Berechtigungen, auf die Kontaktliste zuzugreifen. Normalerweise lässt sich diese Berechtigung nur für alle Kontakte aktivieren oder deaktivieren, aber nicht für einzelne Kontakte. Dies lässt sich unter GrapheneOS aber genauer einstellen, es ist also möglich, einer App nur Zugriff auf einen einzelnen Kontakt oder eine selbst festgelegte Gruppe von Kontakten zu erlauben.

Es gibt noch deutlich mehr Features, die Liste hier zu übersetzen wäre aber wohl etwas zu viel des guten.

3. Für welche Endgeräte gibt es GrapheneOS und wie installiere ich es?
GrapheneOS gibt es aktuell für die folgenden Geräte:
Pixel 4 bis Pixel 7
Pixel Tablet
Pixel Fold
Es gibt außerdem eine Experimental-Version für das Pixel 8 / Pixel 8 Pro, welche mittlerweile auch offiziell auf der Website gelistet ist. Zugang hierzu gibt es unter grapheneos.org -> Install -> WebUSB based installer.
Das ist die Version, die ich erfolgreich auf meinem Pixel 8 Pro installiert habe. Hierbei gilt aber zu beachten: Es ist eine, mehr oder weniger geschlossene, Beta. Also nicht für den "Alltäglichen Gebrauch" empfohlen ;)

4. Wie sieht es mit dem Support aus?
4.1 Community Support / Hilfe:

Da es sich um ein Open Source Projekt von freiwilligen geht, gibt es keinen Kommerziellen Support, auf den man rechtlich irgendwie verweisen könnte. Sämtliche Unterstützung die man bekommt ist freiwillig, sei es von den Entwicklern oder von der Community.

Wie gut oder schlecht das ist, muss jeder für sich wissen - meine Erfahrung ist hier, dass die Community sowohl im Forum als auch im Matrix Chat sehr kommunikativ und hilfsbereit ist - aber nur in Englisch!
Beherrscht man also kein Englisch, könnte das ganze schwierig werden. Mittlerweile kann man sich zwar alles gut via Online-Übersetzer oder ChatGPT übersetzen lassen, eine direkte Kommunikation gestaltet sich aber schwierig.

Ich werde versuchen hier gerne zu helfen, falls jemand kein Englisch kann, aber letztlich bin ich dann auch nur Übersetzer aka. Durchlauferhitzer. Das sollte man bedenken.

Eine gute Quelle für aktuelle Probleme ist zum einen das Forum, zum anderen aber auch der Issue Tracker auf Github sowie der Mastodon Account.

4.2 Software-Support / Update Support:
Das Projekt gibt an, dass es für alle unterstützten Smartphones auch Updates gibt, solange diese von Google zur Verfügung gestellt werden. Also die üblichen 3-5 Jahre bei den Pixel-Geräten. Eine genaue Liste der Daten von Google gibt es hier.

Beim Google Pixel 8 bzw. Pixel 8 Pro garantiert Google einen Updatezeitraum von 7 Jahren, welchen das GrapheneOS Projekt ebenfalls übernehmen will/wird. Es ist also fest davon auszugehen, dass man die vollen 7 Jahre Android Upgrades (bis Version 21) +Sicherheitsupdates erhalten wird. Mehr dazu finden sich z.B. im Artikel von ComputerBase zum Pixel 8 / Pixel 8 Pro: 7 Jahre Support in allen Kategorien

5. Kann ich von GrapheneOS "testen"?
Nur, wenn man ein zweites Smartphone hat, auf dem man es installieren kann. Ein Weg, um z.B. eine "Virtuelle Maschine" mit GrapheneOS aufsetzen, ist mir nicht bekannt.

6. Falls mir GrapheneOS nicht gefällt, kann ich wieder zurück zum normalen Android?
Ja. Es ist jederzeit möglich, das Handy wieder mit dem normalen Android zu flashen, und so zum Originalen Herstellerzustand zurück zu wechseln. Hierzu bietet Google auch offizielle Tools / Möglichkeiten an.

7. Wie installiere ich GrapheneOS?
Da sich hier jederzeit Änderungen ergeben können, werde ich hier bewusst keine übersetzte Anleitung anbieten. Ich unterstütze gerne, die Anleitung findet sich hier.

Es gibt für die Installation 2 Möglichkeiten: Die empfohlene Variante verläuft größtenteils ohne viel "Magie" im Browser. Hierzu benötigt man einen Computer oder ein Notebook (Oder ein anderes Pixel mit dem Stock Android oder GrapheneOS) und ein USB Kabel zum verbinden der Geräte.
Empfohlene Betriebssysteme für das Notebook / den Computer sind Windows 10/11, macOS 11-14, ChromeOS sowie folgende Linux Distributionen: Arch, Debian, Ubuntu.
Wird die Installation von einem anderen Android Smartphone durchgeführt, ist die Voraussetzung entweder GrapheneOS selbst oder das Stock Android vom Pixel, also das Original Android von einem Google Pixel Smartphone.
Außerdem benötigt man einen der folgenden Webbrowser: Google Chrome, Chromium, Microsoft Edge, Brave (Mit deaktiviertem Brave Shields) sowie Vanadium (Der Standard-Browser unter GrapheneOS, basiert auf Chromium).

8. Benutzerprofile
8.1 Allgemein

Es ist unter Android prinzipiell schon möglich, mit Benutzerprofilen zu arbeiten. Die entsprechenden Funktionalitäten wurden in GrapheneOS erweitert bzw. verbessert, sodass man nun mit bis zu 32 Profilen/Benutzern (31 + Gastaccount) arbeiten kann, und die Profile auch effektiver untereinander / voneinander isoliert sind. Zudem lassen sich diese besser begrenzen/kontrollieren, das es unter einem normalen Android möglich wäre.

8.2 Vorteile von Profilen/Benutzern
Benutzerprofile haben den Vorteil, dass die Apps in einem vollständig isolierten Benutzer laufen, wo sie auch eigene Kontakte, Bilder etc. besitzen. Jedes Benutzerprofil ist mit seinem eigenen Verschlüsselungskey verschlüsselt, sodass andere Profile in keinster Weise auf diese zugreifen können. Zudem ist es möglich, sich mehrere Benutzerprofile gleichzeitig zu verwenden, oder aber auch einzelne Profile gezielt abzumelden, sodass sämtliche Aktivitäten/Apps unter diesem Profil beendet werden, und alle Daten aus dem RAM gelöscht werden.

Wichtig ist hierbei: Man KANN mit Benutzerprofilen arbeiten, um die Sicherheit weiter zu verbessern, muss es aber nicht. Wem das also zu viel Aufwand ist, der kann das ganze Thema vollständig ignorieren, oder sich ggf. zu einem späteren Zeitpunkt damit auseinandersetzen.

8.4 Beispiel: Google Play
Ein nützliches Beispiel, wo das Feature Sinn macht, sind die Google Play Services. Eventuell möchte man weiterhin auf dem Smartphone in der Lage sein, seine Onlinebanking-Apps zu benutzen. Die meisten dieser Apps benötigen hierfür die Google Play Services, da diese eine spezielle API anbieten, die GrapheneOS in dieser Form nicht emulieren kann. Die Google Play Services sind also, je nach App, unumgänglich.

Eine Lösung hierfür ist es, die Google Play Services nur in einem separaten Benutzerprofil zu installieren, sodass diese auch nur dort laufen, und auch nur von den Apps im Profil genutzt werden können. Viele Apps kommunizieren mit den Google Play Services, aber sind nicht zwingend darauf angewiesen.

Installiert man die Play Services in einem Benutzerprofil, so kann theoretisch jede App in diesem Benutzerprofil auf diese Dienste zugreifen, und wird dies vermutlich auch tun. Das kann man hiermit also effektiv verhindern.
Zudem hat dies den Vorteil, dass die Play Services aufgrund des bereits genannten Features der Sandboxed Google Play Apps ohnehin nur sehr eingeschränkt Daten sammeln können, und dies dann auch nur können, wenn das Benutzerprofil aktiv ist. Meldet man sich vom Profil ab, "schlafen" auch die Google Play Dienste.

8.5 App Installation
Wenn man parallel mit mehreren Benutzerprofilen arbeitet, und die Benutzerprofil vollständig voneinander isoliert sind, stellt sich natürlich auch die Frage: Wie aktualisiere ich diese dann?

Hierzu gibt es im Prinzip 2 verschiedene Wege. Der selbsterklärenste ist wohl, in jedem Benutzerprofil die benötigten Appstores zu installieren, und die Apps jeweils pro Benutzerprofil zu aktualisieren.

Die zweite Möglichkeit ist, im Hauptbenutzerprofil alle benötigten AppStores zu installieren, und auch alle benötigten Apps zu installieren. Diese können dann in den Einstellungen in jedem Benutzerprofil einzeln hinzugefügt bzw. installiert werden. Aktualisiert man nun alle Apps im Hauptbenutzerprofil, werden diese auch automatisch in allen anderen Benutzerprofilen aktualisiert.

Außerdem ist es möglich, einem Profil gezielt Berechtigungen zu entziehen, Apps zu installieren. Man kann ein Profil also fertig einrichten, um dann jegliche Änderungen an App-Installationen zu unterbinden.

8.6 App Notifications
In den Einstellungen lässt sich ebenfalls festlegen, ob Notifications bzw. Benachrichtigungen eines im Hintergrund aktiven Users auch an das aktuell aktive Benutzerprofil weitergeleitet werden sollen. Hat man also z.B. ein eigenes Benutzerprofil nur für seinen E-Mail Account, oder auch sein Onlinebanking, so kann man die Benachrichtigungen der Apps immer an das aktuell genutzte Profil weiterleiten, sodass man immer über neue Aktivitäten, also z.B. eine neue E-Mail, oder eine neue Kontoabbuchung, informiert wird.

9. Bekannte Inkompatibilitäten
9.1 Google Pay & Google Car

Eine bekannte Inkompatibilität ist aktuell Google Pay und Google Car. Beide Apps funktionieren nicht, bzw. nur stark beschränkt. Ich werde Google Pay mal testen, prinzipiell ist aber bei beiden davon auszugehen, dass sie nicht funktionieren. Wer auf GrapheneOS wechselt und eine oder beide der genantnen Google Apps benutzt, wird damit leben müssen, dass diese nicht funktionieren werden.

9.2 Einige wenige Banking-Apps
Generell ist es so, dass Banking-Apps in den allermeisten Fällen nur auf nicht gerooteten Androidsystemen laufen, und die Google Play Services voraussetzen. Genauer gesagt, verwenden die meisten Banking Apps "Google SafetyNet". Dieser ist abhängig bzw. ein Bestandteil von den Google Play Services.
Die Benutzung ist in den meisten Fällen möglich, wer eine App getestet haben möchte kann mir das gerne schreiben, ich werde es dann bei Gelegenheit ausprobieren. In den kommenden Tagen steht bei mir der Test der Sparkassen-Apps an, worüber ich hier dann entsprechend ergänzen werde.

10. Apps und was man beachten sollte
Ein weiteres "Feature" sind eine Hand voll vorinstallierte Apps. Zum einen wäre da die App "Apps", welche die GrapheneOS eigenen Apps aktuell hält.
Hier zu zählen folgende:
  • Auditor
  • Camera
  • PDF Viewer
  • Vanadium
  • Google Play services
  • Sowie "Apps" selbst
Wofür sind diese Apps nun da? Bei "Camera" und "PDF Viewer" liegt der Zweck nahe. Die Camera App bietet eine Kamera-Alternative an, welche allerdings keine Google Dienste o.ä. benötigt.
Der "PDF Viewer" ist der Standard Android PDF Viewer, in welchem einige Sicherheitsoptionen aktiviert wurden, um die App besser zu isolieren.

Die "Auditor" App ist eine App, mit der sich die Integrität des Betriebssystems mit einem zweiten Android Smartphone prüfen lässt. Die Auditor App ist dafür auch über den regulären Google Play Store verfügbar.
Außerdem lässt sich mit einem Account eine regelmäßige Remote-Prüfung durchführen, siehe Anleitung zur App.

Die "Google Play services" lassen sich auf Wunsch nachträglich installieren. Dabei werden diese allerdings nur als Apps installiert, und kriegen über eine Kompatibilitätsschicht vorgekaugelt, die eigentlich notwendigen Berechtigungen zu haben. So lassen sich auch Apps nutzen, die auf die Google Services angewiesen sind.
Die Google Services lassen sich dabei auch vollständig stoppen, sodass diese nicht im Hintergrund aktiv sind, oder auch in einem eigenen Benutzerprofil installieren, wenn man diese nur in Apps braucht, die man nicht allzu häufig nutzt. Ein gutes Beispiel hierfür sind Banking-Apps, welche zwar prinzipiell funktionieren, aber meist die Google Services sowie das "Native Code Debugging" (ptrace) benötigen, welches man in den Systemeinstellungen unter "Sicherheit" aktivieren kann (Ist Standardmäßig aktiviert).

Weitere mitgelieferte Apps, auf die ich nicht genauer eingehe - der Zweck lässt sich vom Namen ableiten:
  • Dateien
  • Galerie
  • Kontakte
  • Rechner
  • SMS/MMS
  • Telefon
  • Uhr
Keine der Apps benötigt besondere Berechtigungen, welche sich nicht aus dem Kontext heraus ergeben. Keine der Apps benötigt beispielsweise Internetzugriff o.ä. und fragt auch nicht regelmäßig danach.

10.1 Was man noch beachten sollte
Was es generell zu beachten gilt: Es gibt einige Apps (Line als Messenger z.B.) die auf die Google Play services angewiesen sind, um mit Push Notifications arbeiten zu können. Laufen die Google Services also nicht, gibt es auch keine Push Benachrichtigungen der Apps. Das sollte man ggf. vorher prüfen.

Whatsapp, Telegram, Threema oder Signal benötigen z.B. keine Google Services, um bei neuen Nachrichten eine Notification/Benachrichtung generieren zu können.

Ein weiterer Punkt sind, wie schon vorher erwähnt, Banking Apps. Die der Sparkasse z.B. funktioniert bei mir, man sollte sich aber auf Probleme einstellen, wenn es mal Updates dieser Apps gibt. Grund dafür ist, dass die Banking Apps alle eine API von Google benötigen, die nur über die Google Play Services angeboten wird, und die Sicherheit/Integrität des Geräts bestätigen sollen. Leider zählt hierfür nur das Google-Zeugs, also muss man für die Banking Apps zwangsläufig auch die Google Services installieren.
Meine Alternative fürs Onlinebanking: Chiptan der Sparkasse. Geht auch, ist theoretisch sicherer, weil zweites Gerät statt nur 2 Apps auf einem Gerät (Was übrigens aktuell vor Gericht verhandelt wird, weil ein Richter der Meinung ist, dass das Prinzip mit 2 Apps auf dem gleichen Gerät kein richtiges 2FA ist), aber ist etwas unkomfortabler.

Welche Apps sind mir bisher aufgefallen die nicht funktionieren? VOI und Tier. Ich wohne in einer Großstadt und nutze gelegentlich gerne die VOI E-Scooter, was sich erst mal erledigt hat. Die Apps funktionieren nicht richtig bzw. verhalten sich nicht so, wie sie sich verhalten sollten, obwohl ich ihnen alle Berechtigungen gegeben habe.

Ansonsten läuft bei mir aber alles an Apps.
Ich habe mir heute eine Xiaomi Smart Band 8 als Fitness-Watch gekauft, weil die "Mi Fitness"-App scheinbar auch ohne Account und ohne Internet funktioniert. Das Thema kommt also ggf. als nächstes.



Generell gilt: Wer Fragen hat, gerne fragen, ich versuche entsprechend zu antworten, und vielleicht auch der ein oder andere aus der Community, der auch GrapheneOS nutzt.

Ich bedanke mich an der Stelle bei einem Mitglied der GrapheneOS Community für Feedback zur Verbesserung / Korrektur des Artikels. Ob ich einen Nickname schreiben darf/werde, wird sich noch zeigen, wenn ich eine Antwort von ihm habe.

  • 2023-10-22: Abschnitt 1: Änderung vom letzten Absatz zu Daniel Micay
  • 2023-10-22: Abschnitt 2: Ergänzung zu Artikelserie von Mike Kuketz sowie einer Vergleichstabelle verschiedener ROMs
  • 2023-10-22: Abschnitt 2.1: Hinzufügen von eines neuen Unterpunkts sowie renummerierung der bestehenden Punkte
  • 2023-10-22: Abschnitt 2.3: Ergänzung zu Storage Scopes
  • 2023-10-22: Abschnitt 3: Änderung zur Experimental Version für das Pixel 8 / Pixel 8 Pro
  • 2023-10-22: Abschnitt 4.1: Ergänzung zum Issue-Tracker/Forum/Mastodon Account
  • 2023-10-22: Abschnitt 8: "Benutzerprofile" hinzugefügt
  • 2023-10-22: Abschnitt 9: "Bekannte Inkompatibilitäten" hinzugefügt
  • 2023-10-22: Änderungshistorie hinzugefügt
  • 2023-10-22: Ergänzung zu Unterstützung aus der GrapheneOS Community
  • 2023-11-01: Inhaltsverzeichnis korrigiert
  • 2023-11-01: Abschnitt 10: "Apps und was man beachten sollte" hinzugefügt
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Deinorius, Turbonippel, spfccmtftt89 und 49 andere
Ich wünschte, das könnte man so kaufen, weil ich komm grad in ein Alter, wo ich zu faul werde mir solche Spielereien anzutun.

Alles in Punkt 2 wäre für mich der Grund soein Smartphone zu kaufen und dass die Apps scheinbar alles auslesen können ist der Grund, warum ich keine Smartphones mehr benutze.

Auf einem meiner letzten habe ich der Foto App den Zugriff auf Messages und Kontakte verboten, danach funktionierte sie nicht mehr. Und das war die originale App, die mit dem Gerät kam. Das war für mich der Tag, an dem die SIM entfernt wurde und es in einer Lade verschwand.
 
deollz schrieb:
Das ist halt meine Meinung und wiederum andere benutzen auch die Corona, Bahn oder Luka App etc kann ja jeder machen wie er will.
Was ich damit sagen wollte: Die App ersetzt nicht den Ausweis, sie ist nur dazu da, um den gedruckten Ausweis einzulesen, wenn man sich damit irgendwo auf einer Website (z.B. ELSTER) ausweisen möchte.
 
Fred_VIE schrieb:
Ich wünschte, das könnte man so kaufen, weil ich komm grad in ein Alter, wo ich zu faul werde mir solche Spielereien anzutun.
Kannst du, kostet leider extra. Das NitroPhone 3 ist ein Pixel 7, auf dem Graphene vorinstalliert ist.
Allerdings ist die Installation sehr einfach, den Aufpreis kann man sich eigentlich sparen. Du musst das Handy nur via USB-Kabel mit einem Computer/Laptop verbinden, auf dem Linux/Windows/Mac mit Google Chrome bzw. Chromium als Browser installiert ist. Alles weitere ist in 20 Minuten durch, und erfordert keine Installation von Programmen o.ä., du musst nur ein paar Sachen im Browser anklicken + auf dem Handy mit den Tasten bestätigen.
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: prayhe, RedRain, blackTEHhawk und 5 andere
Snowi schrieb:
Sehe ich absolut nicht so. GrapheneOS hat deutlich mehr Vorteile, als nur ohne Google Apps zu sein. Zudem laufen die Google Services selbst nicht als Systemdienst, sondern als App, und es gibt eine "Zwischenschicht" die den Apps die Google APIs vorgaukelt und die Anfragen an die gekapselten Google Services durchreicht. Damit haben die Google Services keinerlei Systemrechte mehr, sondern laufen genau so in einer Sandbox wie jede andere App auch.
Also selbst wenn man das Handy am Ende genau so benutzt wie vorher auch, hat man hier massive Gewinne, sowohl bzgl. Sicherheit als auch bzgl. Datenschutz.
Ist der Sinn dahinter nicht dem ganzen google Kram zu entkommen? Außer der Kamera App die ich für eben brauche um optimale Fotos knippsen zu können, sehe ich nur noch Maps als eine App die ein Mehrwert bringen kann gegenüber den Open Source Apps.
Einige Benutzer argumentieren oft, das sie bestimmte Apps unbedingt nutzen müssen, ohne wirklich Alternativen je ausgiebig benutzt zu haben. Wenn es ähnlich Photoshop oder InDesign auf dem PC wäre (Windows vs Linux) könnte man dem folgen, aber das sehe ich wie gesagt mit Ausnahme von Maps nicht.
Wie du richtig anführst hat GrapheneOS weitere Vorteile für den Nutzer, die aber immer weniger werden umso mehr du google Dienste nutzt. Jemand der google Mail nutzt braucht sich über Datenschutz und Datensparsamkeit keine Gedanken machen, da die meisten Infos in den Email drin stehen.

Ich finde es super das du GrapheneOS näher erklärst und verschiedene weitere Punkte im Nachgang jeweils eingehst. Vielleicht könntest du diese noch in deinen Leserartikel hinzufügen/ergänzen.
 
ZFS schrieb:
Danke für den Bericht. Wurde durch GrapheneOS der Akkuverbrauch besser?
Ich kann es nur mit meinem Pixel 6 Pro vergleichen, das 8er habe ich nur einen halben Tag zum Kameratest mit dem Stock Android verwendet.
Ich habe das Pixel Mittwochnachmittag vom Kabel gezogen, war dann über die Woche weg bzw. hatte keine Zeit mich weiter um das Pixel / Graphene zu kümmern, und der Akku ist jetzt, also ca. 2 3/4 Tage später, bei 65%. LTE/WLAN waren durchgehend an, 5G aus (Gibt mein Tarif eh nicht her).
Ich würde sagen, dass der Akkuverbrauch sich definitiv vom Pixel 6 Pro aus verbessert hat, aber so richtig einschätzen kann ich da leider nicht. Soweit ich aber im Forum von anderen Nutzern lese, verbesserte sich die Akkulaufzeit bei allen wohl ziemlich gut.

NameHere schrieb:
Ist der Sinn dahinter nicht dem ganzen google Kram zu entkommen? Außer der Kamera App die ich für eben brauche um optimale Fotos knippsen zu können, sehe ich nur noch Maps als eine App die ein Mehrwert bringen kann gegenüber den Open Source Apps.
Jain, es ist ein Teil des Ziels. Das eigentliche Ziel ist es, ein sicheres und Datenschutzfreundliches Smartphone zu haben - also beides. Das beinhaltet in beiden Aspekten, dass die Verbindungen zu Google nicht mehr vorhanden sind. Allerdings sind die Google Apps, wenn man sie denn installiert, eben nicht mehr mit Systemrechten ausgestattet. Wenn du die Google Apps z.B. nur fürs Onlinebanking oder DHL App oder sonst was brauchst, dann kannst du die in einem eigenen Profil/Benutzerkonto installieren, und die werden beendet, sobald du dich wieder aus diesem ausloggst. Dazu schreiben einige ja, dass die Google Dienste nur da sein müssen, aber das geht wohl auch noch, wenn die Google Dienste selbst keinen Internetzugriff haben. Insofern wäre das also trotzdem ein quasi gleichbleibender Gewinn, da die Google Apps trotz Installation weder Netzwerkzugriff noch Systemrechte haben, und damit eigentlich nutzlos sind, außer dass sie vermutlich eine der wenigen APIs zur Verfügung stellen, die nicht emuliert werden kann (Das ist die API, die auch die Onlinebanking-Apps abfragen, um die Sicherheit des Geräts zu verifizieren).

NameHere schrieb:
Ich finde es super das du GrapheneOS näher erklärst und verschiedene weitere Punkte im Nachgang jeweils eingehst. Vielleicht könntest du diese noch in deinen Leserartikel hinzufügen/ergänzen.
Werde ich näher drauf eingehen, wenn ich die Apps mit den verschiedenen Google-Diensten getestet habe, also vermutlich so Sonntagabend :)
 
Habe einige Ergänzungen und Korrekturen gemacht, siehe Änderungshistorie im Originalbeitrag.
 
  • Gefällt mir
Reaktionen: NameHere und andi_sco
Vielleicht könntest du noch f-droid als App-Bezugsquelle nennen.
Die Versionen die es da gibt, sind meist so gebaut, das sie ohne Googles Firebase Cloudmessaging auskommen. Folgende Apps sind andere Versionen als die aus dem Play Store:
  • fairmail (kein oauth)
  • telegram FOSS (keine Location services, kein Firebase)
  • tasks.org reddit post

Aurora Store emuliert den Play Store und das Device. Man kann anonym mit einer random id Apps aus dem Play Store laden, oder sich mit einem bestehenden Account anmelden und so auf seine gekauften Apss zugreifen.
https://f-droid.org/de/packages/com.aurora.store/

Banking apps die funktionieren:
Sparkasse, DKB, ING, Barcleys, Bank Norwegian

Was noch Probleme machen kann:
Apps von Krankenkassen!
Die TK App lief lange nicht und jetzt auch nur mit angepassten Settings.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Haldi
Cooler TÜP, danke für den Artikel.

Zu Google Pay und Android Auto / was nicht geht:
Habs ein paarmal grob versucht, habe Screen Mirroring (noch?) nicht zum laufen bekommen. Ist aber ein Industriestandard, der eigentlich (tm) funktionieren müsste.

E-Sim:
Sollte man noch wissen:
Providerwechsel mit ner E-Sim könnte spannend werden.

Du brauchst Google Services mit einigen Freigaben, damit du eine E-Sim aktivieren kannst. Bist du eher ein treuer Providernutzer kannst du die E-Sim auch hinzufügen, BEVOR du das Original-Android ins Nirvana flashst. Dann kannst du die bereits aktivierte E-Sim einfach in Graphene nutzen.

Benutzerprofile am Beispiel hier:

- Eines für Pay/Bankingzeugs:
Bank A, Bank B, Bank C, Kredikarte xy, Paypal usw. mit Play Sörvizes.

- Trashprofil mit Playservices und Games mit Tonnen Bloatware und Zeug, was sich gerne gegenseitig ausspionieren darf.

- "Hauptprofil" Googlefrei mit K9Mail, fdroid-Zeugs und Threema als auch Signal als APK "direkt vom Hersteller" - in beiden Fällen der Messenger sind auch Updates ohne Stress möglich. Somit ist die Kommunikation von diversem Neugierigem Zeugs abgekapselt.
Einzig: Linphone als Sipclient ist irgendwie noch nicht ganz so stable beim umschalten zwischen den Profilen.
 
  • Gefällt mir
Reaktionen: OldManOfWoods
Hallo Snowi, vielen Dank für deinen ausführlichen Artikel in Deutsch. So etwas hat noch gefehlt; auch ich hoffe auf einen weiteren Artikel von Hr Kuketz, der GraphenOS beleuchtet.
Nachdem ich nun 1,5 Jahre lang SailfishOS getestet habe, würde ich gerne GraphenOS probieren. Mit einer Nutzerbasis von ca. 175 000 und einer stetig aktualisierten Software, klaren Update-Vorgaben klingt das für mich vielversprechend und zukunftssicherer als andere Ansätze.

Noch eine Frage zur Installation: Ich arbeite unter Ubuntu 22.04 (komplett ohne snapd) bzw. mit Linuxmint 21.2. Mit welchem Browser sollte ich eine Installation machen, denn auf der Installationsseite steht:
"You should avoid Flatpak and Snap versions of browsers..."
Ergänzung ()

Was noch Probleme machen kann:
Es wäre natürlich toll, wenn man die scheinbar wenigen Problem-Apps auf einer deutschsprachigen Seite sammeln könnte für eine Übersicht. Da ich bisher keine kenne, wäre eine erste Idee unter https://de.wikipedia.org/wiki/GrapheneOS
ein Kapitel mit problematischen Apps zu führen, z.B. mit den Infos:

App-Name (Version) | getestet mit Gerät X und GraphenOS-Version Y | kurze Problembeschreibung | evtl. workaround oder alternative App nennen
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: X-Worf und OldManOfWoods
Nur mal so reingeworfen, man kann sich auch ohne Playstore oder Aurora Apps besorgen, die nicht von F-Droid oder so stammen. Hier mal Erfahrungen von LOS ohne microG etc. Was da ohne Googledienste läuft, sollte ja auch auf Graphene laufen.

Die Google Kamera-App wird immer auf apkpure gelistet, man muß nur vorher im laufenden Werksandroid ihre Versionsnummer aufschreiben/merken, um zu wissen, bis zu welcher Version die App auf dem eigenen Pixel läuft. Evtl braucht man den gcamsrvcprovider als apk aber dann wird es laufen.

Die S-PushTan App läuft ohne Google-Dienste. Ihre Pushbenachrichtigung geht dann zwar nicht mehr, aber sie läuft und öffnen muß man sie ja eh zum freigeben von Aufträgen. Also Akkunutzung auf eingeschränkt, Hintergrunddaten auf AUS und gut is.

Spotify geht auch. Messenger wie WA und Signal auch ohne Probleme. Allerdings muß man, um immer Nachrichten gleich zu empfangen bei diesen Apps die Akkunutzung auf uneingeschränkt stellen (wie die Telefon- und SMS-App auch), bei nur optimiert grätscht einem das Android mit dem Doze mode dazwischen.

Ich überlege auch, mir ein neueres Pixel zu holen, wüßte aber gern vorher ob an den Beschwerden in Sachen Akkulaufzeit unter GOS (wie im Kuketzforum zu lesen) was dran ist.
 
Danke für den Thread!
Schön, dass es hier auch GOS-Nutzer gibt.

Ich habe nach langer Zeit des Abwägens nun auch den Sprung zu GOS geschafft und mir ein Pixel 7 zugelegt.
Erfahrung habe ich vorher in Ansätzen gesammelt, weil ich ein Pixel 6a für jemand anderen aufgesetzt habe.

Ich will keine Google Services installieren, aber nach den ersten Tagen muss ich sagen:
Was mir wirklich fehlt, ist Google Maps.
Für die eingetragenen Orte, die Bewertungen und die Verkehrsdaten habe ich noch keine Ahnung, wie ich diese ersetzen soll.

Ich habe zwar ein paar Datenkraken installiert, diese aber weitestgehend eingedämmt (bzw. es versucht) per Pihole.
 
@Marcel^

Ich nutze da eine Kombi aus MagicEarth und OSMand+.

MagicEarth bietet den Vorteil, das es komplett offline arbeiten kann und die wichtigsten Funktionen bereits eingebaut hat.

Bei OSMand+ kann man sich eigene Layer selbst basteln.
Die Stauansicht von Google kann man per API einlesen und die Straßen werden demnach eingefärbt (gelb/rot).
Dabei werden keine Daten an Google gesendet (außer der https-Request).
Was natürlich nicht geht, ist eine automatische Neuberechnung der Route, da es halt nur ein Overlay ist. Da musst du selbst entscheiden, ob dir das reicht.

https://mts0.google.com/vt/lyrs=h,traffic&x={1}&y={2}&z={0}&style=3
 
  • Gefällt mir
Reaktionen: Marcel^
Hallo, sorry für das ausgraben :)

Ich habe auch Lust auf dieses Betriebssystem, ich komme zu 95% wunderbar ohne Google aus. Mein Problem ist: Google Kalender.

Ich nehme stark an wenn ich mir jetzt das OS installiere und danach den Play Store + Google Kalender habe ich keinen Mehrgewinn (was Privatsphäre angeht). Sehe ich das richtig?

Grüße
 
Asznee schrieb:
Installiere dir diesen über den Aurora Store und gut ist.

Bedenke aber eventuelle Abhängigkeiten von GMS.

Gruß Fred.
 
  • Gefällt mir
Reaktionen: Asznee
Ich nehme stark an wenn ich mir jetzt das OS installiere und danach den Play Store + Google Kalender habe ich keinen Mehrgewinn (was Privatsphäre angeht). Sehe ich das richtig?

Doch. Weil die Google Services wie alle anderen Apps in einer Sandbox laufen (siehe z.B. hier) und keine erweiterten Berechtigungen haben wie auf Standard Android Geräten.
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Super Artikel! Danke für die Arbeit.
Ich bin vor ein paar Monaten zu Graphene OS gewechselt und wünschte ich hätte das hier vorher gefunden...
Snowi schrieb:
Der IT-Sicherheitsberater Mike Kuketz testet in einer Artikelserie verschiedene Android ROMs auf ihre Versprechen, wobei GrapheneOS bisher noch nicht betrachtet wurde.
Das wurde mittlerweile nachgeholt -> Hier
Wie zu erwarten ist das System der "Gewinner" in dem Vergleich.

Ich fand den Installations- und Einrichtungsprozess extrem einfach im Vergleich zu Lineage oder /e

Was bei mir noch aussteht ist die Einrichtung von RethinkDNS und des Arbeitsprofils, um darüber per VPN auf das Heimnetzwerk zuzugreifen.
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Ja, wenn man ein Google Pixel besitzt, ist GrapheneOS ein super Wahl.
Hatte ich selbst mal mit einem Pixel 6a testen können.
 
Ich bin schwer am überlegen mir ein Google Pixel 8 Pro zuzulegen.
Da würde ich dann schon gerne das GrapheneOS drauf installieren.

Es gibt da halt so einige Apps die ich da gerne nutzen würde.
Man liest, dass es da gerne mal zu Problemen kommen kann.

Vielleicht nutzt hier auch der eine oder andere eine der Apps und kann berichten, ob das funktioniert.
Hier mal einige Apps, die immer wieder benutzt werden.
  • aCalendar+
  • MyPhoneExplorer
  • FairEmail
  • Banking4
  • Threema
  • WhatsApp (Nutze ich hauptsächlich, um Kontakt mit Familie und Bekannten zu halten, da die kein Geld für z. B. Threema ausgeben wollen)
  • Garmin Connect / Connect IQ
  • NetGuard

Es gibt noch die eine oder andere App.
Aber die könnte ich zur Not auch auf mein ZweitPhone (iPhone) drauf machen.

Wenn ich das richtig verstanden habe, wird der PlayStore ja nicht mehr genutzt. Was ja Sinn und Zweck des deGogglen ist.
Gibt es Alternative Stores, wo man die oben genannten Apps beziehen und wichtig automatisch aktualisieren kann?
 
Zurück
Oben