Qual der Wahl - Kampf um Mündigkeit

Question

Die Fragen auf den Punkt vorweg, die Erklärung hinterher:

- Welche Sicherheitslücken habe ich genau, wenn ich das Custom-ROM nicht regelmäßig update?
- Kann mir Jemand ein ansprechendes Smartphone für unter 200€ für die nächsten vier Jahre empfehlen, welches leicht zu rooten geht?
- Welche Custom-Rom außer lineage OS könnt ihr mir empfehlen, wer hat welche Erfahrung?


Hintergrund:

Ich möchte auf keinen Fall einen so fremdgenutzten Computer mit etlichen Sensoren mit mir rumtragen, wie es die üblichen von der Stange sind. Ich will kein Google Maps, Playstore, Youtube, usw. auf dem Telefon installiert haben. Außerdem brauche ich das Gefühl, alle Macht über mein Telefon zu haben. Es geht mir einzig und allein um die Software.
Ich möchte ich so wenig Daten wie möglich zum auswerten, verkaufen und manipulieren von mir verschenken. Das hat nichts mit meiner Privatsphäre zu tun, sondern viel mehr mit meiner Überzeugung, dass diese schräge Entwicklung für die Menschheit absolut nicht gut sein kann.
Ich habe mir vor einigen Jahren das Lenovo K3 Note zugelegt, es mit Lollipop 5.1 als Custom-ROM mit Superuserrechten gerootet, ein Backup mit Titaniumbackup erstellt und bin einigermaßen glücklich geworden.
Ich konnte mit Titaniumbackup über alle Apps bestimmen und Apptoide und f-droid die Apps runterladen, die ich brauchte. Außerdem konnte ich immer bestimmen, welche App auf welchem Speicher installiert wurde und die Rechte genau einstellen. Nun habe ich aber immer nur Anleitungen befolgt und kann nun wirklich nicht behaupten, Ahnung von dem zu haben, was ich da tat und immer noch tue.
Ich suche nun also ein neues Telefon, welches ich relativ einfach rooten kann und wofür es eine starke Community und gute custom-Roms gibt. Ich hatte den Ansatz, einfach bei Lineage OS auf die Geräteliste zu gucken und mir mein Lieblingshandy rauszusuchen, allerdings gefällt mir keines von denen so richtig. Ich wählte Lineage OS, weil diese Firmware stetig aktualisiert wird. 
Wie wichtig ist das? Die Firmware meines alten Smartphones habe ich nie aktualisiert und es gab keine für mich erfahrbaren Einschränkungen dadurch.
Auch wenn es die eierlegende Wollmilchsau wäre, möchte ich gerne eine Lösung haben, die mich nicht zu viel Energie kostet, bei der ich alle Macht über das System habe, obwohl ich nicht alles verstehe und die nicht zu viel Pflege (Manuelle Updates etc.) kostet.

Aries · Accepted Answer

Du bist immer im Internet in irgendeiner Form identifizierbar. Selbst wenn Du nur verschlüsselt kommunizieren würdest, gibt es noch Deine IP-Adresse, denn das andere System muss ja wissen, an wen es die Internet-Adresse oder App ausliefern soll. Mit der IP-Adresse werden auch Gerätedaten übermittelt. Das nutzen Betreiber dazu, um zu erfahren, wie sie Ihre Angebote am besten gestalten oder um Eigenarten bestimmter Clients entgegenzuwirken. Es ist aber auch ein Merkmal, jemanden eindeutig zu identifizieren.

"Eindeutig identifizieren" bedeutet nicht, dass Sie Deinen namen kennen. Sie wissen nur, dass eine bestimmte Person sich in einer bestimmten Art und Weise verhält und welche Interessen diese Person hat. Daraus lassen sich mit gewisser Wahrscheinlichkeit weitere Informationen gewinne, wie Geschlecht, Altersbereich, Beziehungsstandard, ob eine Familie vorhanden ist, ungefähre Aufenthaltorte.

Kritisch wird soetwas, wenn ein Werbenetzwerk in tausenden Webseiten eingebunden ist. Dann weiß dieses Netzwerk, welche Zeitungen Du liest, welche Spiele Du spielst, was Du einkaufst und vieles mehr.

Google ist in Prinzip ein Werbenetzwerk. Sie bieten zwar nicht nur Werbemodule für Webseitenbetreiber und App-Entwickler an, sondern auch viele praktische Dienste. Aber diese praktischen Dienste nutzen sie auch dazu, etwas über die Nutzer zu erfahren. Weil man sich zur Nutzung dieser Dienste Anmelden muss, kennen sie in der Regel auch den echten Namen, denn nur wenige werden Fakedaten verwenden.

Selbst wenn Du nur Fakedaten verwendest, stehst Du in unzähligen Telefonbüchern aus Deinem Umfeld mit dem richtigen Namen. In einigen vielleicht mir Spitznamen. Diese Leute haben ebenfalls einen Googleaccount und speichern Deine Daten. Google wird also auch trotz Fakedaten Deinen echten Namen kennen und sogar ziemlich persönliche Infos zu Dir bekommen. Sei es auch nur aus dem Inhalt einer E-Mail.

Für Facebook gilt entsprechendes, aber auch die deutschen Freemailer wie GMX, web.de, Freenet sind ähnlich kritisch zu sehen. Auch Microsoft, Yahoo, Apple und Amazon spielen in dieser Liga. Manchmal nutzen sie sogar Module der vermeindlichen Konkurrenz.

Aus Diesem Grund habe ich beispielsweise kein GMail bei Google. Man kann ein Googlekonto ohne Google-Mail-Adresse nutzen. Meine im Googlekonto hinterlegte Telefonnummer ist eine PrePaid-Karte, dessen Nummer niemand kennt. Auch nicht meine besten Freunde und die nahe Verwandtschaft. Ich bezahle Apps und Musik nur mit Google-PrePaid-Karten und nicht mit Kredit-Karte oder PayPal.

Meine Telefone haben entweder ein Custom ROM mit minimalen Google-Apps (die Pico GApps beispielsweise) oder die die ganzen Google-Apps und -Dienste sind per ADB und den Package Manager deaktiviert. Ich lasse nur das Google Play Framework, die Google Play Dienste und die Sprachausgabe aktiviert. Bei allen deaktiviere ich alle Rechte. Manchmal wird angezeigt, ich solle sie aktivieren, weil sonst etwas nicht funktionieren würde, allerdings hat bei mir bisher alles funktioniert, was ich nutze.

Natürlich funktionieren dann manche Dinge nicht mehr, wie die App-Sicherung in der Google-Cloud oder Sicherung des WLAN-Passwortes mit automatischer Wiederherstellung nach einem Reset. Das will ich aber auch gar nicht bei Google speichern. Dazu nutze ich einen WebDAV-Speicher. Das wiederum macht die Einrichtung eines Android-Gerätes natürlich etwas aufwändiger. Man muss also entscheiden, bin ich bereit, die eigene Privatsphäre für Bequemlichkeit zu lockern oder gehe ich einmaligen Mehraufwand ein, um meine Privatsphäre besser zu schützen. Nebenbei geht es auch um die Privatsphäre meiner Kontakte und damit um Verantwortung, die ich für andere übernehme.

Was Schadsoftware betrifft, gibt es auch kein schwarz/weiß. Google scannt die Apps im Play Store und stellt damit einen gewissen Grundschutz zur Verfügung. Dennoch gelingt es immer mal wieder Entwicklern, das sogenannte Play Protect auszutricksen. Aus diesem Grund bleibt es unerlässlich, nicht jede App auszuprobieren, sondern mit Bedacht zu installieren, auf enthaltene Module zu prüfen, die AGB lesen (und verstehen) und sich auf Fachseiten über die neuesten Schweinereien auf dem laufenden zu halten. Das detailliert aufzuführen, kann ganze Bücher füllen und man hat zudem nie ausgelernt.

Mein Grundprinzip ist daher, eine App immer zuerst im F-Droid zu suchen. Der F-Droid-Store verlangt nämlich vom Entwickler den Quellcode und prüft diesen. Damit ist durchaus ein ähnlicher Schutz gegeben, wie bei Google. Je nach Sichtweise, kann man das sogar als noch sicherer ansehen.

In F-Droid kann man aber auch weitere sogenannte Repositories einfügen. Für die gilt dieser Schutz nicht unbedingt. Also Vorsicht bei Tipps zu ach so tollen Repositories!!!

Wenn eine App nicht bei F-Droid ist, schaue ich, ob der Entwickler selbst eine Website hat. Diese sollte dann aber nicht zu Massenhostern verlinken, sondern wie bei Signal eine echte eigenständige Site sein.

Schließlich gibt es ein paar Apps, die es nur im Play Store gibt und die ich kaufen möchte. Dazu nutze ich nicht die Google Play Store App, sondern Yalp oder Aurora aus F-Droid. Das ist eine App für den Play Store, bei dem man auch hinterlegte Fake-Accounts nutzen kann. Dann kann man aber keine Kauf-Apps installieren. Dazu kann man seinen eigenen Account eintragen.

Der eigentliche Kauf kann jedoch nicht im Yalp oder Aurora erfolgen. Das mache ich dann über die Website. Eine gekaufte App kann man jedoch über Yalp und Aurora installieren. Leider nutzen manche Apps eine Lizenzprüfung bei Google. die laufen dann ohne die Play Store App nicht. Ich verwende solche Apps nicht mehr.

Bei F-Droid findet man einige Apps kostenlos, die im Play Store Geld kosten. Dann bitten die Entwickler um Spenden. Ich finde es nur fair, wenn man für regelmässig genutzte Apps dann auch spendet.

ADB ist eine Konsole wie die Windows-Eingabeaufforderung. man muss Befehlsketten eingeben. Dazu benötigt man auf einem PC ADB, ein Programm, das die Konsole bereitstellt. Das Handy muss man zudem in den Entwicklermodus versetzen. Der Package Manager ist über den Befehl "pm" innerdahlb der "Shell" nutzbar. 

Hier ein beispiel, wie ich alle Google-Apps und Dienste auf einem Sony Xperia XA2 mir dem Package Manager deinstalliert habe:

    # Google-Apps deaktivieren
    adb shell pm uninstall --user 0 com.google.android.youtube
    adb shell pm uninstall --user 0 com.google.android.marvin.talkback
    adb shell pm uninstall --user 0 com.google.android.apps.maps
    adb shell pm uninstall --user 0 com.google.android.backuptransport
    adb shell pm uninstall --user 0 com.google.android.syncadapters.contacts
    adb shell pm uninstall --user 0 com.google.android.partnersetup
    adb shell pm uninstall --user 0 com.google.android.apps.photos
    adb shell pm uninstall --user 0 com.google.android.feedback
    adb shell pm uninstall --user 0 com.google.android.onetimeinitializer
    adb shell pm uninstall --user 0 com.google.android.gm
    adb shell pm uninstall --user 0 com.google.android.music
    adb shell pm uninstall --user 0 com.google.android.videos
    adb shell pm uninstall --user 0 com.google.android.googlequicksearchbox
    adb shell pm uninstall --user 0 com.google.android.apps.tachyon
    adb shell pm uninstall --user 0 com.google.android.apps.docs
    adb shell pm uninstall --user 0 com.google.android.calendar
    adb shell pm uninstall --user 0 com.google.android.apps.messaging
    adb shell pm uninstall --user 0 com.android.vending

Du solltest das aber nicht unbesehen auf einen Gerät übernehmen, das Du morgen brauchst. Der User 0 ist beispielsweise der Hauptnutzer, aber vielleicht hast Du weitere Nutzer eingerichtet und möchtest das gleiche für diese Nutzer machen. Der Nutzer hat aber nicht die Nummer 0, sondern meistens 10. Die App- und Dienste-Namen muss man sich heraussuchen. Auch dazu gibt es Apps im F-Droid Store. Detailfragen sollten wir in entsprechenden Threads klären. Es wird hier schon eine ziemlich lange Erklärung.

Der Vorteil der Bearbeitung mit dem Package Manager ist, dass de Hersteller-Garantie nicht verloren geht, denn die Apps sind weiterhin vorhanden, aber nicht lauffähig installiert. Wenn Du einen Werksreset machst, ist alles wieder wie nach dem Kauf.

Ein weiterer Vorteil ist, dass die ROM updatefähig bleibt, solange Du die dafür verantwortlichen Dienste nicht mit dem Package Manager deinstallierst.

Wenn Du eien Fehler gemacht hast, reicht auch ein Werkreset und fängst von vorne an, lässt aber die fälschlicherweise desinatlliere Apps (oder den Dienst) aus.

Dazu habe ich mir die Befehle besipielsweise in ein Script geschrieben. Dann muss ich nicht alle erneut eigeben, sondern führe nur das Script aus. Dazu muss man natürlich ein bisschen über Scripte wissen, aber das ist kein Hexenwerk. Im Grunde sind Scripte nur eine Folge von Befehlen, die man genauso der Reihe nach eingeben kann (natürlich können Scriptsprachen oft auch mehr).

Ich habe vor längerer Zeit mal [hier][1] zusammengeschrieben, wie ich meine Geräte einrichte. Manches hat sich mittlerweile natürlich schon verändert, aber den ein oder anderen Anstoß findest Du vielleicht.

Zum Tipp von Ingalena:
Ich kenne Izzy persönlich und stehe mit ihm in losem Kontakt! Er hat eine wirklich gute [Website zum Thema Android][2]. Er erklärt, Risiken und gibt Tipps, diese zu umgehen.


  [1]: https://www.nextpit.de/forum/735895/die-privacy-checklisten-mehr-datenschutz-mit-wenig-aufwand#3100148
  [2]: https://android.izzysoft.de/articles.php

Aries · Answer

> [[cite florian818]]
>
> - Welche Sicherheitslücken habe ich genau, wenn ich das Custom-ROM nicht regelmäßig update?

Das kann niemand beantworten, weil immer neue gefunden werden. Ich bin mir jedoch sicher, dass Sicherheitslücken für uns mindestens immer mehr zum Ärgernis werden, eher uns Geld kosten, aber auf jeden Fall die Privatsphäre noch mehr verletzen als aktuelle saubere Geräte.

> - Kann mir Jemand ein ansprechendes Smartphone für unter 200€ für die nächsten vier Jahre empfehlen, welches leicht zu rooten geht?

Gar keines! Für den niedrigen Preis bekommst Du nur Smartphones, für die es so gut wie keine Hersteller-Updates gibt und die meistens in der Custom ROM Community nicht verbreitet sind. Mit etwas Glück gibt es mal ein Angebot für ein deutlich teures Smartphone. Ich habe zum Beispiel ein Sony Xperia XA2 für 199 EUR bekommen, dessen UVP bei 345 EUR lag.

> - Welche Custom-Rom außer lineage OS könnt ihr mir empfehlen, wer hat welche Erfahrung?

[/e/][1], aber die ist noch im Betastadium und teilweise entsprechend buggy. Es gibt aber häufig Updates.
[GrapheneOS][2], aber die unterstützten Geräte liegen entweder über Deinen Preisvorgaben oder sind nur gebraucht zu bekommen. Letzteres kann schnell einen neuen Akku erforderlich machen, was zusätzliche Kosten bedeutet. Alternativ könntest Du selbst kompilieren, wenn Du Dir das zutraust.
[Sailfish OS][3], das ist kein Android, kann aber Android Apps ausführen.

> Ich möchte auf keinen Fall einen so fremdgenutzten Computer mit etlichen Sensoren mit mir rumtragen, wie es die üblichen von der Stange sind. Ich will kein Google Maps, Playstore, Youtube, usw. auf dem Telefon installiert haben. Außerdem brauche ich das Gefühl, alle Macht über mein Telefon zu haben. Es geht mir einzig und allein um die Software.

Das kannst Du auch mittels ADB und dem Package Manager bei einer Hersteller ROM erreichen.

Was die Macht über das Telefon betrifft, würde mir das Gefühl nicht reichen, sondern ich will Gewissheit.

> Ich möchte ich so wenig Daten wie möglich zum auswerten, verkaufen und manipulieren von mir verschenken. Das hat nichts mit meiner Privatsphäre zu tun, sondern viel mehr mit meiner Überzeugung, dass diese schräge Entwicklung für die Menschheit absolut nicht gut sein kann.

Geht mir genauso, nur beruht meine Überzeugung nicht auf schwammigen Argumenten wie "schräge Entwicklung für die Menschheit", sondern ich halte den Privatsphäreverlust für eine gefährliche Entwicklung. Das ist also die Ursache, warum ich bei meinen Geräten auf manchen Hype verzichte.


  [1]: https://e.foundation/
  [2]: https://grapheneos.org/
  [3]: https://sailfishos.org/

Michael K. · Answer

Zwei Jahre Major- und drei Jahre Sicherheitsupdates kannst Du bei Android One Geräten finden. Solche gibt es bei Xiaomi und Nokia auch schon um die 200 €.

https://www.techstage.de/bestenliste/top-5-die-besten-smartphones-2020-mit-android-one/rxydwmz

Ob es dann in drei Jahren eine Lineage-Community dafür gibt, kann man so wenig wissen, wie ob schon bestehende Communities für andere Geräte dann noch bestehen.

Quelle: techstage.de

florian818 · Answer

Vielen Dank für die Mühe und die tollen Antworten.

Wie die Firmware am Ende aussieht ist mir gar nicht so wichtig. Ich will alle Berechtigungen einstellen und alles löschen können, was ich will. Außerdem darf sie keine Google-Apps enthalten. 

>Das kannst Du auch mittels ADB und dem Package Manager bei einer Hersteller ROM erreichen.

Habe ich bezüglich meiner Privatsphäre irgendwelche Nachteile, wenn ich es so mache? Wenn nein, ist es doch bei meinem Anliegen egal, welche ROM ich nehme. Wie schwer wäre es dann, die Stockrom zu updaten, ohne meine "Macht" über das Telefon zu verlieren? Wie wäre das z.B. bei Android One?

> Das kann niemand beantworten, weil immer neue gefunden werden. Ich bin mir jedoch sicher, dass Sicherheitslücken für uns mindestens immer mehr zum Ärgernis werden, eher uns Geld kosten, aber auf jeden Fall die Privatsphäre noch mehr verletzen als aktuelle saubere Geräte.

Ist es so schlimm, wenn ich das System nicht aktualisiere? Gibt es da nicht auch Möglichkeiten mit guten Antiviren/Maleware etc. Apps?

> Zwei Jahre Major- und drei Jahre Sicherheitsupdates kannst Du bei Android One Geräten finden. Solche gibt es bei Xiaomi und Nokia auch schon um die 200 €.

Was bedeutet Major?

> Geht mir genauso, nur beruht meine Überzeugung nicht auf schwammigen Argumenten wie "schräge Entwicklung für die Menschheit", sondern ich halte den Privatsphäreverlust für eine gefährliche Entwicklung. Das ist also die Ursache, warum ich bei meinen Geräten auf manchen Hype verzichte.

Ich glaube, dass dieser Punkt in diesem Thread nicht unbedingt groß thematisiert werden muss, da die Beweggründe der User im Allgemeinen sicher große Schnittmenge teilen. Ich habe nicht das Bedürfnis, mich präziser zu erklären.

Michael K. · Answer

Ein Majorupgrade ist ein großes Funktionsupgrade, beispielsweise von Android 9 auf 10. Es gibt oft zudem tief greifende Änderungen in der gesamten Softwarestruktur.
Hierbei wird ein komplett neues OS installiert.
Ein Minorupgrade belässt die Hauptversionsnummer, liefert aber kleinere Funktionsverbesserungen und Fehlerbehebungen, gelegentlich auch neue Funktionen in kleinerem Umfang nach, z.B. bei der Kameraleistung. Hierbei müssen nur einzelne Teile einer Software getauscht werden, mitunter wird aber auch ein neues Image geschrieben.
Der Übergang zum Sicherheitspatch ist schwammig, denn das Stopfen von Sicherheitslücken ist genau genommen auch nichts anderes als eine Fehlerbereinigung. Reine Sicherheitspatche lassen aber die Funktionalität unverändert. Meiner Erfahrung nach werden hierfür in der Regel nur kleinere Teile des Programmcodes ausgetauscht.

Ich denke, raffiniert programmierte Malware kann unter Ausnutzung von Sicherheitslücken Teile des Betriebssystems angreifen, auf die ein Virenscanner mangels Rechten gar keinen Zugriff hat. in dem Fall würde die Sicherheitslücke die Umgebung der Rechteverwaltung ermöglichen. Es gab auch schon Malware-Attacken, bei denen die Malware Virenscanner deaktiviert hat, um weitere Schadsoftware nachzuladen. Die Sicherheitsupdates sind also unverzichtbar, und grade unter Android auch sinnvoller als Scanner. 
Ein (vernetztes) Gerät das unter einem Betriebssystem läuft, für das keine Sicherheitspatche mehr geliefert werden, ist also ein Gerät mit Sicherheitslücken, die zudem noch bekannt sind, was die Sache keineswegs besser macht. Das kann gut gehen, muss es aber nicht. Leider steht das Ausbleiben von Sicherheitsupdates damit einer langen Nutzung entgegen.

René H. · Answer

Eine 100%-ige Macht bekommt man nie. Verfolgt wird man schon wenn man ins Internet geht. Das Verbieten von Cookies allein funktioniert schon lange nicht mehr. Ohne den Playstore bekommt man so gut wie keine Apps, da viele gute Apps nur im Playstore erhältlich sind, nur wenige Apps schaffen es in den Amazon-Store oder in FDroid. Aber selbst bei den Apps in FDroid sollte man sich nicht so sicher füllen. Wenn Du 100%-ige Macht möchtest musst Du aufs Smartphone verzichten. "Früher" hat mal das xPosed-Framework mit XPrivacy etwas geholfen.

Früher unterschied man nicht zwischen Major und Minor, sondern zwischen Update und Upgrade.

florian818 · Answer

Also erst einmal vielen Dank für die kompetenten und schnellen Antworten!
Ich versuche nun mal zusammen zu fassen:

 - Ich kann mittels ADB und dem Package Manager bei einer beliebigen
   Hersteller ROM genau bestimmen, welche Rechte welche App hat, und
   ebenfalls uneingeschränkt bestimmen, welche App überhaupt auf dem
   Telefon installiert sein darf.
 - Wenn ich das System nicht aktualisiere, besteht die Gefahr, dass
   Malware unabhängig von irgendwelchen Antiviren-Apps das System und
   meine Privatsphäre beeinträchtigt.
 - Aktualisierungen können in verschiedenen Formen durchgeführt werden. (Wie das im Detail umgesetzt wird, ohne Rechte zu verlieren kann man ja später besprechen)

> Eine 100%-ige Macht bekommt man nie. Verfolgt wird man schon wenn man ins Internet geht. Das Verbieten von Cookies allein funktioniert schon lange nicht mehr.

Das ist klar, es geht mir ja nur um die google Apps und die Berechtigungsvergabe. 100% Macht ist sowieso nie gegeben, egal ob virtuell oder real. Aber diese direkten, unzensierten Übergriffe gehen mir echt auf die Eierstöcke.

> Ohne den Playstore bekommt man so gut wie keine Apps, da viele gute Apps nur im Playstore erhältlich sind, nur wenige Apps schaffen es in den Amazon-Store oder in FDroid. Aber selbst bei den Apps in FDroid sollte man sich nicht so sicher füllen. 

Mit Aptoide, f-droid und dem googlen nach der APK habe ich fast immer alle Apps bekommen, die ich haben wollte. Das reicht mir also. Alle weiteren Einschränkungen nehme ich in Kauf.

Ich finde dieses Android One ziemlich attraktiv. Wenn ich das nun so bearbeite, dass ich über alles bestimmen kann klingt das doch erstmal gar nicht schlecht.

> Ein (vernetztes) Gerät das unter einem Betriebssystem läuft, für das keine Sicherheitspatche mehr geliefert werden, ist also ein Gerät mit Sicherheitslücken, die zudem noch bekannt sind, was die Sache keineswegs besser macht. Das kann gut gehen, muss es aber nicht. Leider steht das Ausbleiben von Sicherheitsupdates damit einer langen Nutzung entgegen.

Das klingt total schlüssig. 
Nun aber dazu ganz naiv gefragt: Wovon ist es denn nun abhängig, dass ich von Malware betroffen werde? Basieren Sicherheitslücken auf Nutzer*innen-Verhalten, oder können Sicherheitslücken auch einfach entstehen, wenn das Telefon nur eingeschaltet ist? Bemerke ich die Malware? Wie folgenreich ist Malware für den Endbenutzer/die Endbenutzerin wirklich?

Es ist sicher schwierig, einem Laien wie mir Auskünfte über komplexe Sachverhalte zu geben, ohne detailreiches Fachwissen dazu zu vermitteln. Genau das wünsche ich mir aber. Ohne zu verstehen, was eigentlich im Detail abgeht, möchte ich wissen, was diese Details für Auswirkungen auf mein System und im Endeffekt auf meine Privatsphäre haben. Es macht als Experte bestimmt keinen Spaß, mir zu antworten.

Ingalena · Answer

Wenn du mehr zum Thema Android wissen möchtest, empfehle ich dir die Bücher von Izzy

https://ebooks.qumran.org/opds/?lang=de&pageformat=html&action=bookdetails&name=Androidenfibel

Er war hier jahrelang sehr aktiv und hat mit seinem enormen Wissen das Forum stets bereichert.
Jetzt hat er sein einen Seiten.

Edit: leider wurden seine Bücher schon länger nicht mehr auf den neuesten Stand gebracht.

florian818 · Answer

Danke für die ganze Energie!

Dass ich ohne meinen Namen im Internet durch mein Verhalten und das benutzte Endgerät mit entsprechendem Browser die Möglichkeit biete, ein ziemlich eindeutig zuordenbares Profil zu mir erstellen zu können, ist mir bewusst. Die Konsequenz ist Unmündigkeit. Deine Erklärung ist trotzdem super. Habe die gleich mal an meine Mutter weitergeleitet.
Das Problem, welches ich bestimmt mit sehr vielen Menschen teile, ist die Ohnmacht aufgrund der Komplexität der Gegenmaßnahmen. Die meisten resignieren und nutzen munter unbearbeitete Stock-Roms.

Ich habe auch keine Kapazitäten, mich intensiv  mit Linux oder auch einfach nur Android auseinanderzusetzen, auch wenn ich es sehr spannend finde. Ich bin abhängig von Anleitungen und Profis, die mir helfen. Die Seite von Izzy finde ich klasse. Sowas braucht die Menschheit. Und eine Community, die das unterstützt. Großartig!

> Nebenbei geht es auch um die Privatsphäre meiner Kontakte und damit um Verantwortung, die ich für andere übernehme.

Diesen Punkt finde ich auch extrem wichtig. Man zieht die anderen mit rein. Auch wenn die Leute immer sagen: "Ist mir doch egal, was andere von mir wissen -> ich habe nichts zu verheimlichen und wie mächtig google ist, ist mir doch egal ..."

Naja wie auch immer. Dieses Thema ist allgemein irgendwie ziemlich emotional.

> Bei F-Droid findet man einige Apps kostenlos, die im Play Store Geld kosten. Dann bitten die Entwickler um Spenden. Ich finde es nur fair, wenn man für regelmässig genutzte Apps dann auch spendet.

Dazu wollte ich nochmal anmerken, dass ich mich irgendwann aus Abscheu und Prinzip gegen google Maps für die App "Sygic" entschied, die damals bummelig 35€ kostete. Da ich nicht den Playstore hatte und nutzte, schrieb ich das Unternehmen einfach an und erhielt von denen eine apk und einen Lizenzkey, den ich in der App eingeben konnte. Bezahlt hatte ich dann per Paypal. Sowas kann also auch funktionieren.


Mein eigentliches Anliegen ist glaube ich jetzt geklärt. Ich werde niemals der Rebell sein, der unzählige Stunden damit zubringt, die Privatsphäre zu schützen. Trotzdem brauche ich ein Mindestmaß an Mündigkeit.

Wenn ich ein Stock-ROM nutze und mich ein paar Tage mit den Befehlen des Package Managers auseinandersetze, ist es doch im Grunde ganz ähnlich, wie wenn ich Windows nutze und Cortana und ein paar weitere böse Apps, Tools, Funktionen und Einstellungen mit ein paar Anleitungen deaktiviere und entferne.

Ich würde alle google Apps entfernen und regelmäßig Updates durchführen. Den Playstore hatte ich nie genutzt und werde es auch in Zukunft nicht benötigen. Ich habe schon auf einige Apps verzichten müssen, doch das nehme ich dann gerne in Kauf. Ich will mit meinem Telefon nicht mehr als surfen, chatten, Kalender nutzen, Bilder schießen und zu guter letzt telefonieren können. Manchmal nutze ich noch Codecheck und Locus Map free. Viel mehr ist nie auf meinem Handy gewesen.

Was haltet ihr von diesem Resümee?

Vielen vielen Dank für eure umfangreichen Antworten! Vor allem an Aries!

Aries · Answer

Ich halte Dein Vorgehen für gut. Die wenigsten werden sich ähnliche Gedanken machen und wenn, dann ziehen sie nicht die entsprechenden Konsequenzen.

Was die Komplexität betrifft, die wird noch wachsen, je mehr Du Dich mit Privatsphäre- und Datenschutz beschäftigst. Aber Rom ist auch nicht an einem Tag erbaut. Befasse Dich mit den Dingen, die jetzt für Dich wichtig und machbar erscheinen. Irgendwann später kannst Du andere Aspekte angehen und alte Verfahren verfeinern. Das ganze in der Geschwindigkeit, die Du möchtest und die Deine Zeit erlaubt. Eines solltest Du aber verinnerlichen: Ein Ende gibt es nicht. Nur Zwischenergebnisse. Schließlich entwickelt sich Wissen und die Technik weiter.

Was Deine Apps angeht, muss ich Dich allerdings enttäuschen. Du willst Google aussperren, holst es Dir aber über die in den Apps enthaltenen Module wieder zurück. Nicht nur Google, sondern auch viele andere "Spione".

[Sygic][1]: 10 Tracking-Module
besser: Magic Earth

[Locus Map][2]: 5 Tracking-Module
deckt Magic Earth vielleicht auch ab, ansonsten bei F-Droid mal suchen

[Codecheck][3]: 24 Tracking-Module
hierzu habe ich mangels eigener Anforderung keinen Alternativvorschlag


  [1]: https://reports.exodus-privacy.eu.org/en/reports/com.sygic.aura/latest/
  [2]: https://reports.exodus-privacy.eu.org/en/reports/menion.android.locus/latest/
  [3]: https://reports.exodus-privacy.eu.org/en/reports/ch.ethz.im.codecheck/latest/

florian818 · Answer

Mich hat dieser Thread wirklich motiviert, mich mehr mit dem Thema zu beschäftigen. Das Buch von Izzy ist wirklich klasse. Ich bin nun nach einigem stöbern zu folgendem Schluss gekommen:

Ich kaufe mir das Motorola One Action, weil es Android One mit zwei Jahren Updates hat und von vornherein relativ „unverseucht“ zu sein scheint.
Das werde ich dann rooten, XPosed Framework installieren und mit XPrivacyLua die Berechtigungen verwalten. Außerdem habe ich dann die Möglichkeit, mich abends im Bett noch ein wenig aus Spaß mit den Modulen des Frameworks zu beschäftigen. Da scheint es ja coole Möglichkeiten zu geben. Mein Backup mache ich dann wie gewohnt mit Titanium Backup. Habe davon auch noch den Key für die Pro-Version. Die doofen google-Apps und Bloatware, die ich mit Hilfe des Forums identifizieren werde, lösche ich ebenfalls mit Titanium Backup.
Durch die Broadcast-Listeners werde ich mich mit Hilfe von ROM Toolbox Pro kämpfen, indem ich ausprobiere, welche ich bei welcher App deaktivieren kann, sodass die Apps weiterhin funktionieren.
Die Standard Apps werde ich mit dem Default App Manager lite verwalten.
Die Werbung in den Apps werde ich mit Hilfe von AdAway entfernen.
Hintergrundprozesse werde ich mit Greenify reduzieren.

Was haltet Ihr von dem Vorgehen für den Anfang?
Ich denke, dass ich auf diese Weise viel Spielraum habe, auch mal konventionelle Apps zu nutzen, trotzdem aber jederzeit die Möglichkeit da ist, relativ einfach meinen Datenschutz zu verschärfen. Außerdem gibt es mir die Möglichkeit, ohne PC zwischendurch die Apps nach Berechtigungen und Listeners zu durchstöbern und zu säubern. Das könnte ein netter Zeitvertreib für Wartezeiten werden. Zum Beispiel auf Klo oder so. Oder in der Bahn … . Ist ja auch irgendwie interessant.

Kennt jemand gute Apps mit wenig Schnickschnack für:

-	Telefon, Kontakte und SMS (was ich mir hier immer gewünscht habe ist ein automatisches Senden einer SMS in der Zukunft (ok- das ist jetzt schon ein bisschen schnickschnack)
-	Eine Gute Galerie-App (vll auch direkt mit Kamera, wenn die von dem Motorola One zu verseucht ist …)
-	Eine ganz simple App für Musikwiedergabe mit Albenvorschau (MP3)
-	Eine simple Recorder-/Mikrofon – App

Was kann ich denn gegen die Tracking-Module tun?

*Das sind übrigens zwei Seiten, die ich während meiner Stöberei fand und gerne weiterempfehlen möchte:

kuketz-blog.de und
mobilsicher.de

Aries · Answer

Ich habe ein Nokia 6.1 mit Android One. Die Apps dort enthalten auch Tracker. Insbesondere die GBoard-Tastatur finde ich problematisch. Allerdings fehlen die ganzen Apps von Facebook, Twitter, Amazon, Microsoft usw., die manche Hersteller vorinstalliert mitliefern.

Von Root und der vollständigen Deinstallation vorinstallierter Apps halte ich nichts. Danach sind häufig keine System-Updates mehr möglich. Die Variante per ADB und den PackageManager belässt zwar die APK auf dem Gerät, die tut aber nichts und das Gerät bleibt vollständig update-fähig.

Wenn man wirklich ein sauberes Gerät will, dann würde ich zu einem Gerät raten, das von LineageOS unterstützt wird. Für die Google-Dienste, auf die man nicht verzichten möchte, kann man sich die [OpenGapps][1] in der Pico-Variante installieren. [microG][2] unterstützt leider kein FCM und damit funktionieren Push-Benachrichtigungen nicht, nach GCM durch FCM abgelöst wurde.

Was nicht auf dem Gerät ist, muss nicht geblockt werden. Deshalb ist die App-Auswahl für mich der erste Ansatzpunkt und nicht der Blocker. Abgesehen davon, dass ein Blocker ein Gerät auch ausbremsen kann, wenn er zuviel blocken muss. Wenn dennoch etwas geblockt werden muss, reicht auch [Blokada][3], was ein lokales VPN aufbaut und dort blockt. Damit ist kein Root nötig.

Root bedeutet, Administrator zu sein. Dies ist auch ein Risiko. Einmal falsch geklickt und man kann sich richtig Ärger aufs Gerät holen. Root ist nicht mehr nötig. Ich selbst habe früher alle Geräte gerootet, vermisse aber ohne Root nichts mehr.

Tracker in Apps kannst Du folgendermaßen identifizieren:

 - Ohne installation der App über die Website von [Exodus Privacy][4]
 - Nach Installation der App, vor dem ersten Start der App mit der [App von Exodus Privacy][5]
 - Nach Installation der App, vor dem ersten Start der App mit der App [ClassyShark3xodus][6] (einer Apps, die auf Exodus Privacy aufsetzt, aber mehr Infos bietet)
 - Nach Installation der App, vor dem ersten Start der App mit der App [Addons Detector][7] (leider nur im Google Play Store verfügbar)

Wundere Dich nicht, dass die Prüf-Apps unterschiedliche Ergebnisse zu den Modulen enthalten. Die Arbeitsweise unterscheidet sich und jede Arbeitsweise birgt gewisse Unsicherheiten.

Um Apps aus dem Play Store zu laden, kannst Du [Aurora Store][8] verwenden, wenn Du auf die Play Store-App von Google verzichten willst. Gekaufte Apps kannst laden, wenn Du Deinen Google-Account hinterlegst.

Außer im Aurora Store habe ich kein Google-Konto im Gerät eingerichtet. Funktioniert einwandfrei und bedeutet, dass mein Telefon nur "anonym" mit Google kommunizieren kann, sofern man bei Google überhaupt anonym sein kann, bei den ganzen IDs. Wer das will, muss wohl drastischere Maßnahmen ergreifen und beispielsweise auf eine brauchbare Sprachausgabe verzichten.

Als vielversprechendes Projekt sehe ich dafür [/e/][9]. zur zeit halte ich das aber für den täglichen Nutzer noch zu instabil. bei mir führte bisher jedes System-Update zum Brick.

Auch [Sailfish OS][10] ist interessant und für den täglichen Gebrauch durchaus brauchbar. Android-Apps können mit Sailfish OS ausgeführt werden. Ich finde es nur falsch, sich von Android lösen zu wollen und Sailfish OS zu installieren, dann aber auf Android Apps zurückzugreifen. Ich selbst nutze nur drei Android-Apps, für die Sailfish OS keine vergleichbare native App bietet. Nachteil von Sailfish OS ist, es kostet etwas, sollte aber tragbar sein. Viel schwerer wiegt die geringe Geräte-Unterstützung.

Als SMS-App empfehle ich Dir [QKSMS][11]. Es unterstützt geplante SMS und ist Dual-SIM-fähig.

Anruflisten und SMS kannst Du mit [SMS Backup+][12] in Deinem IMAP-E-Mail-Account sichern und von dort wiederherstellen.

Als Kontakte-App verwende ich in der Regel die vorinstallierte App. Bisher waren die frei von Trackern. Die Kalender-Apps tausche ich in der Regel aus. Entweder durch [Etar][13] oder durch den kostenpflichtigen [aCalender+][14]

Für Musik und Videos nutze ich ausschließlich [VLC][15]. Die vorinstallierten Apps enthalten oft Tracker und sind bei mir per ADB und PackageManager deinstalliert.

Für Fotos und Videos verwende ich [Open Camera][16]

Als Galerie kann ich [Camera Roll][17] empfehlen.

Zur Recorder-App kann ich mangels eigener Anforderung nichts sagen, aber F-Droid bietet entsprechende Apps. Telefonate können übrigens mit den wenigsten Geräten mitgeschnitten werden (falls das eine Anforderung sein sollte). Das ist in der Hardware verankert.

Als Tastatur verwende ich gerne [AnySoftKeyboard][18]. ***ACHTUNG!!! Solltest Du die vorinstallierte Tastatur per ADB und den PackageManager deinstallieren wollen, installiere zuerst eine alternative Tastatur und aktiviere diese in den Einstellungen!!!

Das gilt für den Launcher ebenfalls***

Einen Blick sind auch die Simple-Apps von Tibor Kaputa wert:

 - [Simple Contacts Pro][19]
 - [Simple Gallery Pro][20]
 - [Simple File Manager Pro][21]
 - [App Launcher][22]
 - und einige mehr (ich habe nicht jede App angeschaut)

Wieder viel zu lesen und viele Ansätze für Dich (hoffe ich).


  [1]: https://opengapps.org/
  [2]: https://microg.org/
  [3]: https://f-droid.org/en/packages/org.blokada.alarm/
  [4]: https://exodus-privacy.eu.org/en/
  [5]: https://f-droid.org/en/packages/org.eu.exodus_privacy.exodusprivacy/
  [6]: https://f-droid.org/en/packages/com.oF2pks.classyshark3xodus/
  [7]: https://play.google.com/store/apps/details?id=com.denper.addonsdetector&hl=de
  [8]: https://f-droid.org/en/packages/com.aurora.store/
  [9]: https://e.foundation/
  [10]: https://sailfishos.org/
  [11]: https://f-droid.org/en/packages/com.moez.QKSMS/
  [12]: https://f-droid.org/en/packages/com.zegoggles.smssync/
  [13]: https://f-droid.org/en/packages/ws.xsoh.etar/
  [14]: https://play.google.com/store/apps/details?id=org.withouthat.acalendarplus&hl=de
  [15]: https://f-droid.org/en/packages/org.videolan.vlc/
  [16]: https://f-droid.org/en/packages/net.sourceforge.opencamera/
  [17]: https://f-droid.org/en/packages/us.koller.cameraroll/
  [18]: https://f-droid.org/en/packages/com.menny.android.anysoftkeyboard/
  [19]: https://f-droid.org/en/packages/com.simplemobiletools.contacts.pro/
  [20]: https://f-droid.org/en/packages/com.simplemobiletools.gallery.pro/
  [21]: https://f-droid.org/en/packages/com.simplemobiletools.filemanager.pro/
  [22]: https://f-droid.org/en/packages/com.simplemobiletools.applauncher/

Günne's · Answer

Super was da geschrieben und erklärt wurde. Danke!
Aber: das mit Cameraroll würde ich mir überlegen. Stand heute in einigen Fachzeitschriften, dass diese App und noch zwei andere, eindeutig als Spähsoftware enttarnt wurde. Stammen alle drei von den selben Entwicklern.

Aries · Answer

Wo hast du das gelesen?
Die App hat keine Netzwerkrechte. Wie soll sie spionieren?

Günne's · Answer

Aries, du hast recht.  Habe ich verwechselt.  Hat mich mein Gedächtnis im Stich gelassen. Habe es selbst gerade nochmal nachgelesen. Klingt verdammt ähnlich.
Bitte vielmals um Entschuldigung. 
Das war aber jetzt ein richtiger Fettnapf.
Ich bin unsicher geworden und wollte es  nach Recherche sofort klarstellen. 
Aries, warst schneller. 
Günne's

Aries · Answer

Kann ja sein, dass mal ein unlauterer Fork im Umlauf ist.

florian818 · Answer

Wieder einmal vielen Dank für die ausführliche Antwort!

Ich kam nach langem Grübeln und Abwiegen zu dem Schluss, dass ich auf die Updates verzichten werde und dafür alles über grafische Oberflächen mobil entscheiden kann. Also root! Dann kam das Telefon und der Bootloader ließ sich nicht entsperren. Also entweder zurückschicken und streiten, warum das Ding schon ausgepackt war, oder lernen.
Hab jetzt festgestellt, dass es richtig Spaß macht, mit der ADB zu arbeiten. Habe übrigens einige schöne Seiten gefunden, die ich gerne weiterempfehlen kann, wenn jemand interessiert ist.

Mein Vorgehen ist nun folgendes:

 - Apps durchforsten und überlegen, welche App will ich behalten, welche löschen will (Hab ne Tabelle mit Excel angelegt und schreibe hinter jedem Package (190 sind bei mir installiert) ne Notiz
 - Apps mit Hilfe eines Skriptes (Batch Datei) löschen
 - Liste mit Apps erstellen, welche ich installieren möchte und installieren (Vielen dank für die wertvollen Empfehlungen!!)
 - Berechtigungen mit pm verwalten
 - Telefon individualisieren


Nun haben sich mir neue Fragen ergeben:

 - Gibt es Möglichkeiten, die Shell auch über das Smartphone zu bedienen?
 - Kennt jemand eine schöne Quelle, aus der ich mir Informationen zu jedem Package holen kann? (was macht die App, wozu ist die da, was geht kaputt, wenn ich die lösche?)
 -  Ist Ein Dienst auch ein Package?
 -  Woher weiß ich, welche Deinstallation ein Update verhindert? (außer trial and error)
 - Wann muss ich eine App zu einer System-App umwandeln? (Ich hatte z.B. mal eine Uhr-App mit beschissenen Berechtigungen, welche ich durch eine bessere ersetzte. Diese konnte nur bei ausgeschaltetem Bildschirm wecken, wenn sie zu einer Systemapp umgewandelt wurde)
 - Ist es möglich, installierte Apps komplett in der visuellen Darstellung von Android zu verbergen? (Ich denke da an meine Oma. Wenn die nur die Apps Telefon, SMS, Kamera, Galerie und Telegram sehen würde, könnte die das Ding vll bedienen ... ohne Sperrbildschirm und so)
 - Welche Unterschiede gibt es bei den Package Installer? Worauf sollte ich achten? Kann ich den vorinstallierten lassen?
 - Kann ich irgendwie komplett blocken, dass auf diesen Fingerabdrucksensor zugegriffen wird? Finde das Ding echt gruselig.

Aries · Answer

> [[cite florian818]]
>
>  - Gibt es Möglichkeiten, die Shell auch über das Smartphone zu bedienen?

Ja, es gibt Terminal Emulatoren. Aber das sind dann Apps, die in ihrer eigenen Sandbox laufen. Um das gleiche wie am PC machen zu können, müsste eine solche App Root-Rechte bekommen. Abgesehen davon ist deren Bedienung an den kleinen Bildschirmen gruselig.

>  - Kennt jemand eine schöne Quelle, aus der ich mir Informationen zu jedem Package holen kann? (was macht die App, wozu ist die da, was geht kaputt, wenn ich die lösche?)

Das wird es so nicht geben. Zu vielfältig sind die Pakete.

>  -  Ist Ein Dienst auch ein Package?

Ein Dienst kann Teil eines Paketes sein, aber auch nur ein oder mehrere Dienste als eigenständiges APK (Beispiel: Goolge Play Services)

>  -  Woher weiß ich, welche Deinstallation ein Update verhindert? (außer trial and error)

Eine Deinstallation per ADB und den Package Manager verhindert kein Update, solange Du nicht den Update-Service selbst deinstallierst. Der ist aber am Paketnamen erkennbar.

>  - Wann muss ich eine App zu einer System-App umwandeln?

Dazu brauchst Du Root. Es gibt für F-Droid eine Erweiterung, die dann automatische Installationen ermöglicht. Genauso wie der Play Store. Oder ein Datei Manager kann mehr. Wann es notwendig ist, hängt von Deinen Anforderungen und den Möglichkeiten der jeweiligen App ab.

>  - Ist es möglich, installierte Apps komplett in der visuellen Darstellung von Android zu verbergen?

Manche Launcher erlauben das "ausblenden". Aktuell kann ich keinen empfehlen. Mein Favorit "Lawnchair" ist aus F-Droid verschwunden. Nova Prime ist gut und kann Apps ausblenden, enthält aber Tracking-Module und ist nur im Play Store erhältlich.

>  - Welche Unterschiede gibt es bei den Package Installer? Worauf sollte ich achten? Kann ich den vorinstallierten lassen?

Ich habe noch nie einen anderen als den vorinstallierten benutzt.

>  - Kann ich irgendwie komplett blocken, dass auf diesen Fingerabdrucksensor zugegriffen wird? Finde das Ding echt gruselig.

Nicht einrichten bzw. Einrichtung in den Einstellungen löschen.

florian818 · Answer

Alles klar. Noch eine Frage:

Worin liegt der Unterschied zwischen dem Deinstallieren über die ADB und über den Package Manager?