Cyanogen OS CyanogenOS Datensicher konfigurieren?

[FischerMal]

Hallo,

ich möchte mein X5 möglichst sicher und sparsam (Akku) konfigurieren.
Nutzung des Telefons:
Telefonieren
SMS
Kalender und Kontakte mit einer nachinstallierten OpenSource App syncronisieren (aus F-droid)
Email (K9Mail)
Fotos & Videos Aufnehmen.
mehr muss es nicht können.

Wenn ich mir alle "Apps" anzeigen lasse, dann ist das eine ganz gewaltige Liste.
Welche davon kann ich deaktivieren / deinstallieren oder die Rechte einschränken?

Viele Dank für Eure Hilfe!

 

[syscrh]

Du kannst alle Anwendungen deaktivieren, die sich deaktivieren lassen (besser wäre es gewesen die Androidversion als Grundlage zu nehmen, da dort weniger Müll vorinstalliert ist). Des Weiteren kannst Du mit adb weiter herumfurwerken: [Anleitung][no root][4.4+] Debloat/Entmüllung von Android / self-made Nexus
Kaputt machen kannst Du nichts, solange Du nicht gerootet bist. Im Notfall einfach Gerät zurücksetzen und von vorne beginnen.

Zu F-Droid: Ich würde von dessen Nutzung abraten, da F-Droid die Anwendungen mit einer neuen Signatur versieht und somit nicht sichergestellt ist, dass die Anwendungen nicht in irgendeiner Form verändert worden sind, da sie nicht mehr mit der Signatur des Entwicklers übereinstimmen. Ich empfinde das als mindestens so riskant wie die Anwendungen von irgendeiner anderen Drittquelle herunterzuladen.
Zur weiteren Info: Um sich von den "bösen" Konzernen zu schützen muss man noch viel mehr tun als bloß ein Telefon ohne Google Anwendungen zu verwenden (ich war selber mal auf der Schiene und hab irgendwann eingesehen, dass es für mich wichtigeres im Leben gibt). Google und andere Konzerne stellen diverse Internetprotokolle bereit und ohne Google wäre es wohl mittlerweile kaum mehr möglich sich in irgendeiner Form mit dem Internet zu verbinden. Google stellt nämlich z. B. einen der größten DNS Dienste bereit und ist auch in den allermeisten Fällen bei der Namensauflösung von Domains beteiligt. Des Weiteren setzen viele Webseiten auf Baukasten-Elemente von Google und anderen Konzernen (z. B. Google Fonts). Freunde und Bekannte speichern Informationen über einen selbst in diversen Clouddiensten und Dienstleister nutzen z. B. Google Docs um Kundeninformationen zu verarbeiten.
Datensparsamkeit ist sicherlich sinnvoll, aber es macht reichlich wenig Sinn das ausarten zu lassen und es zu kompliziert zu machen.
Aber das ist nur meine eigene Erfahrung zu dem Thema. Kann natürlich jeder machen wie er denkt.

 

[FischerMal]

Hallo,
vielen Dank für den Link!
Ich schaffe es leider nicht das X5 per adb mit dem Rechner zu verbinden.
Der Hinweis mit F-Droid ist interessant. Was ist die Signatur des Entwicklers? Ist das die Prüfsumme (md5 /sha256)?
"Datensparsamkeit ist sicherlich sinnvoll, aber es macht reichlich wenig Sinn das ausarten zu lassen und es zu kompliziert zu machen."
Der Meinung bin ich auch, aber so ein Smartphone nutzt man dann doch eine ganze Zeit lang und da lohnt sich die einmalige Mühe für das Einrichten.
Wenn ich weder Google Play noch F-Droid verwende muss ich dann ständig von Hand Updates installieren?

 

[syscrh]

Was ist die Signatur des Entwicklers? Ist das die Prüfsumme (md5 /sha256)?

Jeder Entwickler signiert seine fertige apk mit seinem eigenen Zertifikat. Ebenso passt der generierte MD5-Hash nur zu dem Build des Entwicklers. Baut jemand anderes die Anwendung aus dem Quellcode, dann erhält dieser einen anderen Hash und implementiert meist ein anderes Zertifikat.
Das Problem ist, dass Du nicht wissen kannst, was sonst noch verändert worden ist. So wie ich das bei F-Droid sehe ist das ein Community Projekt und da kann es natürlich auch mal ein schwarzes Schaf geben.

Der Meinung bin ich auch, aber so ein Smartphone nutzt man dann doch eine ganze Zeit lang und da lohnt sich die einmalige Mühe für das Einrichten.

Das Problem ist, dass die Mühe relativ wenig bringt/nicht besonders viel Sinn macht.

Wenn ich weder Google Play noch F-Droid verwende muss ich dann ständig von Hand Updates installieren?

Du musst 1. von Hand Updates installieren und 2. Dich andauernd drum kümmern, was eine vertrauenswürdige Quelle ist.
Man sollte sich die Anwendungen also am besten bei Google Play herunterladen und dann mit einem Apk Extractor als apk sichern. Danach kann man sich bei Google Play wieder ausloggen und die Anwendung durch x-beliebige apks aus dem Internet auf neue Versionen updaten. Stimmt die Signatur der Update-apk aus dem Internet nicht, dann wird die Anwendung parallel zur bereits installierten Anwendung installiert oder die Installation schlägt fehl und man kann sich sicher sein, dass etwas nicht stimmt.
Hat man die Play Store Anwendungen installiert und loggt sich dann aus, dann kann man die Anwendungen auch über Aptoide aktualisieren. Bei Aptoide kann man verschiedene Repositories hinzufügen (legale, aber leider/nunmal auch illegale) und darüber Anwendungen beziehen. Dort stimmt in manchen Fällen die Signatur auch nicht mit der des Entwicklers überein, aber wie vorher geschrieben kann Dir das egal sein, da Du richtig signierte Anwendungen installiert hast und die nur durch richtig signierte Anwendungen aktualisieren kannst. Somit kannst Du, wenn Du vorab die Anwendungen aus dem Play Store installiert hast, einen Großteil Deiner installierten Anwendungen über Aptoide aktualisieren und Dir ziemlich sicher sein, dass Du keine verseuchten Versionen erhalten wirst. Wichtig ist hierbei noch zu beachten, dass der Haken in den Einstellungen von Aptoide nicht gesetzt ist, der besagt, dass Anwendungen mit anderer Signatur die installierten Anwendungen ersetzen sollen.

 

[FischerMal]

Hallo,
hab mir das mit Aptoide mal etwas angesehen und hätte noch zwei Fragen dazu.
Wieso sollte ich die Anwendungen nicht gleich mit Aptoide installieren?
Wie kann ich bei Google Play / Aptoide überprüfen ob die Signaturen passen?

 

[syscrh]

Wieso sollte ich die Anwendungen nicht gleich mit Aptoide installieren?

Weil Du dann Gefahr läufst verseuchte Anwendungen zu erhalten, die eine andere Signatur besitzen als die Anwendung des Entwicklers. Das kann - von einer harmlosen Anpassung an ein bestimmtes Gerät bis zum Virus der Dein Gerät verschlüsselt - alles sein.
Installierst Du eine apk von Google Play, dann ist die mit sehr hoher Wahrscheinlichkeit die Originalanwendung und durch den Entwickler signiert.

 

[FischerMal]

Gibt es eine Möglichkeit die Signatur einer App "von Hand" mit der Signatur des Entwicklers abzugleichen?

 

[syscrh]

Hab dazu mal eine Suchmaschine bemüht und das kam als Ergebnis: Update your apps - Developer Console Help und How to get app signature?
Ist also möglich, wenn man das mit beiden apks macht.

 

[FischerMal]

Puh!

Das sieht für mich als Laie nicht so einfach aus...
Aber es scheint möglich zu sein.
D.h. Ich kann entweder den einfachen Weg wählen und den Leuten von F-Droid vertrauen.
Oder ich ziehe die apks von aptoid und besorge mir die Signaturen zum Abgleichen.
Da ich zu den bereits installierten Apps ohnehin nur vier weitere nutze, wäre der Aufwand vertretbar.
Die von mir genutzten Anwendungen sind wirklich sehr populär. Hältst du es bei von sehr sehr vielen Leuten genutzten Anwendungen wie Firefox wirklich für möglich, dass jemand im F-Droid Projekt unbemerkt Schadcode einschleust?

Wie beziehst du deine Apps?
Hast du den Google Playstore dauerhaft online oder loggst du die dort nur zum installieren neuer Apps ein?

 

[syscrh]

Die von mir genutzten Anwendungen sind wirklich sehr populär. Hältst du es bei von sehr sehr vielen Leuten genutzten Anwendungen wie Firefox wirklich für möglich, dass jemand im F-Droid Projekt unbemerkt Schadcode einschleust?

Firefox bekommst Du direkt bei Mozilla am FTP-Server.

Möglich ist es sicherlich, dass Schadcode vorhanden ist. Unwahrscheinlich, aber denkbar.

Wie beziehst du deine Apps?
Hast du den Google Playstore dauerhaft online oder loggst du die dort nur zum installieren neuer Apps ein?

Ich beziehe meine Anwendungen über Google Play und bin dort dauerhaft angemeldet, da ich auch die automatischen Updates haben möchte um neue Funktionen zu erhalten und Sicherheitslücken zu schließen.

 

[FischerMal]

Ich beziehe meine Anwendungen über Google Play und bin dort dauerhaft angemeldet,

D.h. du vertraust Google (einem Konzern der von der US-Regierung erpresst werden kann und sehr wahrscheinlich auch wird) mehr als der Community bei F-Droid?

Google sammelt standardmäßig allerhand Daten.
Ich kann mir momentan aus meiner laienhaften Sicht auf die Materie nicht vorstellen was ein "schwarzes Schaf" in der F-Droid Community schlimmeres anstellen könnte als Google offiziell schon macht.

Ich bin so ein kleines Licht in unserer Gesellschaft, da wird sich niemand hin setzten um mich gezielt zu überwachen.
Spontan würde ich auch den Satz des kleinen Mannes von mir geben "ich habe nichts gemacht, deshalb habe ich auch nichts zu verbergen" aber wie wir ja wissen kann man aus allerhand Metadaten sein eigenes Weltbild kreieren und jemanden "bei Bedarf" einen Strick daraus drehen.
Daher würde ich meine Daten & Metadaten gerne für mich behalten.

Mir erscheint es relativ unwahrscheinlich, das jemand aus der F-Droid Community ein Backdoor in eine App einbaut um Massenüberwachung durchzuführen.
Oder siehst du das anders?
Und ein Grund warum jemand gezielt mich überwachen sollte kann ich nicht ansatzweise erkennen. Daher würde ich F-Droid für mich als "safe" bezeichnen.
Was denkst du dazu?

 

[Dr.Eck]

Mit dieser Einstellung fällt mir spontan kein (vernünftig) nutzbares Smartphone OS für dich ein... Man "bezahlt" im Prinzip mit seinen Metadaten, dass ist korrekt aber man kann auch den Upload etwas begrenzen. Man kann die Synchronisation mit dem Google-Acount einschränken und den PlayStore trotzdem nutzen, nur so als Beispiel.
Alternative Betriebssysteme wären dann Ubuntu oder Sailfish OS. Wie es da dann aber mit APP's aussieht ist eine andere Frage.

 

[syscrh]

D.h. du vertraust Google (einem Konzern der von der US-Regierung erpresst werden kann und sehr wahrscheinlich auch wird) mehr als der Community bei F-Droid?

Ich vertraue dem Konzern nicht, aber ...

... wieso ist denn die US-Regierung so schlimm? Was ist mit den zahlreichen anderen Geheimdiensten in Deutschland, Großbritannien, Russland, China? Sammeln die keine Daten? Erpressen die keine Firmen? Kann ich mir beim besten Willen nicht vorstellen.

... Du vertraust dann also Cyanogen Inc. (übrigens auch ein US-amerikanisches Unternehmen, welches maßgeblich an der Entwicklung von CyanogenMod beteiligt ist)? Du vertraust darauf, dass Android keine Im Quellcode eingebauten Lücken hat? Was ist mit dem Linuxkernel und seinen Millionen Zeilen an Code? Ist Linux nicht verwanzt? Wer sagt Dir das? Und was ist dann mit dem proprietären Mobilfunkempfänger und dessen Firmware in Deinem Gerät? Vielleicht liest der auch kräftig Deine Passwörter mit?

... es ist nahezu unmöglich kommerzieller und staatlicher Überwachung zu entgehen. Schon allein um Google's Überwachung zu entgehen musst Du weitaus mehr tun, als Dich aus Deinem Google Account auszuloggen. Nahezu jede Webseite nutzt Google Analytics, die Namensauflösung von URLs geschieht auf vielen Rechnern mit Google's DNS-Diensten (8.8.8.8) und Google Ads helfen den Seitenbetreibern die Webseite aufrecht zu erhalten. Der Aufwand das alles zu blockieren (und das ist nur ein Teil), ist enorm. Dazu kommen VPNs, Verschlüsselung etc. um staatlicher Überwachung zu entgehen. Als Vollzeitjob sicherlich kein Problem sich da reinzusteigern, aber die meisten Leute möchte in ihrem Leben andere Dinge erreichen als sich in irgendwelche Kernel reinzuvertiefen. Daher verwenden nunmal auch viele Leute Google Dienste, denn sie sind einfach, hübsch anzusehen und funktionieren meist sehr gut und bringen gute Ergebnisse.

... mit welcher Suchmaschine suchst Du denn? Ich persönlich habe bestimmt 3-4 Jahre ausschließlich alternative Suchmaschinen verwendet (DuckDuckGo, Ixquick, etc.) und konnte immer nur Müll zutage bringen. Irgendwann habe ich aufgegeben und suche jetzt wieder mit Google. Ergebnis? Die erste Suchseite enthält meistens mehr als einmal die gewünschte Antwort. Bei gleichem Suchbegriff (und ich habe mir einige Methoden für geschicktes Suchen angeeignet). Das ist eine nicht unerhebliche Zeitersparnis.

Google sammelt standardmäßig allerhand Daten.
Ich kann mir momentan aus meiner laienhaften Sicht auf die Materie nicht vorstellen was ein "schwarzes Schaf" in der F-Droid Community schlimmeres anstellen könnte als Google offiziell schon macht.

Einen Virus programmieren, der Deine Bankdaten abgreift oder Dein Gerät verschlüsselt?

Ich bin so ein kleines Licht in unserer Gesellschaft, da wird sich niemand hin setzten um mich gezielt zu überwachen.
Spontan würde ich auch den Satz des kleinen Mannes von mir geben "ich habe nichts gemacht, deshalb habe ich auch nichts zu verbergen" aber wie wir ja wissen kann man aus allerhand Metadaten sein eigenes Weltbild kreieren und jemanden "bei Bedarf" einen Strick daraus drehen.
Daher würde ich meine Daten & Metadaten gerne für mich behalten.

Das würde ich auch gerne. Ich persönlich hab für mich aber eingesehen, dass ich lieber andere Dinge in meiner Freizeit mache als mich gegen Datensammlung zu wehren.
Ich habe mich dafür entschieden, dass ich meine Daten auf verschiedene Dienste aufteile und somit auch der Schaden geringer ist, wenn ein Dienst ausfällt/meinen Account sperrt.
Des Weiteren bezahle ich z. B. weiterhin bevorzugt mit Bargeld um mein Kaufverhalten intransparenter zu gestalten.
Insgesamt sind das bei mir eher kleinere Baustellen, die dazu dienen einen guten Kompromiss zwischen Komfort und Datensparsamkeit zu finden.

Mir erscheint es relativ unwahrscheinlich, das jemand aus der F-Droid Community ein Backdoor in eine App einbaut um Massenüberwachung durchzuführen.
Oder siehst du das anders?

Die F-Droid Community dürfte für Geheimdienste ziemlich interessant sein, denn es dürfte dort durchaus auch Leute geben, die dort evtl. bisschen was zu verbergen haben. Ich würde jetzt auch nicht unbedingt davon ausgehen, dass etwas verseuchtes bei F-Droid zu finden ist, aber die Tatsache, dass die Signatur geändert wird, gefällt mir einfach nicht.

Und ein Grund warum jemand gezielt mich überwachen sollte kann ich nicht ansatzweise erkennen. Daher würde ich F-Droid für mich als "safe" bezeichnen.
Was denkst du dazu?

Genauso erkenne ich keinen Grund, wieso jemand Metadaten momentan gegen Dich verwenden sollte.
Zu F-Droid habe ich meinen Senf eigentlich schon zu Genüge abgegeben. Bei Google Play stimmt die Anwendungssignatur immerhin mit der Signatur der Anwendung auf der Webseite des jeweiligen Entwicklers überein. Im Amazon Store und bei F-Droid ist das nicht der Fall und bei mir schrillen dann alle Alarmglocken.

 

[FischerMal]

@Dr.Eck
Ubuntu habe ich schon ausprobiert, als das E4.5 raus kam, das war damals für mich nicht benutzbar.
In irgendwelchen Foren haben Profis gepostet was man eintippen muss, damit es läuft aber das war mir zu kompliziert.

@syscrh

... Du vertraust dann also Cyanogen Inc. (übrigens auch ein US-amerikanisches Unternehmen, welches maßgeblich an der Entwicklung von CyanogenMod beteiligt ist)? Du vertraust darauf, dass Android keine Im Quellcode eingebauten Lücken hat? Was ist mit dem Linuxkernel und seinen Millionen Zeilen an Code? Ist Linux nicht verwanzt? Wer sagt Dir das? Und was ist dann mit dem proprietären Mobilfunkempfänger und dessen Firmware in Deinem Gerät? Vielleicht liest der auch kräftig Deine Passwörter mit?

Das habe ich so nicht gesagt, ich gehe lediglich davon aus, das in OpenSource "sauberer" als Closed Software ist.
Von einigen Samsung Geräten ist auch bekannt, dass in der Hardware bzw. den Treibern ein Backdore steckt (siehe Replicant) dort wird auch ein entsprechende "sauberes" Telefon angeboten.
Es geht auch nicht darum "Absolute Sicherheit" zu erlange, da dies ohnehin nicht möglich ist.
Was wir heute verschlüsseln ist in zehn Jahren höchst wahrscheinlich mit wenig Aufwand zu knacken...
Es geht darum den Aufwand für das Datensammeln mit "vertretbarem Aufwand" so schwierig und damit so unattraktiv wie möglich zu machen.
Es gibt bestimmt sehr viele Leute, die 10.000 € die einfach so am Boden liegen aufheben und einstecken würden ohne das Geld zum Fundamt zu bringen. Die Anzahl derer, die 10.000 € einem kleinen Kind weg nehmen würden ist mit Sicherheit viel viel kleiner, obwohl es fast genau so einfach ist.
D.h. Google Android ist das Geld am Boden und CM das kleine Kind.

... es ist nahezu unmöglich kommerzieller und staatlicher Überwachung zu entgehen. Schon allein um Google's Überwachung zu entgehen musst Du weitaus mehr tun, als Dich aus Deinem Google Account auszuloggen. Nahezu jede Webseite nutzt Google Analytics, die Namensauflösung von URLs geschieht auf vielen Rechnern mit Google's DNS-Diensten (8.8.8.8) und Google Ads helfen den Seitenbetreibern die Webseite aufrecht zu erhalten. Der Aufwand das alles zu blockieren (und das ist nur ein Teil), ist enorm. Dazu kommen VPNs, Verschlüsselung etc. um staatlicher Überwachung zu entgehen. Als Vollzeitjob sicherlich kein Problem sich da reinzusteigern, aber die meisten Leute möchte in ihrem Leben andere Dinge erreichen als sich in irgendwelche Kernel reinzuvertiefen. Daher verwenden nunmal auch viele Leute Google Dienste, denn sie sind einfach, hübsch anzusehen und funktionieren meist sehr gut und bringen gute Ergebnisse.

Hier gilt das Gleich wie oben, mit möglichst einfachen Mitteln den Aufwand zur Überwachung in die Höhe treiben, dadurch wird es unattraktiv.
Von der eff gibt es das Firefox Addon "Privacy Badger" es soll die Überwachung durch Werbenetzwerke eindämmen. Außerdem gibt es noch eine Menge weiterer Addons, die mit relativ geringem Aufwand die Überwachung eindämmen (www.anonym-surfen.de & www.digitalcourage.de) .

Einen Virus programmieren, der Deine Bankdaten abgreift oder Dein Gerät verschlüsselt?

Das würde sicherlich nicht lange unbemerkt bleiben.

Das würde ich auch gerne. Ich persönlich hab für mich aber eingesehen, dass ich lieber andere Dinge in meiner Freizeit mache als mich gegen Datensammlung zu wehren.
Ich habe mich dafür entschieden, dass ich meine Daten auf verschiedene Dienste aufteile und somit auch der Schaden geringer ist, wenn ein Dienst ausfällt/meinen Account sperrt.
Des Weiteren bezahle ich z. B. weiterhin bevorzugt mit Bargeld um mein Kaufverhalten intransparenter zu gestalten.
Insgesamt sind das bei mir eher kleinere Baustellen, die dazu dienen einen guten Kompromiss zwischen Komfort und Datensparsamkeit zu finden.

Ich versuch ebenfalls hier einen guten Kompromiss zu finden.
Wenn man jedes halbe Jahr das Smartphone wechselt, dann ist der "einmalige Aufwand" für das Einrichten des Gerätes sicherlich zu hoch.
Ich hoffe jedoch auf eine längere Nutzungsdauer, BQ gibt schließlich 5 Jahre Garantie.

 

[syscrh]

Naja, muss natürlich jeder selber wissen, wie viel Zeit er investiert um die Überwachung von sich so schwer wie möglich zu machen ...
Ich bin der Meinung, dass das Aufgabe von Entwicklern ist gut nutzbare, sichere Software bereitzustellen. Ich persönlich habe nicht die Zeit andauernd auf dem Laufenden in Sachen Abhörsicherheit und Verschlüsselung zu bleiben. Viele andere Leute auch nicht.
Dazu kommt, dass kaum jemand Interesse an Technik hat. Und daher wird weiterhin der unpraktischte Messenger der Welt weiterverwendet und man ärgert sich lieber noch 30x Mal, dass man schon wieder alle Bilder und Nachrichten verloren hat, anstelle einfach mal den Messenger zu wechseln.

PGP nutzt genau ein einziger meiner Kontakte. Ich hab zwar PGP Schlüssel, aber gebrauchen kann ich sie nicht. Und wieso nutzt keiner PGP? Weil es zu aufwendig ist. Und so schaut das in vielen Bereichen aus beim Thema Sicherheit.

 

[FischerMal]

PGP nutzt genau ein einziger meiner Kontakte. Ich hab zwar PGP Schlüssel, aber gebrauchen kann ich sie nicht. Und wieso nutzt keiner PGP? Weil es zu aufwendig ist. Und so schaut das in vielen Bereichen aus beim Thema Sicherheit.

Die Erfahrung habe ich auch schon gemacht, aber vielleicht wird es ja jetzt mit der neuen web.de /gmx Kampagne besser
Ich dachte CM zu installieren würde recht einfach und schnell gehen, dass daraus so ein Umstand wird hätte ich nicht gedacht.
Und F-Droid hatte ich bis vor kurzem für sicher gehalten, daher dachte ich das alles ganz flott geht.

 

[syscrh]

Naja, so wie Web.de und GMX die Verschlüsselung durchführen, kann man sie eigentlich auch gleich weglassen. So richtig sicher ist das nämlich nicht ...

Also bei mir unter Windows 10 hatte ich mit dem X5 derartige Probleme nicht ...

 

[FischerMal]

Hast du ein X5 oder ein X5 Cyanogen Edition?

 

[syscrh]

Ich? Ich hab jetzt gar kein X5 mehr.
Vorher hatte ich die Androidversion, da mir Cyanogen OS zu überladen ist und ich die ganzen Funktionen nicht brauche.

 

[FischerMal]

Wieso hast du CM installiert, wenn dir COS schon zu überladen ist?