11 KiB
meta_title, title, description, schema, robots
| meta_title | title | description | schema | robots | |||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Die besten Custom-Android-Betriebssysteme (aka Custom ROMs) - Privacy Guides | Alternative Distributionen | Du kannst das Betriebssystem deines Android-Handys mit diesen sicheren und Privatsphäre-freundlichen Alternativen ersetzen. |
|
nofollow, max-snippet:-1, max-image-preview:large |
Schützt vor der/den folgenden Bedrohung(en):
- :material-target-account: Targeted Attacks{ .pg-red }
- :material-bug-outline: Passive Angriffe{ .pg-orange }
Ein Custom Android-Betriebssystem (oft auch als Custom ROM bezeichnet) ist eine beliebte Methode, um ein höheres Maß an Privatsphäre und Sicherheit auf einem Gerät zu erreichen. Dies steht im Gegensatz zu der „Stock“-Version von Android, die mit deinem Handy aus der Fabrik kommt, und ist häufig tiefgreifend mit Google Play Services integriert.
Wir empfehlen die Installation eines dieser Custom-Android-Betriebssysteme auf deinem Gerät, die in der Reihenfolge der Kompatibilität deines Geräts mit diesen Betriebssystemen aufgeführt sind.
AOSP-Derivate
GrapheneOS
{ align=right }
{ align=right }
GrapheneOS ist die beste Wahl, wenn es um Datenschutz und Sicherheit geht.
GrapheneOS bietet zusätzliche Sicherheitshärtungen und Verbesserungen beim Datenschutz. Es verfügt über eine gehärtete Speicher-Allocator, Netzwerk- und Sensorberechtigungen und verschiedene andere Sicherheitsfunktionen. GrapheneOS wird auch mit vollständigen Firmware-Updates und signierten Builds geliefert, so dass verifiziertes Booten vollständig unterstützt wird.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Datenschutzrichtlinie" } :octicons-info-16:{ .card-link title=Dokumentation} :octicons-code-16:{ .card-link title="Quellcode" } :octicons-heart-16:{ .card-link title=Spenden }
GrapheneOS unterstützt sandboxed Google Play, das die Google Play Services vollständig sandboxed, wie jede andere reguläre App. Das bedeutet, dass du die meisten Google Play-Dienste, wie z. B. Push-Benachrichtigungen, nutzen kannst, während du die volle Kontrolle über deren Berechtigungen und Zugriff hast und sie auf ein bestimmtes Arbeitsprofil oder Benutzerprofil deiner Wahl beschränken kannst.
Google Pixel-Handys sind die einzigen Geräte, die derzeit die Hardware-Sicherheitsanforderungen von GrapheneOS erfüllen.
Standardmäßig stellt Android viele Netzwerkverbindungen zu Google her, um DNS-Verbindungsprüfungen durchzuführen, sich mit der aktuellen Netzwerkzeit zu synchronisieren, deine Netzwerkverbindung zu prüfen und viele andere Aufgaben im Hintergrund zu erledigen. GrapheneOS ersetzt diese durch Verbindungen zu Servern, die von GrapheneOS betrieben werden und deren Datenschutzbestimmungen unterliegen. Dies verbirgt Informationen wie deine IP-Adresse vor Google, aber es bedeutet, dass es für einen Administrator in deinem Netzwerk oder ISP trivial ist, zu sehen, dass du Verbindungen zu grapheneos.network, grapheneos.org usw. herstellen, und daraus zu schließen, welches Betriebssystem du verwendest.
Wenn du Informationen wie diese vor einem Angreifer in deinem Netzwerk oder vor deinem ISP verbergen möchtest, musst du ein vertrauenswürdiges VPN verwenden und zusätzlich die Einstellung für die Verbindungsprüfung auf Standard (Google) ändern. It can be found in ⚙️ Settings → Network & internet → Internet connectivity checks. This option allows you to connect to Google's servers for connectivity checks, which, alongside the usage of a VPN, helps you blend in with a larger pool of Android devices.
DivestOS
Wenn GrapheneOS nicht mit deinem Handy kompatibel ist, ist DivestOS eine gute Alternative. Es unterstützt eine Vielzahl von Telefonen mit unterschiedlichen Sicherheitsstufen und Qualitätskontrollen.
{ align=right }
DivestOS ist ein Soft-Fork von LineageOS. DivestOS erbt viele unterstützte Geräte von LineageOS. Es hat signierte Builds, die es möglich machen, verified boot auf einigen Nicht-Pixel-Geräten zu verwenden. Nicht alle unterstützten Geräte unterstützen Verfied-Boot oder andere Sicherheitsfunktionen.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion Service" } :octicons-eye-16:{ .card-link title="Datenschutzrichtlinie" } :octicons-info-16:{ .card-link title="Dokumentation" } :octicons-code-16:{ .card-link title="Quellcode" } :octicons-heart-16:{ .card-link title="Spenden" }
The status of firmware updates in particular will vary significantly depending on your phone model. While standard AOSP bugs and vulnerabilities can be fixed with standard software updates like those provided by DivestOS, some vulnerabilities cannot be patched without support from the device manufacturer, making end-of-life devices less safe even with an up-to-date alternative ROM like DivestOS.
DivestOS has automated kernel vulnerability (CVE) patching, fewer proprietary blobs, and a custom hosts file. Its hardened WebView, Mulch, enables control-flow integrity for all architectures and network state partitioning, and receives out-of-band updates.
DivestOS also includes kernel patches from GrapheneOS and enables all available kernel security features via defconfig hardening. All kernels newer than version 3.4 include full page sanitization and all ~22 Clang-compiled kernels have -ftrivial-auto-var-init=zero enabled.
DivestOS implements some system hardening patches originally developed for GrapheneOS. DivestOS 16.0 and higher implements GrapheneOS's INTERNET and SENSORS permission toggle, hardened memory allocator, exec-spawning, Java Native Interface constification, and partial bionic hardening patchsets. 17.1 and higher features per-network full MAC address randomization, ptrace_scope control, automatic reboot, and Wi-Fi/Bluetooth timeout options.
DivestOS uses F-Droid as its default app store. We normally recommend avoiding F-Droid, but doing so on DivestOS isn't viable; the developers update their apps via their own F-Droid repository, DivestOS Official. For these apps you should continue to use F-Droid with the DivestOS repository enabled to keep those components up to date. For other apps, our recommended methods of obtaining them still apply.
DivestOS replaces many of Android's background network connections to Google services with alternative services, such as using OpenEUICC for eSIM activation, NTP.org for network time, and Quad9 for DNS. These connections can be modified, but their deviation from a standard Android phone's network connections could mean it is easier for an adversary on your network to deduce what operating system you have installed on your phone. If this is a concern to you, consider using a trusted VPN and enabling the native VPN kill switch to hide this network traffic from your local network and ISP.
Kriterien
Bitte beachte, dass wir mit keinem der Projekte, die wir empfehlen, in Verbindung stehen. Zusätzlich zu unseren Standardkriterien haben wir eine Reihe klarer Anforderungen entwickelt, die es uns ermöglichen, objektive Empfehlungen zu geben. Wir empfehlen dir, dich mit der Liste vertraut zu machen, bevor du dich für ein Projekt entscheidest, und deine eigenen Recherchen anzustellen, um sicherzustellen, dass es die richtige Wahl für dich ist.
- Es muss sich um Open-Source Software handeln.
- Must support bootloader locking with custom AVB key support.
- Muss wichtige Android-Updates innerhalb von 0-1 Monaten nach der Veröffentlichung erhalten.
- Muss innerhalb von 0-14 Tagen nach der Veröffentlichung Updates für Android-Funktionen (kleinere Versionen) erhalten.
- Muss innerhalb von 0-5 Tagen nach der Veröffentlichung regelmäßig Sicherheits-Patches erhalten.
- Darf nicht von vornherein aus "gerootet" sein.
- Darf nicht Google Play-Dienste standardmäßig aktivieren.
- Darf keine Systemänderung zur Unterstützung von Google Play Services erfordern.