Is Android a privacy-friendly mobile operating system?

Android og privatliv: Er din telefon sikker?

11/12/2023

Rating: 4.14 (2940 votes)

I dagens digitale tidsalder ejer næsten alle en smartphone, og chancen er stor for, at denne smartphone enten er en iPhone (iOS) eller en variant af Google Android. Desværre er ingen af disse operativsystemer, i en myriade af måder, ideelle, når det kommer til sikkerhed og privatliv. Diskussionen om, hvilket mobilt operativsystem der er 'værst' for dit privatliv, er en løbende debat, hvor de seneste nyheder, opdateringer, personlige omstændigheder og brugernes trusselsmodeller alle skal tages i betragtning. På grund af forskellige brugeres behov, ønsker og mål er det vanskeligt at nå frem til et definitivt 'gør dette for at være korrekt' svar. For de mere eventyrlystne og teknisk kyndige brugere kan Googles version af Android – selv når den er 'hærdet' for sikkerhed og 'justeret' for privatliv – stadig være temmelig mangelfuld på begge fronter. I sådanne tilfælde kan brugere overveje at installere et alternativt mobilt operativsystem på deres enheder.

Is Android a privacy-friendly mobile operating system?
Indholdsfortegnelse

Hvorfor alternative operativsystemer er nødvendige

Den primære årsag til at overveje et alternativt operativsystem er den dybt indlejrede dataindsamling og sporing, der findes i de kommercielle versioner af Android og iOS. Selvom Apple promoverer sig selv som en forkæmper for privatliv, er virkeligheden mere nuanceret. Ligeledes er Googles forretningsmodel i høj grad baseret på data, hvilket naturligvis påvirker Androids standardkonfiguration. Disse operativsystemer er designet til at tilbyde bekvemmelighed, men ofte på bekostning af brugerens personlige data og digitale frihed. Derfor søger mange brugere efter måder at genvinde kontrollen over deres enheder og deres data.

Et ord om iOS-enheder

For at gøre en lang historie kort kan du ikke installere et nyt operativsystem på iOS-enheder. Dette skyldes primært de lukket kildekode bootloading 'forsvarsmekanismer', Apple anvender på sine enheder. Dette er dog ikke en 'dødsdom' for dem, der foretrækker iOS-enheder. Brugere på iOS kan stadig tage skridt til rimeligt at hærde enheden med hensyn til privatliv. En god start er at installere en anerkendt sporingsblokker for hele enheden, såsom Adguard, og bruge privatlivsorienterede browsere. En iOS-enhed vil simpelthen ikke udføre noget, der ikke er signeret af Apple ved opstart, så installation af et tredjeparts og brugerdefineret operativsystem forbliver mere inden for det umuliges rækkevidde. I hvert fald indtil videre.

Derfor, når man taler om alternative og privatlivsvenlige mobile operativsystemer i privatlivsfællesskabet, er det primært Android, der refereres til. Det samme gælder for dette indlæg.

Jailbreaking?

Typisk vil brugere opdage, at i det større privatlivsfællesskab frarådes jailbreaking af en iOS-enhed. Dette skyldes primært risikoen kontra belønningen ved jailbreaking i nutidens trusselslandskab. Risikoen er langt større end belønningen for mange menneskers trusselsmodeller. Generelt er den største risiko ved jailbreaking, at enheden ikke kan modtage iOS-opdateringer – derfor kan du udsætte dig selv for kendte udnyttelser og sårbarheder, der kunne rettes ved blot at opdatere.

Hvad er jailbreaking? Enkelt sagt refererer jailbreaking til at undslippe 'muren' i Apples iOS-enheder. Jailbreaking af en iOS-enhed giver root-privilegier til enheden, hvilket igen tillader udførelse af opgaver som sideloading af apps og anden tredjepartssoftware. På et lidt mere teknisk niveau udnytter jailbreaking faktisk en privilegie-eskalationsudnyttelse... som, når den udføres, giver 'jailbreaket'. 'Jailbreaking' gælder faktisk for mere end blot iOS – men det refererer oftest til at omgå det låste miljø i iOS selv. Selvom der findes ligheder mellem rooting og jailbreaking af iOS, er der nogle fundamentale forskelle.

Jailbreaking var langt mere udbredt i de tidlige dage af iPhone og den nu udgåede iPod Touch på grund af de stærkt begrænsede tilpasningsmuligheder, der var tilgængelige dengang. For eksempel havde tidlige iPhone-versioner ikke en officiel app-butik, så download af apps var kun muligt på en jailbroken iPhone. Jailbreaking har også vist sig nyttigt til at låse operatørlåste iPhones op, men det er også blevet brugt til mere 'tvivlsomme formål', såsom installation af malware/spyware og/eller softwarepirateri.

Interessant nok er mange funktioner, opnået ved jailbreaking af iOS, efterfølgende blevet adopteret af Apple gennem årene. Disse adoptioner har sandsynligvis reduceret appelværdien af jailbreaking for mange 'mainstream' eller 'hverdagsbrugere'. Dette er ud over Apples konstante kamp mod jailbreaking-teknikker med store iOS-opdateringer.

Alternative Android-operativsystemer

Da iOS-enheder ikke tillader installation af alternative operativsystemer, fokuserer diskussionen om privatlivsvenlige mobile OS primært på Android-baserede løsninger. Her er nogle af de mest fremtrædende:

GrapheneOS: Sikkerhed i højsædet

GrapheneOS er et mobilt operativsystem, der fokuserer intenst på både privatliv og sikkerhed, men tilbyder flere sikkerhedsorienterede funktioner. Det betragtes ofte som det mest sikre mobile Android-operativsystem.

Højdepunkter og fokus:

  • Hærdet libc, malloc og kerne.
  • Hærdet WebView / Chromium (Vanadium).
  • Netværks- og sensorpermission-toggles.
  • Understøttelse af lange adgangskoder (64 tegn).
  • Forbedrede sandboxing-funktioner.

Meget af GrapheneOS' fokus er på at afbøde og forsvare sig mod udnyttelse af ukendte sårbarheder, almindeligvis omtalt som 'nul-dags' sårbarheder. Nul-dags sårbarheder er sårbarheder, der opdages af angribere, før produktleverandøren bliver opmærksom på dem. Leverandøren skal normalt 'indhente' for at udsende en opdatering, der retter nye nul-dags sårbarheder, hvilket undertiden kan tage timer til uger, og i mellemtiden kan systemet være udsat for nul-dags angreb og udnyttelser.

Dette operativsystem anvender fire forskellige tilgange til at forsvare sig mod nul-dage:

  1. Reduktion af angrebsflade.
  2. Udnyttelsesafbødninger.
  3. Forbedret sandboxing (sammenlignet med Android Open Source Project, 'vanilla' Android).
  4. Anti-persistens og detektion.

Meget af reduktionen af angrebsfladen i GrapheneOS opnås ved at fjerne 'unødvendig' kode og deaktivere valgfri funktioner som standard. GrapheneOS' hærdede libc og malloc giver forbedret forsvar mod almindelige hukommelseskorruptionssårbarheder, som ofte er grundlaget for mere fuldgyldige udviklede udnyttelser eller kædede angreb. Den hærdede kerne forbedrer sikkerheden på det mest fundamentale niveau af operativsystemet og muliggør GrapheneOS' forbedrede sandboxing-funktioner. Forbedret verificeret opstart hjælper med at sikre, at udført kode kommer fra en defineret og betroet kilde.

De forbedrede sandboxing-funktioner strækker sig over app-sandboksen og WebView-renderingssandboksen. Interessant nok tillader GrapheneOS' forbedrede sandboxing robust sandboxing selv for Google Play-tjenester, som, når de implementeres 'regelmæssigt', nyder højniveau og uændrede privilegier til enheden.

Med implementeringen af Android 13 introducerer GrapheneOS' forbedrede Google Play-tjenester sandboxing et nyere kompatibilitetslag for Android-apps. I denne forbedrede sandkasse behandles selv Google Play-tjenester som 'regelmæssige' apps af operativsystemet, hvilket giver brugeren kontrol over deres tilladelser.

Al denne vægt på sikkerhed bidrager også godt til brugerens privatliv. GrapheneOS har funktioner dedikeret til at forbedre brugerens privatliv:

  • GrapheneOS inkluderer ikke Google apps/tjenester som standard.
  • Storage Scopes: Et mere sikkert, begrænset alternativ til standard Androids tilladelsesadministrator for lagring.
  • Sensor permission toggle: Enhedssensorer er blevet brugt af apps til at indsamle meget unikke, identificerende og værdifulde data i stilhed (f.eks. gør Facebook-appen dette) og giver brugerne mulighed for at nægte disse tilladelser.
  • Privat Wi-Fi.

GrapheneOS leverer regelmæssige sikkerhedsopdateringer, og i nogle tilfælde har projektet implementeret sikkerhedsrettelser, før upstream Android gjorde det. På grund af de forbedrede standard Android-sikkerhedsfunktioner, der er indbygget i Google Pixel-enhedslinjen, såsom Titan M-sikkerhedselementet, der muliggør verificeret opstart, understøtter GrapheneOS kun Google Pixel-enheder. Dette operativsystems mål er ikke at have den bredeste enhedsunderstøttelse. Fokus er snarere på at vælge enheder baseret på standardkrav, som beskrevet på GrapheneOS' officielle hjemmeside.

Projektet blev oprindeligt grundlagt i 2014 under et andet navn og har gennemgået en række omorganiseringer og navneændringer siden sin oprindelse. Af disse omorganiseringer var GrapheneOS mest bemærkelsesværdigt tidligere CopperheadOS. I skrivende stund er CopperheadOS et lukket kildekode-projekt, der er uafhængigt af GrapheneOS. Angiveligt har det nye CopperheadOS brugt tidligere branding og kode, etableret/ejet af det nuværende GrapheneOS. GrapheneOS vedligeholdes af den non-profit organisation GrapheneOS Project og det åbne kildekodesamfund som helhed.

Et ord om DivestOS (Udgået)

I december 2024 annoncerede den primære vedligeholder af DivestOS projektets ophør. DivestOS blev anbefalet i dette indlæg i årevis før denne nyhed, da det indeholdt mange nyttige funktioner såsom:

  • Automatiseret Kernel CVE Patching.
  • Hærdet Webview (Mulch).
  • Tracker/annonceblokering via hosts-fil.
  • Fjernelse af hundredvis af proprietære blobs.
  • Understøttelse af flere enheder.

DivestOS er dog nu ikke længere anbefalet, da det ikke ville modtage de nødvendige upstream-patcher, der er afgørende for at opretholde grundlæggende sikkerhed. avoidthehack (kilde til den originale information) roser og takker udvikleren for stort set egenhændigt at have vedligeholdt et så respektabelt privatlivsorienteret Android-operativsystem i så mange år.

Et ord om CalyxOS (Problemer og bekymringer)

Tidligere versioner af dette indlæg anbefalede CalyxOS som et mobilt operativsystemalternativ til Android. Det blev dog gjort opmærksom på, at CalyxOS udgør en unødvendig risiko i sin implementering af specifikke funktioner, både 'introducerede' og indbyggede i nyere versioner af vanilla Android. Efter en god del gravearbejde blev mange af disse bekymringer bekræftet. CalyxOS svækker den standard verificerede opstart, der findes i almindelig Android, og har vist mønstre af at halte bagefter med vitale sikkerhedsopdateringer til WebView (Chromium) og operativsystemer. Desuden har den valgfrie inklusion af microG, som muliggør kompatibilitet med Google Play-tjenester, fundamentale privatlivsproblemer.

Is Android a privacy-friendly mobile operating system?
Therefore, when talking about alternate and privacy-friendly mobile operating systems around the privacy community, Android is primarily referenced. The same holds true for this post. Jailbreaking? Typically, users will find that in the greater privacy community, jailbreaking an iDevice is not advised.

Manglende rettidige opdateringer:

CalyxOS har en ret dokumenteret historie med at halte bagefter med implementering af upstream Android-sikkerhedsopdateringer og upstream WebView (Chromium) opdateringer. Da en stor Android 12-version blev udgivet (4. oktober 2021), gik der 4 måneder, før CalyxOS implementerede de tilhørende sikkerhedsrettelser og flyttede fra Android 11. Til reference rettede upstream Android 12 adskillige sårbarheder, hvoraf nogle blev aktivt udnyttet i virkeligheden på udgivelsestidspunktet. Da CalyxOS-brugere stadig var på Android 11, var CalyxOS-brugere sårbare over for angreb eller udnyttelser på grund af at køre forældet firmware og software i disse 4 måneder.

Det ser ud til, at CalyxOS også regelmæssigt halter bagefter med at implementere upstream WebView (Chromium) sikkerhedsrettelser i tide. I nogle tilfælde har CalyxOS regelmæssigt sprunget patcher over. På tidspunktet for skrivning (9. september 2022, fra den originale kilde) havde CalyxOS endnu ikke udgivet en Android 13-version; Google udgav Android 13 den 15. august 2022. Android 13 introducerer sikkerhedsforbedringer og sikkerhedsrettelser i forhold til Android 12.

Sikkerhedsfejl:

CalyxOS' kildekode understøtter en svækket iteration af den moderne Androids verificerede opstartsmodel, hvilket placerer mere tillid til den vedvarende tilstand frem for den aktuelle tilstand. At stole på en vedvarende tilstand placerer også tillid til foretagne ændringer. Både regelmæssige processer og malware skriver ofte til og ændrer operativsystemfiler, så ændringer kan være godartede eller ondsindede. Mens tillid til persistens giver bekvemmelighed, kan det også introducere øget risiko, som brugeren måske ikke nødvendigvis ved, de tager.

Hvis enheden er inficeret med malware, der manipulerer med operativsystemfiler og etablerer persistens, bliver dette et sammensat problem, jo mere en bruger bruger den inficerede enhed. Enheden vil succesfuldt starte op i operativsystemet, som om alt er 'i orden', hvilket i tilfælde af nogle malware-infektioner ikke nødvendigvis er sandt. Når operativsystemet er indlæst, kan malware få adgang til følsomme data på enheden og/eller kompromittere enheden.

Den indbyggede firewall i CalyxOS rapporteres at være utæt. Desuden er dokumentationen for den indbyggede firewall, i skrivende stund, for Android 11, selvom CalyxOS er på Android 12 (fra den originale kilde).

microG:

Tilstanden af 'valgfri' microG er et totrins problem. Uanset om en bruger vælger at inkludere microG i deres installation af CalyxOS, bundter CalyxOS Googles eSIM ind i installationen uden udtrykkeligt at informere brugeren. Dette er problematisk, fordi mange brugere søger at komme væk fra uigenkaldelige Google-apps og -tjenester ved at installere alternative mobile operativsystemer. microG forventer også et højt privilegieniveau på systemet. For eksempel angiver dets manifest microGs forventede adgange for mange følsomme områder.

De primære problemer med microG er ikke nødvendigvis med dets tilladelsesanmodninger, men problemet ligger i dets bundling af Googles eSIM og manglende mulighed for at tilbagekalde disse tilladelser. Dette er identisk med Google Play-tjenesters problem på Googles version af Android, hvor Google Play-tjenester nyder uigenkaldelig privilegeret adgang til enheden.

Kriterier for privatlivsvenlige mobile operativsystemer

For at blive opført som en anbefaling bør privatlivsvenlige mobile operativsystemer som minimum opfylde følgende kriterier:

  • Være åben kildekode: Åben kildekode operativsystemer fremmer gennemsigtighed. For reference er 'vanilla' Android (ikke den Google-variant verden er vant til) åben kildekode. For iOS, som tidligere nævnt, vil bootloaderen til iOS-enheder kun tillade opstart med en ægte installation af iOS. Mens iOS er lukket kildekode, får det undertiden et 'pas' på grund af den overraskende grad af kontrol, Apple giver brugeren over deres data inden for iOS-økosystemet. Igen, iOS er ikke en eksplicit anbefaling her, da dette indlæg er dedikeret til Android-baserede enheder.
  • Være gratis: Operativsystemer, der er anført her, bør være uden forudgående monetære omkostninger. Det opfordres dog stærkt til at donere til specifikke operativsystemer, du finder nyttige!
  • Tilbyde sikkerheds- og privatlivsforbedringer: Mobile operativsystemer, der er anført her, bør give betydelige sikkerhedsopgraderinger og privatlivsforbedringer i forhold til standard Android eller Google-versionen af Android, såsom: en standard privatlivsorienteret browser, verificeret/signeret opstart – specifikt en implementering, der ikke svækker den eksisterende verificerede opstart, bedre kontrol (i forhold til almindelig Android) for administration af app-tilladelser og netværksaktivitet, samt tracker/annonceblokering.
  • Levere rettidige sikkerhedsopdateringer: Opdateringsfrekvens er vigtig for grundlæggende sikkerhed og privatliv. Hvis din enhed kompromitteres som følge af at køre forældet software eller firmware, påvirker dette åbenlyst dit privatliv. Naturligvis har nogle opdateringer forrang over andre. Specifikt bør sikkerhedsopdateringer, der typisk retter nul-dags sårbarheder, der kan bruges i angriberes udnyttelseskampagner, leveres hurtigt af leverandøren (vedligeholderen af det mobile operativsystem). Dette er især vigtigt for sikkerhedsopdateringer udgivet af upstream Android, da leverandøren skal forberede og pakke dem til forsendelse til dig, slutbrugeren. Sårbarheder karakteriseres typisk som kritiske, høje, mellemstore eller lave. Afhængigt af en sårbarheds alvor – og kendte udnyttelser, der sker i virkeligheden – bør patcher til kritiske eller høje sårbarheder udgives omgående.
  • Ikke betragtes som alpha/beta software eller en ROM: Mobile operativsystemer, der er anført her, bør være komplette alternative operativsystemer. ROM-projekter har en tendens til kun at introducere justeringer eller minimale funktioner og kan være tilfældigt vedligeholdt. Masser af alpha/beta software når aldrig 'produktion'.

Afsluttende tanker og anbefalinger

Det er vigtigt at forstå, at i dagens landskab er smartphones, der kører iOS og Google Android (langt de fleste enheder derude), simpelthen ikke gearet til privatliv så meget, som de burde være. Selvom smartphones kan 'hærdes', kan mere 'avanceret' justering bryde nogle reelle kernefunktioner og fuldstændig forringe brugeroplevelsen. Moderne smartphones er designet til at give høj bekvemmelighed for slutbrugeren – denne bekvemmelighed kommer ofte på bekostning af brugerens privatliv og i nogle tilfælde sikkerhed.

Derfor er det vigtigt at forstå, at der vil opstå fejl og problemer ved installation af et andet operativsystem på din(e) mobile enhed(er), og at der vil være en tilpasningsperiode fra din side. En vis grad af teknisk ekspertise (eller vilje til at lære ved omhyggeligt at læse dokumentation) er påkrævet for at 1) forberede en enhed til installation af et alternativt mobilt operativsystem og 2) korrekt installere et alternativt mobilt operativsystem.

Generelt anbefales GrapheneOS for væsentligt forbedret sikkerhed og privatliv, med nogle ofre i bekvemmelighed, for mere moderne Pixel-enheder. Ingen af oplysningerne i dette afsnit skal definitivt sige, at det er for 'vanskeligt' at tilpasse sig et alternativt mobilt operativsystem – men brugere bør absolut være opmærksomme på, at de opgiver nogle aspekter af bekvemmelighed og 'enkelhed' for langt overlegen privatliv og sikkerhed. Omfanget af denne afvejning afhænger af personlige omstændigheder, præferencer og i sidste ende brugerens trusselsmodel.

I sidste ende: Sørg for at vælge et operativsystem, der virker for dig. Igen kan brugere hærde Googles Android, hvis kompatibilitet og bekvemmelighed er vigtigst for dem – men der er et 'loft' for, hvad der kan hærdes for sikkerhed eller justeres for privatliv på Googles version af Android. Brugere bør også mindes om, at iOS også er en levedygtig mulighed, trods dets lukkede økosystem – men naturligvis kommer dette også med ulemper. Uanset hvad er de operativsystemer, der er inkluderet på denne liste, alle gode valg og vil hjælpe brugerne med at beskytte og forbedre deres online privatliv. Med det sagt: Pas godt på jer selv derude!

Spørgsmål og svar (FAQ)

Hvorfor er almindelig Android ikke privatlivsvenlig?

Standard Android, især Googles version, er tæt integreret med Googles tjenester og forretningsmodel, som bygger på dataindsamling. Dette betyder, at din enhed konstant sender data tilbage til Google, hvilket kan omfatte din placering, app-brug, søgehistorik og mere, ofte uden din fulde viden eller kontrol. Selvom du kan justere nogle privatlivsindstillinger, er den grundlæggende arkitektur designet til at indsamle information, hvilket kompromitterer dit privatliv.

Kan jeg installere et alternativt OS på min iPhone?

Nej, det er ikke muligt at installere et alternativt operativsystem som GrapheneOS på en iPhone. Apple har strenge sikkerhedsmekanismer, herunder en lukket bootloader, der forhindrer installation af uautoriseret software. Dette er en afgørende forskel mellem iOS og Android, hvor sidstnævnte er mere åben og fleksibel med hensyn til tilpasning.

Hvad er GrapheneOS, og hvorfor er det bedre for privatliv?

GrapheneOS er et privatlivs- og sikkerhedsfokuseret mobilt operativsystem baseret på Android Open Source Project (AOSP). Det er designet til at minimere dataindsamling og forbedre enhedens sikkerhed ved at fjerne Googles tjenester som standard, hærde kernen og systemkomponenterne, forbedre sandboxing og give brugerne mere kontrol over app-tilladelser og netværksadgang. Dets fokus på at forsvare sig mod nul-dags sårbarheder gør det til et af de mest sikre mobile OS.

Er der ulemper ved at bruge et alternativt OS?

Ja, der er nogle ulemper. For det første kræver installation og vedligeholdelse af et alternativt OS ofte en vis grad af teknisk viden. For det andet kan du miste nogle af de bekvemmeligheder, der følger med Googles tjenester (f.eks. problemfri integration med Google Play Butik, Gmail osv.), selvom GrapheneOS tilbyder en sandkasse-kompatibilitetslag for Google Play-tjenester. Endelig er enhedsunderstøttelse begrænset, især for GrapheneOS, der kun understøtter Google Pixel-telefoner.

Hvilken telefon skal jeg vælge til GrapheneOS?

GrapheneOS understøtter udelukkende Google Pixel-telefoner. Dette skyldes Pixels avancerede sikkerhedsfunktioner, såsom Titan M-sikkerhedselementet, som er afgørende for GrapheneOS' forbedrede sikkerhedsmodel, herunder verificeret opstart. Det anbefales at vælge den nyeste Google Pixel-model, der er officielt understøttet af GrapheneOS, for at sikre de bedste sikkerhedsfunktioner og længst mulig opdateringslevetid.

Hvis du vil læse andre artikler, der ligner Android og privatliv: Er din telefon sikker?, kan du besøge kategorien Teknologi.

Go up