Fragen zum Bootloader und Sicherheit

/e/OS auf Deutsch Alles rund um /e/
1

Hallo zusammen,

meines Wissens nach muss der Bootloader bei vielen /e/OS Geräten auch nach der Installation geöffnet bleiben. Warum ist es so? Bzw. warum darf man den Bootloader nicht wieder sperren? Liegt es daran, dass danach keine Updates mehr installiert werden können?
Oft habe ich gehört, dass man mit einem offenen Bootloader auf gar keinen Fall Online-Banking Apps nutzen sollte, da das Gerät durch den offenen Bootloader sehr anfällig für Malware ist.

Mache ich mir zu viele Gedanken oder ist es wirklich eine tickende Zeitbombe? Mein Nutzungsverhalten ist eher so, dass ich in der Regel nur wenige Apps nutze. Auch bin ich niemand, der unbedacht in E-Mails auf irgendwelche Links oder Dateianhänge klicke.

Mich würde interessieren, nutzt ihr unter /e/OS Online Banking, PayPal etc.?

Viele Grüße
Matthias

2

Also meiner ist gesperrt.

1 Like
3

Wenn ich mich richtig entsinne ist der offene Bootloader nur gefählrich wenn jemand dein Gerät in der Hand hatte zum manipulieren.

1 Like
4

Verschiedene Banken lassen keinen offenen Bootloader zu.

1 Like
5

Die ING Bank funktioniert zwar auch mit einem offenen Bootloader, doch ein ungutes Gefühl bleibt natürlich schon.

6

Hier ist eine ganz gute Abhandlung dazu, glaube ich … https://www.reddit.com/r/LineageOS/comments/n7yo7u/a_discussion_about_bootloader_lockingunlocking/

Das ganze Heckmeck um Banking oder nicht spar ich mir auf dem Smartphone einfach, da brauch ich nie Banking drauf … und Vertrauen in Banken-Apps hab ich auch keins bei der Softwarequalität heutzutage.
Wenn eine Bank mich unbedingt zu einer App zwingen möchte, wird das Konto gekündigt (1x passiert).

Das kann prinzipbedingt auf /e/OS jederzeit auch wieder nicht so sein, es sollte also besser nichts wichtiges davon abhängen.

4 Likes
7

Mein Bootloader ist noch “offen”. Auch wenn ich ihn “dicht” mache, bleibt statt der orangefarbenen Meldung eine gelbe Warnung, dass das installierte System nicht das Originalsystem von Goggle sei, optisch fast nicht von der orangefarbenen zu unterscheiden. Ich habe mich an der Empfehlung orientiert, die ich auf irgendeiner Webseite (finde sie nicht wieder auf die Schnelle) aufgeschnappt hatte und den Bootloader “offen” gelassen.

Wenn ich das richtig in Erinnerung habe, könnte ein Softwarefehler zum Komplettversagen führen. Ohne funktionierendes OS kannst Du aber nicht die Einstellungen vornehmen, die für das (Reparatur-)Flashen eines OS nötig wären.

In Gefahr ist das Telefon IMHO nur dann, wenn es in unbefugte und vor allem fähige Hände gerät. Die Wahrscheinlichkeit halte ich für eher gering, falls man nicht zufällig im Visier von Geheimdiensten… :innocent:

Ich habe bei der DKB eine “gute alte GiroPay-Karte” geordert (kostet 1,-€/Monat), mit der ich das klassische HBCI-Verfahren für Bankgeschäfte nutzen kann und bin mit einem optischen TAN-Generator und dem Chip auf der Geldkarte auf der sicheren Seite (fernab meines Telefons). Fürs Banking nutze ich ausschließlich auf dem PC Alf-Banco9, auf dem Telefon hat sowas mMn nix verloren (wie TAN-Apps einzustufen sind, hab ich grad keine Meinung).
Die Hanseaticbank (Herausgeber meiner VISA) nutzt das smsTAN verfahren, wenn meine Identität überprüft werden muss, funktioniert einwandfrei…

Meine Hausverwaltung fordert mich immer wieder auf, eine App zu nutzen. Das will ich aber nicht, also gehe ich denen weiterhin per Servicetelefon auf die Nerven.

Die Software meines Blutzuckersensors will meine Daten immer in einer Cloud (Amazon-Serverfarm) speichern. Ich habe eine alternative Software gefunden, die meinen Libre3 unterstützt, die Daten aber nicht abzweigt, solange ich das nicht möchte.

Muss ich unbedingt eine Taxi-App von Taxi.Berlin auf dem Phone haben oder kann ich mir auch die Rufnummer 202020 merken, wenn ich mal kein Taxi herbeiwinken kann?

So bleibt es eben nicht nur beim Flashen eines entgoogleten OS, sondern man entwickelt auch auf anderen Ebenen Lösungen, die einen vielleicht ein bissl weniger von irgendwelchen Apps (Datenkraken) abhängig machen…

PS: Ich hab grad das A14 LineageOS in Betrieb. Bei mir wäre das Unsinn, den BL zu sperren, so oft wie ich wechsel … :wink:

LG

-==[Schubsi]==-

3 Likes
8

wars bei dir nicht das “bramble”? die können avb2 custom keys weil Google. Relocking ist woanders möglich (Calyx/Graphene). /e/ liefert dir aktuell allerdings kein image wo Du das machen kannst.

Der reddit r/LineageOS link in @AnotherElk Antwort arbeitet die Fragen gut ab. Was du benötigst sind user builds die den avb custom key mitliefern und beim patchlevel datum gleichauf oder vorne liegen (rollback protection).

/e/ bietet für manche pixels (redfin, coral, flame) zwar ein user build (das es für bramble nicht gäbe), aber kein avb_custom_key der die partition hashes signiert (in vbmeta). Zumindest nicht in dem aktuellen redfin image das ich runtergeladen / extrahiert habe.

“evil maid” (oder evil adb/fastboot-slinging boyfriend?) ist ein Problem, aber ein noch entferntes. Sollten “freie” Androids aber jemals populärer werden muss man sich darum kümmern.

1 Like
9

Vielen Dank für eure Kommentare und Meinungen zu diesem Thema.
Bezüglich Banking hat jeder seine eigene Meinung. Früher habe ich Online-Banking auch am PC mit einem TAN-Generator gemacht und davor waren es noch diese TAN-Listen auf Papier. Seit mehreren Jahren nutze ich ausschließlich die Banking-App und hatte bis jetzt keine Probleme und halte es für ziemlich sicher. Alleine dadurch, dass nur ein authentifiziertes Gerät Zugriff auf das Konto hat, grenzt man potentielle Gefahren schon einmal deutlich ein.

Wenn ich es richtig verstehe, dann kann Schaden nur durch einen offenen Bootloader entstehen, wenn jemand das Gerät physisch in die Hände bekommt, richtig? Das beruhigt mich schon einmal etwas.

10

Ja, das ist richtig. Ich habe auf dem Google 4a 5G das Betriebssystem /e/OS installiert. Allerdings möchte ich dieses Handy meiner Mutter schenken, weil ich die Benutzeroberfläche von /e/OS als sehr einfach und übersichtlich empfinde. Meine Mutter besitzt derzeit ein älteres Samsung Smartphone und erhält seit einiger Zeit auch keine Sicherheitsupdates mehr. Ich hoffe, dass ich ihr damit eine Freude machen werde. :slight_smile:

Da mir /e/OS allerdings sehr gut gefällt, habe ich mir als Zweithandy ein Pixel 7 Pro bei eBay bestellt und möchte darauf gerne e/OS installieren.

11

Die Motivation, /e/OS nutzen zu wollen, checke ich gerade nicht… Nur weils “hübsch” ausschaut?

… oder weil Du nicht geortet werden möchtest? Bist Du sicher, dass Deine BankingApp Dich nicht ortet?

Ich habe die Erfahrung gemacht, dass zu viele Apps nicht erwartungsgemäß funktionieren: Bei Signal kommen ewig keine Nachrichten an, bei WhatsApp funktioniert das Teilen des Standorts nicht so wirklich, bei div. Geräten sind die Fähigkeiten der Kamera eingeschränkt, etc. und… und…

Ich hab meine Mutter (82) trainiert, möglichst wenig von Ihrer Privatsphäre preiszugeben, das relativ aktuelle Niedrig-Preis-Samsung wurde mit dem Debloater etwas “abgespeckt”, sie nutzt es aber mit dem orig OS und kann dadurch alle “Dienste” erwartungsgemäß nutzen. Ein /e/OS Phone wäre in ihrem Fall viel zu anspruchsvoll.

Ja! So isses…

1 Like
12

Gründe warum ich mich für e/OS interessiere:

  • Die Neugier, etwas Neues auszuprobieren
  • Nachhaltigkeit, es werden auch ältere Geräte mit Updates unterstützt
  • Alternative aus Europa mit eigenem Ökosystem
  • Open Source
  • die Freiheit zu entscheiden, wie man sein Handy nutzen möchte. Man kann ein Murena oder Google Konto nutzen, muss es aber nicht
  • keine Bloatware
  • Es ist nicht so überladen und läuft sehr flüssig

Meine Mutter ist 67 Jahre alt und nutzt ihr Handy überwiegend zum surfen im Internet, bisschen YouTube, WhatsApp und telefonieren. Als Kamera habe ich ihr Gcam installiert, wobei ihr die Kamera nicht so wichtig ist. Die GUI von e/OS ist nicht so überladen wie Samsung und auch ältere Geräte wie das 4a 5G werden mit Updates unterstützt.

4 Likes
13

Geschafft, mein Pixel 7 Pro kam heute an und nun läuft /e/OS drauf. :slight_smile:

pixel7-pro
pixel7-pro900×675 40.4 KB

2 Likes
14

Ha! Wiedergefunden…

Diese Entscheidung nimmt z. B. DivestOS dem Anwender ab, die App läuft nicht…

In der Installationsanweisung auf deren Seite ist auch der prall rote Infokasten zu finden, der sehr nachdrücklich vom Locken des BL abrät, den meinte ich.

1 Like
15

Vielen Dank, dann werde ich den Bootloader offen lassen.

16

Ein degoogled /e/OS mit App kleinanzeigen Version 100.1.0

18 trackers | 27 permissions :skull_and_crossbones:

A degoogled /e/OS with App kleinanzeigen version 100.1.0

1 Like
17

Du meinst damit, ich sollte die Kleinanzeigen App besser löschen, oder?

18

The risk is sitting in front of the screen. The time bomb is ticking.

1 Like