Ich verstehe wirklich nicht, warum alle so auf Graphene abfeiern. Ja, ok, Sicherheit. Wenn du US-NSA-Whistleblower bist, dann ist das evtl. besser für dich als Lineage bzw. /e/ OS, aber dann wäre evtl. ein Dumbphone oder gar kein Phone das Mittel der Wahl. Man hat halt in Graphene trotzdem die elenden Google-Blobs im System, Sandbox hin oder her. Warum hätte man nicht gleich auf MicroG setzen können? Weil sich sonst Google beschwert hätte und Graphene auf deren Segen angewiesen sind. Das alleine ist halt schon ein disqualifizierendes Merkmal in meinen Augen. Sicherheit und Privatsphäre sind nicht notwendigerweise immer das Gleiche.

Weil sich sonst Google beschwert hätte und Graphene auf deren Segen angewiesen sind

kukuk Uhr sounds hier einfügen

und Graphene gegenüber Lineage bzw. /e/ OS notwendig wird

/e/ ist Google in noch unsicherer. Deren cloud Dienst alleine basiert auf unverschlüsselte Datenübertragung ohne jegliche Sicherheitsstandards und deren Tastatur bzw Text to speech schickt Daten nach openAI. Linaege ist auch schlimmer als Stock OS, keine updates, kein release schedule.

wenn man Google nicht zutraut mindestens so schlimm zu sein, wie der Angreifer vor dem einen Graphene schützen soll

Du kannst einfach nicht Google nutzen. Deren Sandbox macht es ja unmöglich für die Daten zu sammeln.

kukuk Uhr sounds hier einfügen

Das ist halt ein Fakt? Graphene bekommt Kooperation von Google, die sie nicht mehr erhalten würden, würden sie Signature-Spoofing einbauen, wie für MicroG notwendig. Das ist der gleiche Grund warum Lineage OS einfach gar keine Dienste ausliefert (aber dafür halt auch nur nichts halbes und nichts ganze ist, weil das ganze Ökosystem damit funktioniert).

Btw.: sehr eleganter Stil, fast nicht asozial Sounds hier einfügen.

Deren cloud Dienst alleine […]

muss man nicht nutzen. Ich habe meine eigene self-hosted-bei-mir-zuhause Nextcloud eingebunden und die ganzen (ohnehin nicht per default aktiven) Cloud Murena apps (inkl tts) bei der Erstinstallation deaktiviert und die kamen auch nicht wieder. Davon abgesehen ist die Datenübertragung absolut verschlüsselt. Was es nicht hat ist E2E, wie 90% der anderen FOSS und proprietären Lösungen. Du dagegen gerne diese Workspace App self-hosten, wenn du nicht traust, dann brauchst du auch kein E2E mehr.

/e/ OS habe ich aber auch hauptsächlich erwähnt, weil es die bequemste Methode ist an ein MicroG Custom ROM zu kommen, nicht weil deren eigene Software so toll ist. Du kannst dir das auch alles selbst zusammen frickeln, ist halt mehr Arbeit.

Deren Sandbox macht es ja unmöglich für die Daten zu sammeln.

Sandbox != unmöglich Daten zu sammeln. Und da die Google Dienste proprietär sind hast du auch keine Ahnung was die genau tun. Alles was die brauchen ist ein Zero-Day in der Sandbox und das System ist wieder offen.

Und selbst wenn die Sandbox perfekt wäre, sammeln zumindest die Push-Notifications und die Standortbestimmung entweder weiter Daten wenn aktiviert, oder funktionieren halt einfach nicht. Beides Dinge, die du mit MicroG hast, anonym(isiert) und an Google vorbei.

Linaege ist auch schlimmer als Stock OS

Wenn Lineage schlimmer ist als Stock, dann ist Android komplett unbenutzbar. “Stock” impliziert Google Dienste, nichtmal mit Sandbox, ergo komplett und absolut indiskutabel. Irgendeinen Tod muss man sterben, entweder durchwachsene Release-Schedules, oder Google’s Stiefel im Gesicht.

Nicht OP bzw Original-Kommentierer, aber fand die Diskussion hier sehr interessant.

Nutze selbst /e/ auf meinem FP ähnlich ohne den Murena Apps, sondern direkt lokale Nextcloud, Fossify Apps (aus F-Droid) und überhaupt kein TTS.

Hatte gestern unter einem Thread zu dem Thema mit Motorola und Graphene nen großen Wall-of-Text zu Unsicherheit von /e/ gesehen der mich selbst etwas verunsichert hat, aber ich glaub das Thema ist einfach sehr polarisiert.

Will ehrlicherweise jetzt auch nicht mein frisches FP hergeben - v.a. kommen da ja auch noch andere Aspekte mit in die Wagschale (Nachhaltigkeit, faire Löhne, aus EU, Reparierbar, Akkutausch…) Wär nochmal ne andere Diskussion wenn es das auch mit Graphene gäbe.

Bin jedenfalls dankbar hier auch eine Gegenseite bzw Abwägung zu hören ^^

Kannst du mir den Thread verlinken? Würde mich interessieren was die Argumente konkret sind.

Es gibt viel FUD in dem Bereich, man sollte sich nicht von großen Textblöcken verunsichern lassen sondern die Argumente gegenüber dem eigenen Thread-Model evaluieren. Z.B. der sehr unhöfliche Kommentator hier schmeißt mit Aussagen wie “ist unverschlüsselt” um sich, aber selbst wenn er klar bzgl. E2E argumentiert hätte und Murena das nicht hätte, würde es halt stark davon abhängen wie sensibel die Daten sind, die man darauf ablegt, und gegenüber wem man sich absichern will, Murena, Google, NSA, China? Die Prioritäten, wem man traut und wie viel sind entscheidend, nicht wer numerisch mehr grüne Haken in einer Vergleichsmatrix hat.

Klar, kann ich gerne machen.

War auf Reddit im Subreddit r/degoogle (nutze selbst die App ‘Stealth’ für Reddit, daher die View im Screenshot).

Hier der Link zum kompletten Post: -https://www.reddit.com/r/degoogle/comments/1rjoyvr/motorola_grapheneos_partership/

Und hier der Kommentar selbst:

Link aus dem Kommentar: -https://discuss.grapheneos.org/d/24134-devices-lacking-standard-privacysecurity-patches-and-protections-arent-private

Aus meiner Perspektive:

• Dass Fairphone häufiger Patches/Updates von Upstream pullen könnte stimmt. Das ist nicht /e/ OS spezifisch, aber viele andere der Hersteller, die /e/ OS und Lineage unterstützen sind noch schlechter in der Hinsicht und das im Gegensatz zu Fairphone nicht aus begrenzter Entwicklerzeit, sondern weil es ihnen schlicht egal ist. Google Pixel ist da halt die Ausnahme, weil man die Milch direkt aus der Zitze der (ex-?) Sugarmommy saugt.
• Viele der “Das und das und das ist veraltet” Punkte, wie Chrome usw. betrifft hauptsächlich Fairphone OS. Ich weiß nicht wie es mit dem /e/ OS Browser aussieht, ich habe Fennec. Aber da hätte der Kollege wahrscheinlich auch ein Problem damit, weil es “nicht die aktuellsten Patches von Google enthält” (weil es nicht von Google ist).
• Sofern ich nichts überlesen habe wird “It also doesn’t keep important standard protections intact” in verschiedenen Variationen immer wieder wiederholt, aber nie im Detail beschrieben. Das (insbesondere das nicht ins Detail gehen) legt für mich nahe, dass es wiedermal um Signature Spoofing geht, was in meinen Augen geschenkt ist, Gründe habe ich erleutert. Die Security die dabei verloren geht ist nicht deine als Gerätebesitzer, sondern die von Google, dass du den Goldenen Käfig nicht aufzumachen hast. Wie sollst du sonst wissen, dass die Software die du aus dem Playstore lädst auch den heiligen Segen von Google hat, und nicht von deiner fiesen Murena Software korrumpiert und trojanisiert wurde.
• Der Punkt “MicroG läuft nicht in der Sandbox also ist /e/ OS schlechter als Graphene” (das der unhöfliche Kollege hier nachgeplappert hat) ist in meinen Augen, wie schon geschrieben, komplett absurd. MicroG ist FOSS, du weißt was es für Daten sammelt und an Google sendet, und das exakt genau so wenig wie notwendig ist um die Schnittstellen zufrieden zu stellen, damit die Apps laufen die du brauchst. Du kannst MicroG genauso vertrauen wie dem AOSP-basierten System Image selbst, was ja auch privileged läuft. Dagegen Google Play Services müssen ja gerade gesandboxed werden, weil anzunehmen ist, dass es praktisch eine große Backdoor ist die alles an Daten an sich krakt was sie in die Tentakeln bekommt.
• Ich verstehe die Perspektive von Graphene, warum Fairphone nicht die richtige Plattform für sie ist. Sind schlicht andere Prioritäten. Wenn man den Post mehr aus dieser Perspektive liest, dann macht er finde ich mehr Sinn. Er ist halt typisch opinionated wie alles was ich bisher von den Graphene Leuten gelesen habe, aber (außer dem vorherigen Punkt) nicht grundsätzlich falsch. Aber was für Graphene zählt ist halt ausschließlich der höchste Patch-Level in der Nanosekunde zu der ihn Google in den Äther rotzt, weil sonst kommen Russische Hacker und verbrennen ihre $20M Zero-Days um dir deine Katzenbilder und Urlaubsfotos zu stehlen, also fürchte alles was nicht Graphene ist! Ist aber halt Quatsch. Das wird nicht relevant für das Threat-Model des durchschnittlichen Lesers des verlinkenden Reddit-Beitrags sein, wenn sich dieser überhaupt schon mal über ein solches Gedanken gemacht hat. Deswegen betrachte ich diese Art der Argumentation als gefährlichen FUD, wenn es auch nur eine einzige Person verunsichert und davon abhält von irgendeinem Samsung, Google, Fairphone OS oder sonstigen Stock-Dreck auf eine Open Source Alternative umzusteigen, egal ob diese Graphene OS ist, Lineage, /e/ OS oder was auch immer. Wer 100%ig sicher gehen will, der kauft halt ein Google (oder Motorola, wir werden sehen, ich glaube es nicht) Gerät und läd Graphene drauf. Für mich kommt das nicht in Frage weil die Geräte auch nach zwei Jahren Elektroschrott sind, und manche Leute wollen halt auch einfach ihre existierenden oder gebraucht gekaufen Geräte weiter verwenden… Vor meinem FP5 hatte ich ein Galaxy S5 (klte), knapp 10 Jahre in Verwendung (dank Wechselakku), da hat der Patch-Level auch nicht mehr gepasst und ich habe trotzdem überlebt.