Wenn du dein neues Android-Smartphone das erste mal startest, wirst du von etlichen vorinstallierten Google-Apps begrüßt. Doch neben den sichtbaren Funktionen, wie der Suche, der E-Mail-App GMail, dem Play Store und vielem mehr, sind auch etliche weitere Google-Dienste tief in deinem Android-System versteckt.

Diese wollen wir dir vorstellen und zeigen, was alternative Androids wie GrapheneOS, CalyxOS oder LineageOS unternehmen, um dein Smartphone wirklich googlefrei zu halten, ohne dabei an Komfort einbüßen zu müssen.

Der Verbindungscheck

Jedes mal, wenn sich dein Smartphone mit einem WLAN verbindet, baut es eine Verbindung zu Google-Servern auf, um zu überprüfen, ob auch tatsächlich eine Internetverbindung besteht und Webseiten abgerufen werden können. Wenn der Check fehlschlägt, wird ein kleines Ausrufezeichen oder X neben dem WLAN-Symbol angezeigt.

Außerdem werden bei dieser Abfrage auch sogenannte Captive Portals erkannt. Das sind die Webseiten, auf denen die Bedingungen von WLANs in Hotels, der Bahn, manchen Restaurants oder Cafés akzeptiert werden müssen, bevor losgesurft werden kann.

Durch den Check erfährt Google allerdings die IP-Adresse des Internetanschlusses, den Zeitpunkt des Zugriffes sowie den aktuell verwendeten Browser. Dabei handelt es sich zwar nicht um besonders intime Daten, aber datenschutzsensible Nutzer*innen teilen auch diese Daten lieber nicht mit Google.

Darunter der Sicherheitsforscher und Datenschützer Mike Kuketz, der selbst einen solchen Server für Verbindungschecks betreibt. Diesen kannst du selbst in deinem Android hinterlegen und es dadurch etwas googlefreier machen.

Man kann den Verbindungscheck auch ganz deaktivieren - wobei dann auch Captive Portals nicht mehr erkannt werden.

Ortsbestimmung – wenn Google nicht wissen soll, wo du bist

Die Standortbestimmung auf Smartphones ist nicht nur für die Navigation auf Fahrten, Reisen oder Wanderungen kaum mehr wegzudenken. Dabei kommt meist GPS zum Einsatz – ursprünglich eine Militärtechnologie, die durch das Empfangen von Satellitensignalen den genauen Ort bestimmt. Entsprechend funktioniert die Technik ganz ohne das Senden von Daten durch das Endgerät – dauert aber vergleichsweise lange.

Um dies zu beschleunigen wurde A-GPS (Assisted Global Positioning System, zu deutsch unterstütztes Globales Positionierungssystem) entwickelt. Das Smartphone stellt seinen ungefähren Standort über die Funkzelle, in die es gerade eingebucht ist, fest und schickt den Ort an einen sogenannten SUPL-Server (Secure User Plane Location). Dieser schränkt den Suchbereich der GPS-Satellitensignale auf Basis des Standortes ein und das Smartphone kann mit den Informationen seinen Standort deutlich schneller bestimmen.

Bei der Technik gibt es allerdings ein Datenschutzproblem, denn das Smartphone schickt seinen ungefähren Standort, die IP-Adresse sowie eine eindeutige Nummer (IMSI), mit der die SIM-Karte im Smartphone identifiziert wird, an den SUPL-Server. So lässt sich der ungefähre Standort und die Person, der das Smartphone gehört, miteinander in Verbindung bringen. Dazu kommt, dass die SUPL-Server fast ausnahmslos von Google betrieben werden.

Viele alternative Androids haben auf dieses Problem reagiert. Die meisten haben die eindeutige Identifikationsnummer aus ihren Anfragen bei den SUPL-Servern entfernt, da diese für die Standortbestimmung nicht notwendig ist. Andere gehen zusätzlich einen Schritt weiter und betreiben einen Proxy-Server, über den die SUPL-Anfragen der Nutzer*innen an Google weitergeleitet werden. Dadurch bekommt Google auch die IP-Adresse der Nutzer*innen nicht mehr.

GrapheneOS betreibt einen solchen Proxy-Server, entfernt die eindeutige Nummer und bietet zudem die Möglichkeit SUPL in den Einstellungen komplett zu deaktivieren. Auch ohne alternatives Android kannst du A-GPS bzw. den SUPL-Server deaktivieren - allerdings mit etwas mehr Aufwand. Auch dann erhält Google die oben genannten Daten nicht mehr, allerdings mit dem Nachteil, dass GPS erheblich langsamer wird. Eine Anleitung bietet das Kuketz-Blog.

Push it — Push it real Good*

Auch Push-Nachrichten gelangen meist über den Google-Dienst Firebase Cloud Messaging (FCM, Früher: Google Cloud Messaging (GCM)) auf dein Android-Gerät. Zu diesem unterhält das Smartphone eine kontinuierliche Verbindung und wird aufgeweckt, wenn es eine neue Nachricht oder Benachrichtigung gibt. Das spart erheblich Akku, weil nicht für jede App eine extra Verbindung offen gehalten werden muss.

Häufig empfangen die Apps nur einen Hinweis über den Push-Dienst, dass eine neue Benachrichtigung vorhanden ist. Manche Anbieter schicken aber auch Nachrichten über den Google-Dienst. Auch ohne die Nachricht erfährt Google jedoch ob und wie intensiv eine Anwendung genutzt wird.

Zudem können eigentlich anonym genutzt Messenger oder andere Apps durch den Dienst deanonymisiert werden, da Googles Push-Dienst diese mit Daten wie der Telefonnummer, der eindeutigen Gerätenummer (IMEI) oder anderen Kontaktdaten verknüpfen kann. In den USA wird dieser Weg beispielsweise von Strafverfolgungsbehörden genutzt.

Auf alternativen Androids stehen Googles Play-Dienste und damit auch der Push-Service standardmäßig nicht zur Verfügung – allerdings setzen viele alternative Androids auf einen Nachbau mit dem Namen MicroG. Mit diesem können die Google-Dienste auch auf einem googlefreien Smartphone genutzt werden – was natürlich trotz allem Komfort Datenschutz- und Sicherheitsnachteile mit sich bringt.

CalyxOS lässt den Nutzer*innen bei der Einrichtung die Wahl, ob sie ihr Smartphone mit MicroG nutzen möchten oder nicht. Bei /e/OS ist es standardmäßig aktiv. GrapheneOS ist komplett googlefrei, die originalen Play-Dienste können jedoch einfach in eine Sandbox nachinstalliert werden und damit auch der Push-Dienst genutzt werden. Dadurch erhält Google zumindest weniger Berechtigungen auf dem Smartphone und dadurch insgesamt etwas weniger Daten.

Ist Googles Push-Dienst vorhanden wird er beispielsweise auch von den sicheren Messengern Signal und Threema genutzt. Alternativ bietet Threema einen eigenen Push-Dienst an. Ist Googles Push-Dienst nicht vorhanden fällt Signal auf eine direkte Verbindung zum Signal-Server zurück, die bei manchen Nutzer*innen für einen hohen Akkuverbrauch sorgt.

Eine weitere Alternative ist ntfy, ein unabhängiger, quelloffener Push-Dienst. Er lässt sich aus dem F-Droid-Store installieren und wird dann von kompatiblen Apps erkannt. Nachteil: Noch gibt es nicht viele Apps, die ntfy unterstützten. Mehr Informationen dazu bei dem Sicherheitsforscher Mike Kuketz.

* Zitat: Salt-N-Pepa - Push It

Remote Provisioning: Eindeutige Schlüssel auf Google-Servern

Seit Android 8 bietet das Smartphonebetriebssystem Unterstützung für eine hardwarebasierte Beglaubigung. Dazu wird beim ersten Start des Betriebssystems ein Schlüssel erstellt und mit dessen Hilfe ein Zertifikat von einem Google-Server angefordert und anschließend regelmäßig aktualisiert. Diesen Dienst als Vertrauensbasis für beispielsweise den Googles SafetyNet/Play Integritätscheck (siehe unten), nutzen aber auch digitale Autoschlüssel für Carsharing.

Neben Schlüssel und Zertifikat werden auch Daten wie die verwendete Android-Version, der Gerätename sowie die IP-Adresse an Google übermittelt. Die meisten alternativen Androids ändern daran nichts - darunter beispielsweise CalyxOS, LineageOS oder iodéOS. GrapheneOS betreibt einen Proxyserver über den die Daten gesendet werden, damit Google weniger Daten erhält. Beispielsweise keine IP-Adresse.

Googles Smartphone-Integritätscheck

Mit dem Play Integritätscheck (Play Integrity API, früher SafetyNet) überprüft Google dein Smartphone auf Integrität. So wird beispielsweise geprüft ob es sich um ein echtes, unverändertes Android mit Googles Play-Diensten handelt und die getestete App aus Googles Playstore bezogen und nicht verändert wurde. Auch ob mit einem Play-Konto für die App bezahlt wurde, kann geprüft werden.

Sind im alternativen Android weder Play-Dienste noch der Nachbau MicroG vorhanden, findet schlicht keine Überprüfung statt. Sind diese vorhanden, funktionieren die Prüfungen mit Einschränkungen: Einerseits muss beispielsweise MicroG die aktuelle Prüfimplementierung unterstützten, andererseits handelt es sich bei alternativen Androids naturgemäß um Veränderungen am System, die entsprechend detektiert werden können.

Apps können Googles Integritätscheck verwenden, um das Gerät zu überprüfen zu lassen und je nach Ergebnis bestimmte Funktionen zu verweigern, eine Authentifizierung anzufordern oder die App-Nutzung zu unterbinden.

Beispielsweise fragen manche Banking- oder Bezahl-Apps die Integrität ab und verweigern ihren Dienst – auch wenn die Geräte wie im Falle von GrapheneOS deutlich sicherer als „normale“ Androids sind. Viele Bezahl-Apps funktionieren aber auch unter alternativen Androids.

Google und die Konfigurationen der Mobilfunkunternehmen

Die meisten wissen gar nicht, dass sie eine App namens Carrier Services von Google auf ihrem Smartphone installiert haben - doch laut Medienberichten werden manche Nutzer*innen stutzig, wenn die App ein Update verlangt, den Akku oder die Datenverbindung deutlich belastet. Laut Google hilft die App Mobilfunkunternehmen dabei, Einstellungen auf dem Smartphone vorzunehmen und so deren Netzwerke zu nutzen.

Das es die App nicht braucht, zeigen alternative Androids wie CalyxOS, DivestOS und GrapheneOS, welche die Mobilfunk-Konfiguration weitgehend in das System integriert haben und damit auch proprietären Code von Mobilfunkunternehmen mit weitreichenden Berechtigungen außen vor lassen. Ein Datenschutz- und Sicherheitsvorteil – trotzdem funktionieren die SIM-Karten der Mobilfunkunternehmen problemlos.

Andere alternative Androids wie LineageOS, /e/OS oder iodéOS übernehmen die Carrier-Service-App von Google. Beim Inbetriebnehmen der SIM-Karte wird eine Verbindung zu Google aufgebaut, die Informationen über das Gerät enthält. Anschließend werden Systemeinstellungen für das Modem und den Netzbetreiber (z.B. APN-Einstellungen) gesetzt.