Hab mir gerade ein Pixel mit GOS eingerichtet (nach 20+ Jahren Apple) und habe eine Frage zum vertraulichen Profil. Ich habe dort Google Play Services an und im Moment nur Signal (aus Aurora) installiert, das hat zwar im Hauptprofil ohne Google auch funktioniert, aber wegen des Akku-Verbrauchs hab ichs jetzt da installiert.
So generell, ist das sinnvoller Ansatz, also alle play-abhängigen Apps da rein oder wie macht ihr das? Würde eventl. Google Maps auch dort rein installieren, das könnte aber auch in einem separaten Userprofile laufen. Ein extra Nutzer macht bei Signal wenig Sinn.
Ich habe auch die GCam installiert, ins Hauptprofil, hat aber keine Netzwerk- oder Lactionrechte … sollte die auch lieber ins vertrauliche oder ist das ok?
Ganz genau. Alle Apps, die Tracker enthalten oder auf Play Services angewiesen sind, kommen in das vertrauliche Profil. Bei Nichtgebrauch schließe ich zum Beispiel die Sperre und die Apps darin werden deaktiviert.
Auf dem Hauptsystem benutze ich nur Apps aus F-Droid.
Gcam kann man m.M.n ruhig im Hauptprofil belassen. Netzwerk entziehen und fertig.
Du solltest den Signal fork „Molly (Unified Push)“ nutzen und ntfy einrichten. Dadurch sinkt der Akkuverbrauch deutlich.
Herr Kuketz hat hierzu eine Anleitung geschrieben:
das heißt, die dann alle in ein Profil? Ich habe jetzt ein eigenes Profil nur für Maps und dann noch eins mit anderen Apps wie Bank und so, die mit trackern voll sind. Ist das sinnvoll oder Quatsch?
Ich habe Mullvad VPN… aber wenn ich nur Signal in dem Profil habe, sollte das doch im Rahmen sein? Dann weiß google, dass meine VPN IP Signal laufen hat, mehr nicht… so vetstehe ich das, richtig?
Ich persönlich halte es jetzt so: alle Apps, die auf Google angewiesen sind, packe ich in das vertrauliche Profil. Und das öffne ich auch nur bewusst, sprich: das wird wieder gesperrt, sobald der Bildschirm aus ist (man kann es ja auch ständig aktiviert/offen lassen).
Im Prinzip habe ich es so gemacht wie in der Anleitung auf dem Blog. Habe auch alles aus dem Aurora-Store geladen. So muss ich mich selbst im vertraulichen Profil nicht mal bei Google anmelden, sondern es reicht es installiert zu haben. Im Hauptprofil (abgesehen von WhatsApp) nur noch F-Droid und googlefreie/trackingfreie Apps - trotzdem aber noch mit RethinkDNS.
Zwei Nachteile betreffen mich (und vielleicht auch andere, deshalb als Hinweis):
Musik-Streaming funktioniert natürlich nicht mehr, sobald der Bildschirm aus ist, weil das vertrauliche Profil gesperrt wird. Da ich eh vorhatte, nur noch lokal gespeicherte MP3 & Co. zu verwenden, ist mir das recht egal.
Meine Banking-App hat erkannt, dass sie nicht vom original Playstore geladen wurde (sondern eben über Aurora) und verweigert den Dienst. Mein Kompromiss: App auf dem Tablet installiert, das eh zuhause rumfliegt. Zwar vorgeballert mit Google, aber irgendwo brauche ich die App halt.
Aber mit jeder App steigt dann auch die genauigkeit der Identifizierung, oder? Angenommen da liegen jetzt 20 Apps und noch ein paar freie im Hauptprofil, macht das vertrauliche Profil kaum mehr Sinn, ist das dann am Ende nicht wie ein normales google Handy (abgesehen, dass der Playstore sandboxed ist?), oder verstehe ich da was falsch?
muss ich nochmal nachlesen
Ich habe Spotify im vertraulichen Profil und das läuft einwandfrei auch bei gesperrtem Display. Werde aber wohl auch auf lokale files umsteigen
Wenn alle Verbindungen durch das VPN gehen, sieht die „Gegenseite“ (Websites oder wer/was auch immer) die IP-Adresse des VPN-Anbieters.
Der VPN-Anbieter kennt logischeweise deine IP und kann sehen, wohin sich dein Gerät verbindet.
Wenn du Tracking vermeiden möchtest, hilft dir dein VPN nicht weiter (weil ja nur deine IP verschleiert wird). Du bräuchtest dann eine Vorrichtung, mit der du die Netzwerkverbindungen kontrollieren kannst, damit du siehts, welche Verbindungen z.B. die App DB Navigator aufnimmt. Dazu ist dann z.B. die App RethinkDNS geeingnet. Damit kannst du bestimmte Netzwerkverbindungen blocken, sodass Tracking verhindert wird. Hier ein Artikel von Mike dazu: https://www.kuketz-blog.de/rethinkdns-tipps-zur-bedienung-und-konfiguration/
Aber ist RethinkDNS nicht völlig sinnlos wenn man ein Pihole nutzt und unterwegs durchgehend per VPN damit verbunden ist? Der blockt doch sowieso alles was trackt.
Wenn du, wie du schreibst, dauerhaft mit einem Pihole über VPN verbunden bist, solltest du gegen Tracking geschützt sein, weil das Pihole ja Tracking verhindern kann, wenn du die entsprechenden Blocklisten nutzt bzw. bestimmt Verbindungen auf deine Blockier-Liste gesetzt hast.
Allerdings wird dann deine IP-Adresse nicht verschleiert, weil du ja über das Pihole (und die heimische FritzBox) surfst und damit ist deine IP-Adresse sichtbar.
Ich bin mir ziemlich sicher, dass Proton-VPN oder Mullvad-VPN (die deine IP verschleiern), deine FritzBox zwangsweise umgehen müssen (und damit auch Pihole).
Du kannst es ja ausprobieren: Nutze Proton-VPN auf dem Handy und schau nach, ob bei Pihole (auf dem PC oder Laptop etc.) Verbindungen auftauchen: Falls sie nicht auftauchen, werden sie wohl am Pihole vorbeigleitet.
Wenn man ein VPN von Proton oder einem anderen Provider benutzt, läuft der gesamte Verkehr über das VPN und umgeht somit Pihole.
Für mich persönlich kommt ein externer VPN-Dienstleister aber sowieso nicht in Frage. Da können die Anbieter mit noch so viel Datenschutz werben.
Ich hätte immer ein komisches Gefühl wenn der gesamte Traffic durch irgendein VPN läuft. Ist nichts für mich.
Mir reicht ein Pihole + Unbound + Wireguard völlig aus.
Habe zahlreiche Tutorials über all die Jahre vom Kuketz Blog umgesetzt und bin denke ich ganz gut aufgestellt bzgl. Datenschutz.
Ich weiß nicht, was der Play Store genau an Daten absaugt. Also ob Google über den Play Store checken kann, was an anderen Apps installiert ist. Zutrauen würde ich es Google natürlich, aber ob das unter GrapheneOS und ohne Anmeldung im Play Store möglich ist: keine Ahnung.
Hast du denn in den Optionen des vertraulichen Profils unter Vertrauliches Profil automatisch sperren entweder „Jedes Mal, wenn Gerät geperrt wird“ oder „5 Min. nach Ausschalten des Displays“ ausgewählt? Denn wenn nicht, dann ist das vertrauliche Profil die ganze Zeit offen und dann wird Spotify auch weiterspielen.
Mit einer anderen Banking-App habe ich auch keine Probleme. Nur die George-App (Erste Bank/Sparkasse in Österreich), ist da seeeehr empfindlich. Weiß gar nicht, wie oft ich die schon neu aktivieren musste …
Hej,
nur wie würdet ihr mit WhatsApp umgehen (angenommen ihr braucht es, was ich tue)?
Läuft es im vertraulichen Profil, würde das ja bedeuten, dass das Deaktivieren nicht mehr geht. Sonst kommt ja kein push mehr durch. Das hieße die Google Dienste liefen dauerhaft mit und dazu liefen einige andere weniger vertrauenswürdige Apps (Maps, Banking, DB,…) in dem Profil.
Wäre es vielleicht sinnvoller zusätzlich zum vertraulichen Profil (mit Apps für Google Play Services) einen weiteren Benutzer anzulegen und WhatsApp da rein zu packen? Oder würdet ihr es mit ins vertrauliche Profil packen?
Für mich ist die Frage noch hypothetisch, da ich momentan noch iOS nutze. Ich mir aber ein Pixel mit Graphene anschaffen will und momentan durchspiele wie ich das mit möglichst wenig Komfortverlust gestalten kann. Deswegen nicht wundern sollte ich gedankliche Fehler gemacht haben…
Ich habe WhatsApp, als einzige proprietäre App, im Hauptprofil. Was viele nicht wissen: Facebook bietet nämlich auf der offiziellen Website die APK zum Download an. Sprich: die läuft auch ohne Play Store. Aaaaaber: mit Push-Benachrichtigungen gibt es durchaus Probleme. Meist kommen sie nicht durch, manchmal schon - so ganz bin ich noch nicht dahinter gestiegen.
Eventuell verschiebe ich sie dann beizeiten eh doch noch ins vertrauliche Profil und hole mir halt die Nachrichten, wann ich will - und nicht wann sie kommen.
Zu Google Maps gibt es gute FOSS Alternativen, z.B. Organic Maps…Ansonsten habe ich jetzt die Commerzbank TAN App im vProfil, Proton VPN ist immer an, gezogen aus dem Play Store, funktioniert einwandfrei. Messanger machen für mich vProfil auch Sinn, spart Akku.
Zur weiteren Kompartmentalisierung gibt es diese Möglichkeiten:
Hauptprofil → bei mir nur mit F-Droid Apps und Whatsapp
Arbeitsprofil (mit Shelter erstellt) → für proprietäre Apps, Sandboxed Play Services sind auch installiert wegen Push-Benachrichtigungen
Vertrauliches Profil → für Banking-Apps, da ich hier den Mehrwert sehe, dass man dieses Profil noch mit einem separaten Fingerabdruck oder PIN absichern kann und weil ich diese Apps auch nicht auf dem „Desktop“ brauche (ist mit Apps im vertraulichen Profil nicht möglich)
Separates Nutzerprofil (mehrere möglich) → benutze ich nicht, da ich nicht wüsste wofür, aber das wäre noch weiter „abgetrennt“, z.B. hat es eine eigene Zwischenablage (Clipboard) und getrennt gespeicherte WLAN/Bluetooth-Verbindungen
Wegen RethinkDNS … Ich habe dnsforge.de als DNS eingestellt, abgesehen vom monitoring, macht das nicht das gleiche wie Rethink? Ich hatte auf iphone Adguard und dann zu dnsforge gewechselt, ist das die gleiche Thematik?
