Sind Custom ROM´s sicher?

[WWolf]

Hallo,
ich wollte mal generell wissen wie sicher Custom ROM´s (ohne Root) sind? Benutzt ihr auf euren Custom ROM Geräten eure Hauptaccounts, Banking usw.?

 

[BaamAlex]

Warum sollten sie es nicht sein? Custom Roms sind ja nichts weiter als das was an Stock Firmware vorher auf deinem Gerät war. Nur eben ohne die ganze Bloatware. Clean eben. Und ja ich nutze meine Accounts beispielsweise auf Custom Roms.

 

[hanspampel]

Custom Roms sind ja nichts weiter als das was an Stock Firmware

Nicht vergessen das es noch LAOS und RR etc. Ableger gibt. Die haben mit der Stock FW nicht mehr viel gemein. Aber da die auf dem Source Code von Google aufbauen, sind die ebenfalls sicher.
IdR sind Custom ROMs aber mit Root versehen. Gibt afaik nur wenige Ausnahmen wo man noch selber Hand anlegen muss wenn man Rootrechte haben möchte.

 

[BaamAlex]

Nicht vergessen das es noch LAOS und RR etc. Ableger gibt.

Ich meinte damit auch das Prinzip dahinter. Im Endeffekt sind die nix anderes als die Stock Firmwares die auf Smartphones liegen. Ist mir schon klar gewesen dass die mit Stock FW nicht viel gemeinsam haben.

 

[WWolf]

Ich hab z.Bspl. [ROM][8.1.0][trlte] Resurrection Remix 6.1.0 [20180613][OFFICIAL] von XDA auf dem Note 4 ohne Rootzugang. Die läuft für mich super genial, mal ein Lob an das Team von RR, frage mich aber immer bei den ROM ob sie wirklich sicher sind.

Bei diesem ROM bekomm ich die Warnung: Trust Systemsicherheit : Dieser Build wurde mit öffentlichen Schlüsseln signiert. Was heisst das denn?

Letzter Android Sicherheitspatch ist drauf und die komplette Android Sicherheit ist auch an, aber ist das so sicher? Theoretisch kann doch an der Software rummanipuliert werden oder irre ich mich da?

Sorry für die vielleicht dummen Fragen, kenne mich damit wenig bis gar nicht aus.

 

[BaamAlex]

ob sie wirklich sicher sind.

Wenn dem nicht so wäre hätten die nicht so eine gute "Bewertung" im Internet sich erarbeitet.

Theoretisch kann doch an der Software rummanipuliert werden oder irre ich mich da?

Theoretisch ja. Aber was hätten die davon? Richtig. Nix. Dann würden die nicht schon seit 3 Betriebssystemen oder noch mehr die Roms entwickeln. Und Spenden würden auch keine fließen. Wenn die Roms so mit Spyware oder Bloatware zugekleistert wären.

 

[SaschaKH]

Klar kann da irgendwo eine Hintertür eingebaut sein, ist ja auch bei einigen Stock ROMs schon raus gekommen. Gerade bei ROMs wo alles auf github.com liegt, wie z.B. bei LineageOS oder RR. Da kannst Du aber den Code komplett durchschauen und dann auch selbst compilieren. Klar können das nicht zu viele hier, aber andere Leute haben es schon gemacht (da ist ja auch ein recht großes Team dran) und hätten recht sicher was gesagt wenn ihnen da was komisch vorgekommen wär.

Die Vorgehensweise erst mal Bespitzelungscode einzubauen, dann das ganze auf github.com abzulegen und zu hoffen das es schon keiner merkt, halte ich sowieso für recht dumm, das würde recht sicher bald einer merken, aber das hat BaamAlex mit anderen Worten im Prinzip auch schon gesagt.

Eine andere Sache ist natürlich ob ich online Banking oder ähnliches auf meinem Smartphone überhaupt will, halte das generell für ein Sicherheitsrisiko, wenn auch dank Verschlüsselung nicht mehr so groß. Zumindest sollte ich es dann aber nicht nützen wenn ich in einem offenen WLAN bin.

 

[BaamAlex]

Und außerdem gibt es ja nicht nur die Teams die die Roms herstellen und Code basteln oder kompilieren. Sowohl auf xda als auch hier bei AH gibt es genug Leute die ein bisschen Ahnung von dem Zeg haben und Codes analysieren. Wäre da irgendwas nicht so sicher dann wäre dass den Communities schon längst aufgefallen.

 

[rudolf]

Und genau aus diesem Grund sind die sicherer als das Original.

 

[WWolf]

2 Fragen hab ich noch:

1.) Bei dem [ROM][8.1.0][trlte] Resurrection Remix 6.1.0 [20180613][OFFICIAL] ROM bekomm ich die Warnung: Trust Systemsicherheit : Dieser Build wurde mit öffentlichen Schlüsseln signiert. Was heisst das denn?

2.) Wie kann ich denn ROOT aktivieren? Einfach SuperSU installieren?

 

[rudolf]

1. Weiss ich nicht
2. Nimm Magisk, ist ein .zip und wird per TWRP geflasht.

 

[vetzki]

zu 1. das die aosp testkeys verwendet wurden und derjenige sich nicht die mühe gemacht hat "release-keys" zu verwenden
Signing Builds for Release  |  Android Open Source Project

 

[rudolf]

1. Danke, jetzt weiss ichs

 

[WWolf]

Habs jetzt gerootet mit Magisk, danke @rudolf für den Tipp. Hab sonst bei meinen getesteten ROM´s immer SuperSU genommen.

Stellen die Testkeys denn wieder ein Sicherheitsrisiko dar? Oder wie muss man mit der Information umgehen?

 

[BaamAlex]

Stellen die Testkeys denn wieder ein Sicherheitsrisiko dar?

Solange dein Telefon nicht in seiner Leistung beeinträchtigt ist oder einfach anfängt zu qualmen ist alles tutti.

 

[vetzki]

...
Stellen die Testkeys denn wieder ein Sicherheitsrisiko dar? Oder wie muss man mit der Information umgehen?

jein,
ich würde mal sagen theoretisch ja aber in der praxis eher weniger.
als Beispiel:

die Telefon (bzw. Dialer) app ist eine Systemapp mit dem Paketnamen com.android.dialer
wenn diese jetzt mit dem Testkey signiert wurde könnte ich z.b.
selbst ein Paket mit dem Namen com.android.dialer erstellen und diese mit dem gleichen Testkey signieren.
wenn du jetzt die App installieren würdest würde sie als Update für com.android.dialer angesehen und installiert werden (in die ich theoretisch unerwünschte dinge, wie z.b. sende die Kontaktinformationen zu meinem Server xyz einbauen könnte).

edit:
also imo solange du nicht irgendwelchen Käse von sonstwo installierst sollte es eigentlich kein großes Problem darstellen

 

[WWolf]

Danke für deine ausführliche Info, echt super!!

Also, wenn ich ein ROM installiere (von bekannten grossen Gruppen wie z.Bspl. RR oder Linage) sollte ich darauf achten, das ich möglichst wenige Apps aus "fremden Quellen" zusätzlich installiere und besser den PlayStore nutze um Apps zu installieren. Theoretisch brauchen User wie ich auch nur Magisk oder SuperSU und TWPR (App) als extra Apps, richtig?

Desweiteren ist die Frage, in wie weit die Sicherheit von Android 8 auf so einem Gerät ausgehebelt werden kann. Wie ich gesehn hab sind da ja div. Sicherheitsfeatures mit an Board ( z.Bspl. Trust).

 

[SaschaKH]

Meinst Du https://play.google.com/store/apps/details?id=me.twrp.twrpapp ? Nein die App brauchst Du nicht und wenn dann kannst Du sie aus Google Play installieren. Super User Apps sind glaub nicht mehr erlaubt, weil sie die Userrechte manipulieren oder so.

 

[BaamAlex]

Desweiteren ist die Frage, in wie weit die Sicherheit von Android 8 auf so einem Gerät ausgehebelt werden kann. Wie ich gesehn hab sind da ja div. Sicherheitsfeatures mit an Board ( z.Bspl. Trust).

Ich weiß echt nicht wo da das Problem liegt? Entweder haust du dir eine Custom Rom auf das Telefon oder lässt es. Keine Sicherheitsmechanismen werden ausgehebelt oder sonst was. Die einzige Hürde die dir meist im Weg steht ist der Bootloader. Der muss zumeist geöffnet/entsperrt werden. Aber das stellt kein Problem dar. Ein Nachteil ist, dass es möglich ist, dem Gerät durch unsachgemäße Veränderungen an der Software Schaden zuzuführen. Im schlimmsten Fall „brickt“ man das Gerät. Entschuldige bitte für diese harsche Antwort. Aber wenn es dir zu unsicher wäre mit einer Custom Rom zu arbeiten als Daily Driver dann bleibe auf Stock. Ich würde aber jedem empfehlen auf Custom Rom umzusteigen. Sofern es für das jeweilige Gerät Support gibt.

Also, wenn ich ein ROM installiere (von bekannten grossen Gruppen wie z.Bspl. RR oder Linage) sollte ich darauf achten, das ich möglichst wenige Apps aus "fremden Quellen" zusätzlich installiere und besser den PlayStore nutze um Apps zu installieren. Theoretisch brauchen User wie ich auch nur Magisk oder SuperSU und TWPR (App) als extra Apps, richtig?

Du kannst dir auch aus fremden Quellen Apps installieren. Man sollte sich eben nur vorher erkundigen ob der Betreiber der APK's vermehrt Viren in seine Daten schmeißt. Lesen ist da die halbe Miete.

 

[WWolf]

Kein Problem, "harsche" Antworten bekommt man mittlerweile in allen Foren, man gewöhnt sich daran.

Mir persönlich geht es darum, zu verstehen wie das Thema ROM´s und ihre Sicherheit zu bewerten ist. Da bin ich auf die Antworten von Experten oder langjähriger Nutzern angewiesen, die mir das erklären, so das ich es verstehe, auf was man achten sollte und wo die Gefahren liegen. Mal eben rooten und nen ROM draufballern ist ja heute total easy für fast jeden User geworden.
Mich interessiert halt der Faktor "Wie sicher ist so ein XYZ ROM" im alltäglichen gebrauch. Du darfst nicht vergessen, wenn du es als "daily driver" nutzt, hast du dem ROM div. Passwörter und Daten anvertraut: Dein Google-Account, Mail Account, evtl. Banking-Account, Versicherung, deinen Standort, Browserverlauf, priv. Bilder und und. Da kommt schon einiges zusammen, was die Frage nach der Sicherheit für mich interessant macht.

..und deshalb frage ich hier nach um das System besser zu verstehn.