Wenn wir das Argument »repressive Staaten« mal außen vor lassen, gibt es aus meiner Sicht keinen Grund, weiterhin die Google-Server für einen Captive-Portal-Check zu nutzen. Leider gibt es in CalyxOS nur die Option an oder aus. Ein alternativer Captive-Portal-Check-Server wird nicht angeboten. Aber sobald das Häkchen unter »Einstellungen -> Netzwerk & Internet -> Verbindungsprüfung« entfernt ist, nimmt CalyxOS keine Verbindungen mehr zu »www.google .com« bzw. »connectivitycheck.gstatic .com« auf. Die Entfernung des Häkchens bedeutet allerdings auch, dass Captive-Portals dann nicht (immer) zuverlässig erkannt werden können. Man muss den Captive-Portal-Check allerdings nicht vollständig deaktivieren. Deshalb habe ich als alternativen Captive-Portal-Check-Server-Dinest captiveportal.kuketz .de installiert. Nach der Beantwortung der Anfrage durch den nginx-Webserver werden alle Informationen wie die IP-Adresse sofort verworfen und in keinem Logfile gespeichert. Google wird über diese Funktion jedenfalls keine Daten mehr bekommen.

Sofern der Nutzer microG installiert, ist das System gleich etwas gesprächiger – was natürlich nicht ungewöhnlich ist, denn microG ist eine (nicht vollständige) Nachbildung der Google-Play-Dienste. Im Gegensatz zu den Google-Play-Diensten verfolgt microG die Nutzeraktivitäten auf dem Gerät nicht und anonymisiert die Datenbertragung, so dass Google damit keine Zuordnung und Profilerstellung konstruieren kann. Weiterhin können Nutzer teilweise selbst bestimmen, welche API-Funktionen (Google Cloud Messaging, SafetyNet, das Exposure Notification Framework) sie nutzen möchten.In der Standardkonfiguration von microG nimmt das System regelmäßig Kontakt zu Google auf, um über diesen Kanal Push-Notifications (von Apps) zu empfangen. Das erfolgt über eine TCP-Verbindung zur Gegenstelle mtalk.google .com (74.125.206.188:5228) – einem Server von Google.

---

Der mitgelieferte Browser ist der Chromium-Fork Bromite, der bereits einen Werbe- bzw. Trackingblocker integriert hat. In der Serie »Browser-Check« von Mike kuketz schnitt der Browser insgesamt gut ab. Abgesehen von der Aktualisierung der Filterlisten initiiert der Browser beim Start keine weiteren Verbindungen – abgesehen vom Nachladen der Favicons für die mitgelieferten Favoriten/Lesezeichen. Als Standardsuchmaschine ist DuckDuckGo eingestellt. Über Einstellungen -> Suchmaschinen lässt sich dies anpassen. Anbei der Verbindungsaufbau zu www.bromite .org, um von dort die aktuelle Filterliste zu beziehen. Insgesamt weist der Browser ein unauffälliges Datensendeverhalten auf.

Der Standort eines Smartphones kann auf verschiedene Arten ermittelt werden. Die wohl wichtigsten Hilfsmittel dafür sind GPS/GLONASS, WiFi und das Mobilfunk-Netzwerk. Im Falle von GPS ermittelt das Gerät selbst seine Position durch Kommunikation mit Satelliten. Da die Bestimmung des Standorts via GPS vergleichsweise lang dauert, wird zusätzlich Assisted GPS (abgekürzt als A-GPS) eingesetzt. A-GPS ist ein System, das die Zeit bis zum ersten Fixieren eines satellitengestützten Positionierungssystems (GPS) meist deutlich verbessert – die GPS-Positionsbestimmung wird also beschleunigt. Wie funktioniert das? Bei Mobiltelefonen ist anhand der Funkzelle, in der euer Gerät eingebucht ist, der ungefähre Aufenthaltsort bereits bekannt. Via Secure-User-Plane-Location-Protokoll (SUPL) wird nun dieser ungefähre Standort an einen SUPL-Server gesendet, der anhand dieser Informationen den Suchbereich für die Satellitensignale einschränkt und somit eine schnelle GPS-Positionsbestimmung ermöglicht. Die Kommunikation mit dem SUPL-Server erfolgt via TCP/IP über das UserPlane Location Protocol. Solch einen SUPL-Server nutzen Android-Systeme, um die Ortungszeit für GNSS (GPS, GLONASS usw.) erheblich zu beschleunigen. Bei CalyxOS wird hierbei die Gegenstelle supl.google.com über Port 7275 kontaktiert.

Problematisch dabei ist allerdings, dass bei so einer Anfrage auch die personenbeziehbare IMSI-Nummer an den SUPL-Server übermittelt wird – was technisch gesehen eigentlich nicht notwendig wäre. Die Kombination der IMSI-Nummer mit den Funkzellen-IDs ermöglicht dem Betreiber eines SUPL-Servers, die relativ genaue Lokalisierung eines Nutzers, sobald das Smartphone eine SUPL-Anfrage initiiert. Das SUPL-Protokoll ist also eigentlich relativ sinnvoll, nur ist fraglich, weshalb hierbei die IMSI-Nummer übermittelt wird – und dann ausgerechnet noch an Google. Im CalyxOS wurde die Android übliche »SUPL requests« entfernt. Damit dürfte die Standortbestimmung via SUPL nun etwas datenschutzfreundlicher sein.

Zur Beschleunigung der Standortbestimmung nutzt CalyxOS neben SUPL zusätzlich PSDS-Hilfsdaten. PSDS steht für Predicted Satellite Data Service, der Informationen über die Umlaufbahnen, den Status der Satelliten, Daten über die Umweltbedingungen auf der Erde und Informationen zur Zeitanpassung liefert. Die statischen PSDS-Daten bezieht CalyxOS von der Gegenstelle »gllto.glpals.com« (Broadcom): Außer der IP-Adresse werden bei der Abfrage der sogenannten Almanache keine Informationen übermittelt. Es handelt sich um einfache GET-Anfrage, ohne Parameter.

Auch bei der microG-Variante erfolgt zur Beschleunigung der Standortbestimmung eine SUPL-Anfrage an supl.google.com – es wird ebenfalls die IMSI-Nummer an Google übermittelt. Zusätzlich erfolgt die Positionsbestimmung mittels Mozilla Location Service: "Der Mozilla Location Service (MLS) ist ein offener Dienst, mit dem Geräte ihren Standort auf der Grundlage von Netzinfrastrukturen wie Bluetooth-Beacons, Mobilfunkmasten und WiFi-Zugangspunkten bestimmen können. Dieser netzbasierte Standortdienst ergänzt satellitengestützte Navigationssysteme wie A-GPS."
Neben Informationen zum aktiven/verbundenen Mobilfunkmast werden Informationen von allen umliegenden bzw. in der Empfangsreichsweite des Smartphones befindlichen WiFi-Netzwerkinformationen ausgelesen und übermittelt. Dazu zählt bspw. die MAC-Adresse der Router, der Sendekanal und ebenfalls die Signalstärke.Auf die Standortbestimmung mittels Assisted GPS (abgekürzt als A-GPS) hat man als Nutzer wie bereits dargestellt keinen Einfluss. Auf die Standortbestimmung über microG bzw. die integrierten Location-Module schon:
Bei der erstmaligen Initialisierung von microG und ebenfalls in vordefinierten Zuständen (bspw. nach jedem Neustart) nimmt microG eine Verbindung zu Google bzw. der Gegenstelle android.clients.google.com auf. Bei dieser Verbindung wird das Gerät zur Nutzung von Google-Diensten vorbereitet. Die übermittelten Informationen sind gekürzt dargestellt, dennoch kann man einiges herauslesen. Es werden etliche Gerätedaten (Gerätemodell, Sprache, Land, installierte System-Bibliotheken, Hardware-Features, CPU-Type, UUIDs, Android-Version etc.) an Google übermittelt.

"Generell sind die Daten, die bei der Geräte-Registrierung gesendet werden, soweit möglich, praktisch anonymisiert. Wenn der Speicher des Geräts zurückgesetzt wird, ist es aus Googles Sicht nicht mehr wiederzuerkennen. Die gerätespezifischen Daten sind alle nur Modell-spezifisch, aber nicht auf das individuelle Gerät zugeschnitten – alle Motorola Moto G52 mit CalyxOS und deutscher Sprache sehen für Google also gleich aus."

microG-Entwickler Marvin Wißfeld, Berlin

Diese Registrierung bzw. Anmeldung bei Google lässt sich über microG-Einstellungen -> Google Geräte-Registrierung deaktivieren. Nur sollte man sich vor der Deaktivierung darüber im Klaren sein, dass anschließend Push-Notifications, SafetyNet und weitere API-Komponenten nicht mehr (korrekt) funktionieren. Die Deaktivierung des Schiebereglers kommt also einer Stilllegung von microG gleich.

Das ursprüngliche Motto »Don’t be evil« von Google ist längst Geschichte. Unter dem Mutterkonzern Alphabet gilt seit Oktober 2015 das Motto: »Do the Right Thing«, von dem wohl nur die Chefetage von Alphabet bzw. Google wissen wird, was damit tatsächlich gemeint ist. Ungeachtet dieser »Image-Korrektur« gilt das Hauptinteresse des Konzernz der Sammlung und Auswertung möglichst vieler Daten.

Google ist längst mehr als eine Suchmaschine: YouTube-Videos, E-Mails über Gmail, Navigation per Google Maps, der Chrome-Browser oder das weit verbreitete Android-System – die Datenkrake ist überall. Bei jeder Nutzung dieser Dienste und Produkte hinterlassen wir Datenspuren, die Google wiederum sammelt, auswertet und in einem Nutzerprofil zusammenführt.

Diese bereits im Jahr 2010 oben zitierte getätigte Bemerkung von CEO Eric Schmidt ist heute aktueller denn je. Android und andere Google-Produkte beziehungsweise Dienste sind perfekt ineinandergreifende Zahnräder, die dem Nutzer eine Illusion der Kontrolle über seine Daten vortäuschen. Google setzt auf 'Dark Patterns' bzw. 'Nudging', um Datenschutz-Einstellungen zu verstecken, diese missverständlich darzustellen oder den Nutzer mit irreführenden Formulierungen vom Schutz seiner Privatsphäre abzuhalten.

Android

Das von der Open Handset Alliance entwickelte Android Betriebssystem für Mobilgeräte, von Google gegründet und lizenziert, hat einen Marktanteil von gut 80 Prozent (Apple iOS knapp 20 Prozent), während andere mobile Betriebssysteme in Deutschland quasi keine Rolle mehr spielen.

Zwar ist das Betriebssystem Open Source, aber viele der Anwendungen hängen von Google Play Services (GMS) ab. Diese GMS-Software ist proprietär, das bedeutet, diese Software im Gegensatz zu Open-Source-Software, eine Software deren Nutzung und Weiterverbreitung durch Google stark eingeschränkt wird, über Softwarepatente, das Urheberrecht und Lizenzbedingungen. Erschwert wird die Nutzung zusätzlich, dass Standards und Schnittstellen nicht öffentlich gemacht werden. Von Android Version zu Android Version hat Google immer mehr Teile des offenen Betriebssystems in das geschlossene GMS verschoben. Die Konsequeznen daraus sind u. a., das eine Vielzahl von Apps ohne installiertes GMS nicht oder nicht richtig funktionieren. Google hat Abhängigkeiten geschaffen, denen sich die eine übergroße Mehrheit an App-Entwicklern beugt.

Mitte August 2022 veröffentlichte Google Android 13 (Tiramisu), Anfang Oktober 2023 Android 14 (Upside Down Cake[). Seitdem sind die Hersteller von Android-Smartphones und die CustumROM Community dabei, die Versionen der Betriebssysteme auf ihre Geräte zu portieren. Doch der Marktbeherrscher Google hat längst das neue Kapitel Android 15 geöffnet. Seit 12. April 2024 ist die erste öffentliche Beta-Version von Android 15 freigegeben.

Google hat Ende März 2024 seine Art der Entwicklung und Bereitstellung von Android (und damit auch von AOSP) komplett geändert. Android 14 QPR2, das auch als 'Feature Drop Release' bekannt ist, wird die erste "trunk stable" Version von Android sein. Das bedeutet, dass Android 14 QPR2 eine Art neue Android-Hauptversion vor Android 15 sein wird, und - dass der Arbeitsaufwand für die Weiterentwicklung der CustomROM Entwickler erhöht wird. Danke, Google.

DNS (Domain Name Service) Google DNS-Server (wie 8.8.8.8 und 8.8.4.4) wer­den in An­droid stan­dar­dmäßig ver­wen­det. Da­durch kann Google po­ten­ziell alle Auf­rufe von In­ter­net­ser­vern und -dien­sten vom Be­triebs­sys­tem oder von An­wen­dun­gen, die vom Be­nut­zer aus­ge­führt wer­den, ver­fol­gen.

Con­nec­ti­vi­ty Check Beim Ein­schal­ten ei­nes Android-Te­le­fons wird eine Kon­nek­tiv­itäts­prü­fungs­fun­ktion als HTTP-An­fra­ge an ei­nige Google-Ser­ver aus­ge­führt, um si­cher­zu­stel­len, dass der In­ter­net­zu­gang in IPv4 und IPv6 ver­füg­bar ist. Da­durch er­fährt Google, dass ein Google An­droid-Ge­rät ge­star­tet wurde.

NTP (Netz­werk-Zeit­pro­to­koll) Tra­di­tio­nell wer­den NTP-Ser­ver von frei­wil­li­gen Or­ga­ni­sa­ti­onen auf der gan­zen Welt un­ter­hal­ten, um je­des Be­triebs­sys­tem bei der Syn­chro­ni­sier­ung mit der kor­rek­ten Zeit über das In­te­rnet-Netz­werk zu un­ter­stüt­zen. Google be­treibt sei­ne ei­ge­nen NTP-Ser­ver und An­droid ver­wen­det stan­dar­dmäß­ig Google NTP-Ser­ver.

Die Kom­po­nen­te "Google Play-Ser­vices" bie­tet den An­wen­dun­gen eine Reihe von Dien­sten an. Ei­ner die­ser Dienste ist der "Net­work Lo­ca­tion Pro­vi­der". Da­bei han­delt es sich um ei­nen Geo­lo­ka­li­sie­rungs­dienst, der in ein­igen Fäl­len die Geo­lo­ka­li­sie­rung schnel­ler und effi­zien­ter macht, ins­be­son­dere bei der Ver­wen­dung in Ge­bäu­den. Stan­dard­mäß­ig wird der Google-Geo­lo­ka­li­sie­rungs­dienst ver­wen­det. Google kennt da­her den geo­gra­fi­schen Stand­ort al­ler An­droid-Smart­phones mit In­ter­net­zu­gang in Echt­zeit und welt­weit.

Die von den Anwendungen in Google Android verwendeten Push-Benachrichtigungen nutzen die Google Push-Benachrichtigungsdienste über die GCM/FCM-Cloud-Messaging-Infrastruktur.

Der Application Store (App Store) in Google Android ist standardmäßig der Google Play Store. Seine API ist nicht öffentlich und die Nutzungsbedingungen des Google Play Store verbieten den Zugriff auf den Google Play Store, ohne den offiziellen Dienst zu nutzen. Der Google Play Store ist in keiner Weise interoperabel.

Die SafetyNet-Funktion in Google Android bietet Anwendungsentwicklern und -herausgebern die Möglichkeit, zu überprüfen, ob das Smartphone, auf dem die Anwendung läuft, so genannt "sicher" ist. Diese Funktion macht es selbst seriösen Android-Anbietern schwer, Anwendungen, die diese Funktion nutzen, zum Laufen zu bringen. Es ist auch allgemein anerkannt, dass SafetyNet den Anwendungen eigentlich keine Sicherheitsgarantie bietet: Falsch-positive und falsch-negative Ergebnisse sind in jedem Fall möglich.

Der Webbrowser Google Chrome wird standardmäßig in Google Android installiert, wobei die Google-Suche standardmäßig eingestellt ist. Google Chrome verwendet standardmäßig DoH (DNS über HTTPS) zu Google DNS-Servern, was es Google möglicherweise ermöglicht, den gesamten Browserverlauf des Nutzers in Echtzeit zu verfolgen.

Eine der ersten Anfragen, die Chrome stellt, ist an den Google-Konten- und ID-Verwaltungsdienst (GAIA). Mit dieser Anfrage wird versucht, den Benutzer mit einem bestehenden Google-Konto zu verknüpfen. Google Chrome stellte über 90 (i.W. neunzig) Netzwerkanforderungen an mindestens fünf verschiedene Top-Level-Domains (googleapis_com, google_de, gstatic_de, gvt1_com, googleusercontent_com), die alle zu Google LLC gehören. Bei der Abfrage von Metadaten für Doodles (die künstlerischen Varianten des Google-Logos) teilte Chrome Google beispielsweise harmlos mit, dass die Daten für die neue Registerkarte bestimmt waren.

Übertragung von Tastatureingaben und eingefügten Inhalten. Google Chrome überträgt alle Tastatureingaben an google com/complete/search, die in die Adressleiste eingegeben und aus dieser gelöscht werden. Das Gleiche wurde beobachtet, als "password" in die Adressleiste eingefügt und anschließend wieder entfernt wurde.

Bei der Eingabe jedes Zeichens in die Adressleiste sendete Chrome diese Eingabe ("q") an Google. Jede Anfrage enthält mindestens 7 (und bis zu 14) Datenelemente. Die meisten dieser Werte standen in keinem Zusammenhang mit dem Nutzer und/oder seiner Anfrage. Chrome erkannte die Art des verwendeten Geräts ("gs_ri"), wo in der Anwendung/UI diese Anfragen ihren Ursprung hatten ("client"), ob eine Präambel für die seitenübergreifende Skripteinbindung in die Antwort aufgenommen werden sollte ("xssi"), die aktuelle Position des Cursors ("cp"), die zu verwendende Suchversion ("gs_rn"), ein 12 Byte großes, base64-kodiertes, 60 Sekunden langes Sitzungs-Token ("psi"), die Klassifizierung der aktuellen Seite ("pgcl") und einen API-Schlüssel ("sugkey"). Dies ergab eine Überprüfung von Sampson, Senior Developer Relations Specialist bei Brave.

Es ist fast unmöglich, Android ohne ein Google-Konto zu verwenden, das im laufenden Betriebssystem eingerichtet ist. Die Standard-Mail-Anwendung in Google Android ist Gmail, früher googlemail, und sie wird in den meisten Fällen sofort mit einem Google Gmail-Konto konfiguriert. Gmail-E-Mails werden serverseitig nicht verschlüsselt: Google hat Zugriff auf sie und räumt in den GMail-Dienstebedingungen implizit ein, dass alle Gmail-Inhalte automatisch analysiert werden. Payment - Zahlungslösung: Google Pay standardmäßig in Google Android.

Mein Fazit: »Google versucht erst gar nicht für Privatsphäre oder Datenschutz zu werben. Angesichts der vorliegenden Ergebnisse wäre das auch völlig daneben. Im Grunde ist Chrome nur für jene empfehlenswert, die schon jetzt Google nutzen bzw. kein Problem damit haben, dass Google alle Informationen über einen selbst zentral speichert und auswertet. Datenschutzsensible Nutzer sollten hingegen einen großen Bogen um Chrome machen. Persönlich möchte ich gar nicht wissen, welche Daten zwischen dem Browser und Google übermittelt werden, wenn jemand tatsächlich sein Google-Konto verknüpft. Dass Google den Nutzer ohne seine Einwilligung trackt dürfte ebenso wenig überraschen, wie die Übermittlung jeder Download-URL an den Tech-Konzern.«

Im Verfahren zwischen Epic Games (Fortnite) und Google wurde am 11. Dezember 2023 am Bezirksgericht von San Francisco geurteilt, dass Google mit dem Google Play Store und dem Google Play Billing Service ein illegales Monopol betreibe. In einem Vergleich verpflichtet sich Google zu folgenden Maßnahmen …

• Eine Zahlung von insgesamt 700 Millionen US-Dollar.
• 629 Millionen US-Dollar gehen an Konsumenten in den USA, die möglicherweise zu viel für Apps und In-App-Käufe über Google Play bezahlt haben.
• Eine Zahlung von insgesamt 700 Millionen US-Dollar.
• 629 Millionen US-Dollar gehen an Konsumenten in den USA, die möglicherweise zu viel für Apps und In-App-Käufe über Google Play bezahlt haben.
• 70 Millionen US-Dollar gehen an die US-Bundesstaaten und sollen verwendet werden, wie es die obersten Rechtsberater der Regierung für richtig befinden.
• 1 Million US-Dollar gehen an die Administration des Vergleichs.
• Für 7 Jahre verpflichtet sich Google dazu, Android technisch die Installation von Drittanbieter-Apps über andere Wege als Google Play zu ermöglichen.
• Für 5 Jahre lässt Google Entwickler andere In-App-Zahlungssysteme als Google Play nutzen (User Choice Billing).
• Für 5 Jahre zwingt Google Entwickler nicht mehr dazu, ihre besten Preise nur Kunden über Google Play und Google Play Billing anzubieten.
• Für 4 Jahre zwingt Google Entwickler nicht mehr dazu, ihre Titel auf Google Play zur selben Zeit mit denselben Features anzubieten.
• Für 5 Jahre werden Unternehmen nicht mehr dazu gezwungen, Google Play exklusiv auf dem Endgerät zu installieren oder auf den Homescreen zu legen.
• Für 4 Jahre dürfen OEMs nicht mehr davon abgehalten werden, für vorinstallierte Apps auch Installationsrechte zu erteilen.
• Für 5 Jahre muss Google nicht mehr um Zustimmung gebeten werden, bevor ein OEM einen Drittanbieter-App-Store auf dem Gerät vorinstalliert.
• Für 4 Jahre wird Google Drittanbieter-App-Stores die Aktualisierung von Apps ohne Zustimmung des Anwenders erlauben.
• Für 4 Jahre wird Google Drittanbieter-App-Stores, die mittels Sideloading installiert wurden, Zugriff auf die eigenen APIs und „Feature Splits“ geben.
• Für 5 Jahre wird Google die zwei Sideloading-Warnhinweis zu einem zusammenfassen.
• Für 5 Jahre wird Google Entwicklern erlauben, bei Nutzung des alternativen User Choice Billing den Kunden mitzuteilen, dass anderweitig bessere Preise angeboten werden und dass die Transaktion auch über webbasierte Zahlungssysteme des Entwicklers in einer Webansicht innerhalb der App abgeschlossen werden kann
• Für 6 Jahre wird es Google Entwicklern ermöglichen, dass diese nach Einwilligung des Kunden deren außerhalb oder innerhalb einer App gewonnenen Kontaktinformationen für die Out-of-App-Kommunikation nutzen dürfen.
• Für 6 Jahre wird Google reinen „Konsum-Apps“ wie zum Beispiel Netflix ermöglichen, die Kunden über bessere Preise zu informieren, ohne dass diese jedoch darauf verlinken dürfen. Erlaubt ist etwa ein Hinweis auf einen niedrigeren Preis auf der Website, allerdings ohne Link.
• Für 6 Jahre darf Google Entwickler nicht daran hindern, mit Google Play oder Googles Zahlungssystem verbundene Gebühren den Kunden mitzuteilen.

Die Anzahl der Massnahmen verdeutlicht, wie Google die App-Entwickler bisher regelmentiert hat …

Massive Datenschnüfflerei von Google, Huawei, Realme, Samsung und Xiaomi

Die Google Play Services aka Google Play-Dienste, sind seit Jahren dafür bekannt, personenbezogene Daten von den Nutzern bzw. den Android-Geräten zu sammeln und an Google in Realtime zu übermitteln (siehe weiter oben). In einer Studie fanden Sicherheitsforscher um Douglas J. Leith, School of Computer Science & Statistics, Trinity College Dublin, Ireland, 25th March, 2021 heraus, dass Android-Geräte von Google im großen Umfang Daten an den Konzern schicken, auch wenn man diese Übermittlung von Telemetrie-Daten eigentlich abgestellt wähnte. Sie kommen dabei zu dem Schluss, dass alle Geräte außer denen mit /e/-OS "große Mengen an Informationen an die Betriebssystem-Entwickler und Drittfirmen" verschicken. Und das schon, wenn der Nutzer kaum eigene Apps installiert. Außerdem sei es bei den meisten dieser Dienste unmöglich°, die Datensammelwut einzuschränken, geschweige denn sie ganz zu unterbinden. °unmöglich - nicht wirklich, denn das Blockieren ausgehender Daten, wie bspw. Telemetrietraffic, ist selbst bei Android Geräten ohne sog. 'rooten' möglich - mit NetGuard No-Root-Firewall.

"Kürzlich" haben die Forscher Haoyu Liu, Paul Patras, Douglas J. Leith, University of Edinburgh, UK, Trinity College Dublin, Ireland Smartphones von Samsung, Xiaomi und Huawei untersucht. Sie übermitteln umfangreiche Telemetriedaten, was sich nicht abstellen lässt.

Professor Doug Leith und seine Kollegen vom Trinity College in Dublin haben sich in einer wissenschaftlichen Veröffentlichung »Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets« die Daten angeschaut, die von werksseitig vorinstallierten Apps auf in Europa verkauften Geräten der Hersteller Samsung, Xiaomi, Huawei, Realme, LineageOS und /e/-OS verschickt werden. Dazu gehören die Apps von Google (samt den Play Services und dem App Store der Firma) und andere System-Apps von Facebook, Microsoft und LinkedIn. Sie kommen dabei zu dem Schluss, dass alle Geräte außer denen mit /e/-OS "große Mengen an Informationen an die Betriebs­system-Entwickler und Drittfirmen" verschicken. Und das schon, wenn der Nutzer kaum eigene Apps installiert. Außerdem sei es bei den meisten dieser Dienste unmöglich, die Datensammelwut einzuschränken, geschweige denn sie ganz zu unterbinden.

LineageOS 'core' sammelt keine Daten, die über diese von Google gesammelten Daten hinausgehen, und ist daher vielleicht die die nächste private Wahl nach /e/OS. Es dürfen allerdings nicht optionale Drittanbieter­Paket wie OpenGApps installiert sein, welche Google Apps auf den Geräten der Hersteller nachrüstet. Werksseitig seien diese Apps nicht installiert, so die Lineage-Entwickler.

Zusammenfassend lässt sich sagen, dass /e/OS im Wesentlichen keine Daten sammelt und ist in diesem Sinne die bei weitem privatste der untersuchten Android OS-Varianten, die wir untersucht haben. Auf allen anderen Handgeräten senden die Google Play Services und die System-Apps des Google Play Store eine eine beträchtliche Menge an Daten an Google, deren Inhalt unklar und nicht öffentlich dokumentiert ist und Google bestätigt, dass es Google bestätigt, dass es keine Möglichkeit gibt, sich von dieser Datenerfassung abzumelden.

Nebenbemerkung: Xiaomi sperrt bei seinen Geräten den Bootloader ab Werk. Um das Entsperren des Bootloaders durchzuführen, muss zuerst die Genehmigung des Geräteherstellers eingeholt werden. Das Antragsverfahren kann bis zu 30 Tage dauern. 336 Stunden (14 Tage) Wartezeit musst ich schon mehrfach ausharren, 168 Stunden (7 Tage) Wartezeit sind bei mir die Regel.

Es ist bekannt, dass Google Play Services und der Google Play Store große Mengen an Handydaten an Google sendet und langlebige Gerätekennungen sammelt, obwohl bis vor bis vor Kurzem ein bemerkenswerter Mangel an Messstudien herrschte. Andere Google-Apps wie YouTube und Gmail senden ebenfalls Handydaten und Telemetriedaten an Google.

Es ist erwähnenswert, dass das Volumen der von Google hochgeladene Datenvolumen erheblich größer ist als das Datenvolumen, das an andere Parteien. Es ist zu erkennen, dass keine Daten an die LineageOS oder /e/OS-Entwickler hochgeladen werden. [Zitat, Seite 7; frei übersetzt von ungoogled]

SCHLUSSFOLGERUNGEN: Wir prä­sen­tie­ren ei­ne ein­geh­en­de Ana­lyse der Da­ten, die von den Sam­sung, Xiaomi, Huawei, Realme, LineageOS und /e/OS Vari­anten von Android. Wir stel­len fest, dass, mit der be­mer­kens­wer­ten Aus­nahme e/OS, selbst bei mini­ma­ler Kon­fi­gu­ra­tion und im Ruhe­zu­stand des Ge­räts die­se her­stel­ler­an­ge­pass­ten An­droid-Vari­anten selbst im Leer­lauf er­heb­li­che Men­gen an In­for­ma­tio­nen an den Be­triebssys­tem­ent­wickl­er und auch an Dritt­an­bie­ter (Google, Micro­soft, Linked­In, Face­book usw.), die Sys­tem­an­wen­dun­gen vor­in­stal­liert ha­ben. Währ­end ei­ne ge­le­gent­li­che Kom­mu­ni­ka­tion mit OS-Ser­vern zu er­war­ten ist, geht die be­ob­ach­te­te Da­ten­über­tra­gung weit da­rü­ber hin­aus und wirft eine Reihe von Be­den­ken hin­sicht­lich des Da­ten­schut­zes. [Zitat, Seite 12; über­setzt von ungoogled]