A-GPS ohne Google bei Graphene und den anderen ROMs

[Waterdrop]

Hallo in die Runde,
ich hoffe, es gibt unter euch welche, die mir hier weiter helfen können. Hier ist tiefstes Fachwissen gefragt! Ich habe jetzt viel gelesen, verstehe aber nicht viel davon und kann es überhaupt nicht beurteilen.

Um A-GPS nutzen zu können wird meistens (bei den Stock-ROMs und manchen Custom-ROMs) der SUPL-Server supl.google.com verwendet, was aus Datenschutzsicht natürlich nicht wünschenswert ist.

Simple Phone z.B. wirbt damit, dass es Google mit dem SUPL-Server supl.vodafone.com umgehen würde. Das ist jedoch falsch!!! Denn: supl.vodafone.com = supl.google.com!!! Siehe:
https://mxtoolbox.com/SuperTool.aspx?action=cname:supl.vodafone.com&run=toolpage

IodéOS hat es gem. seiner Dokumentation (Seite 4) anders gelöst. Es ändert nicht den SUPL-Server, sondern verhindert mit einem Patch, dass IMEI, IMSI und Telefonnummer an den SUPL-Server supl.google.com gesendet werden. (A-GPS funktioniert auch ohne diese sensiblen Daten.)
Welcher Nachteil bleibt bei dieser Lösung noch übrig? Die IP-Adresse wird noch gesendet. Aber sonst?

GrapheneOS sendet seit kurzem auch keine IMSI und Telefonnummer (+ IMEI?) mehr an den SUPL-Server. Siehe Changelog.

Zusätzlich dazu gibt es einen Schalter mit dem man zwischen den Vorgaben des Netzbetreibers (meist supl.google.com), dem supl.grapheneos.org und A-GPS ganz deaktivieren wählen kann. Siehe Changelog.

Dazu auf Mastodon: https://social.tchncs.de/@kuketzblog/109846711442928894
Ich verstehe das so, dass supl.grapheneos.org von Graphene ein eigener SUPL-TLS-Reverse-Proxy-Server ist, der zwar alles 1:1 an Google weiter leitet, aber ohne IP-Adresse. (Und aufgrund des o.g. Patches natürlich auch die anderen Identifier nicht.) Damit wäre der weiter oben genannte Nachteil bei iodé auch beseitigt. Mit dieser Lösung hätte man demnach alle Vorteile von A-GPS, aber ohne auch nur eine persönliche Information an Google zu senden. Den ungefähren Standort sendet man natürlich, aber diese Information ist unbrauchbar, das sie mit keinerlei anderer persönlicher Information verknüpft werden kann. Google weiß also nur, dass irgendein anonymes Handy sich an dem Standort befindet.

Daher frage ich mich, ob das Deaktivieren von A-GPS dann überhaupt noch einen zusätzlichen Nutzen für den Datenschutz hätte?
Es wurde auch diskutiert, ob es noch besser wäre, einen SUPL-Server selbst zu hosten (ohne Weiterleitung an Google). Aber auch hier: welchen Nutzen hätte das noch, wenn IMEI, IMSI und Telefonnummer und IP sowieso nicht gesendet werden?

Bzw. was ist an dieser Aussage auf Mastodon dran?:

Das klingt zwar vielleicht gut, ist aber mMn. mehr Augenwischerei. Das einzige was auf diesem Weg verschleiert wird ist die IP-Adresse des Nutzers. Diese kann aber aus den transportierten Daten über die Funkzelle ohnehin geschätzt werden (z.B. über andere die zur selben Zeit in der selben Zelle aktiv sind). IP(v4)-Adressen sind im Mobilfunk einfach keine sensiblen Daten.
Ich hatte ja eigentlich gehofft, das jemand ankündigt einen alternativen open-source SUPL-Server zu bauen.

Stimmt das, dass die Verschleierung der IP-Adresse sowieso nichts bringt und man sich den SUPL-Server supl.grapheneos.org schenken kann? Sprich, dann kann man auch genauso gut weiterhin supl.google.com verwenden? Wäre daher deaktivieren von A-GPS oder wahlweise ein selbst gehosteter SUPL-Server (ohne Weiterleitung an Google) doch signifikant besser? Wenn die IP-Adresse sowieso bei Google landet, hat es dann überhaupt noch einen Nutzen/Vorteil, wenn wenigstens IMEI, IMSI und Telefonnummer nicht gesendet werden?

Wie sieht es generell aus, wenn man A-GPS deaktiviert oder aber statt supl.google.com was anderes nimmt (z.B. supl.grapheneos.org)? Ich habe mehrfach gelesen, dass das sowieso nichts bringen soll, weil der Netzbetreiber diese Einstellungen sowieso überschreibt. Und die zweite Sache wäre wohl, dass die Einstellungen überschrieben werden, wenn man eine Notrufnummer wählt.
Z.B. DivestOS schreibt (übersetzt):

Der Netzbetreiber/die SIM-Karte sowie Notrufe können diesen Server überschreiben.

Ist das nur so, wenn man es manuell selber macht? Mike hatte dazu eine Anleitung (Punkt 2.4) für LOS: SUPL_HOST=localhost statt SUPL_HOST=supl.google.com zum Deaktivieren von A-GPS. (Jetzt könnte man natürlich auch SUPL_HOST=supl.grapheneos.org nehmen.)
Ich nehme an, dass diese Aussagen nicht auf die von GrapheneOS umgesetzte Lösung zutrifft? Sie erzwingen irgendwie die Änderung bzw. Deaktivierung von dem SUPL-Server, oder? Siehe hierzu auch diesen Changelog:

add toggle to Settings ➔ Location for force disabling SUPL as a carrier-independent replacement for editing APN configuration since editing APN configuration is unintuitive, not fully respected on Tensor SoC devices and users with no carrier should be able to disable it without using airplane mode

Ich habe gesehen, dass Graphene seine FAQ (s. ab 3. Absatz) zu diesem Thema erweitert hat.
Außerdem gibt es einen sehr regen und detaillierten Austausch darüber auf GitHub: add a setting for forcibly disabling SUPL #325
Diese beiden Quellen hier zu zitieren wäre jedoch zu umfangreich. Bitte lest es direkt dort. Insbesondere die GitHub-Seite scheint wichtig zu sein, da hier sehr viel in die Tiefe diskutiert wird.
Da verstehe ich allerdings noch weniger. Es klingt für mich jedoch so, dass das Verschleiern der IP-Adresse mit dem supl.grapheneos.org Server sehr wohl vollumfänglich funktioniert???

Wer mag hier mal Licht ins Dunkel bringen? 

[Fjellrev]

Stimmt das, dass die Verschleierung der IP-Adresse sowieso nichts bringt

Ich habe leider keine Ahnung von der IPv4-Adressen Zuweisung von Mobilfunkanbietern - im Bezug auf die Funkstationen, über die man verbunden ist - was wohl gemeint ist.
Anhand dessen soll Google wohl, laut dem Post, theoretisch raten können, aus welchem IPv4-Adressbereich du eine IPv4-Adresse haben könntest, weil andere Nutzer weiterhin Googles SUPL Server direkt verwenden, und dabei Ihre IPv4-Adresse und die entsprechenden Funkzellen mitteilen.
Aber aufgrund von Carrier-grade NAT teilst du dir auch eine IPv4-Adresse mit anderen Nutzern, was auch erwähnt wurde? ("Keine sensiblen Daten")
Ich kann nicht beurteilen, inwiefern der erste Teil Bullshit ist oder nicht, deshalb beachte Ich das bei meinen weiteren Antworten nicht direkt.
Es würde aber zeitgleich implizieren, dass Google das auch andersherum könnte, anhand mind. der IPv4-Adresse raten, welche Funkzelle(n) du nutzt oder nutzen könntest, weil genug Daten durch andere Nutzer vorhanden sind.
Eventuell weiß jemand anders etwas zur Handhabung deutscher Provider, der dem Gerät zugewiesenen IP-Adressen im Zusammenhang mit der genutzten Funkzelle? Für eigene Praxistests/Nachfragen beim Provider - vermutlich ohne Antwort... - habe Ich leider keine Zeit.

Daher frage ich mich, ob das Deaktivieren von A-GPS dann überhaupt noch einen zusätzlichen Nutzen für den Datenschutz hätte?

Soweit Ich weiß nicht, nein, außer dadurch, und Du erwähnst es ja selber, dass für Google nicht bekannt ist, dass sich in einen ungefähren Bereich ein (weiteres) Telefon befindet/befinden könnte.
Oder auch, dass dein Netzwerkanbieter weiß, dass "du" A-GPS mit SUPL verwendest - und GPS aktiv hast, was, schätze Ich, eine Vorraussetzung ist. Halte Ich persönlich aber für irrelevant.

Es wurde auch diskutiert, ob es noch besser wäre, einen SUPL-Server selbst zu hosten (ohne Weiterleitung an Google). Aber auch hier: welchen Nutzen hätte das noch, wenn IMEI, IMSI und Telefonnummer und IP sowieso nicht gesendet werden?

Unabhängigkeit von Google. Alternativen für andere Provider o.Ä..
Weniger Daten für Google - die ungefähre Anzahl der Geräte mit A-GPS + SUPL in einen Bereich.
Oder im Fall dessen, dass die Hardware/Software sich nicht richtig an die Vorgaben hält, und trotzdem Daten überträgt.

Wenn die IP-Adresse sowieso bei Google landet, hat es dann überhaupt noch einen Nutzen/Vorteil, wenn wenigstens IMEI, IMSI und Telefonnummer nicht gesendet werden?

Ja hat es, sofern du kein Gerät mit Play Services nutzt, bzw. diese keine privilegierten/benötigten Berechtigungen zum Auslesen davon besitzen, andernfalls werden diese sowieso an Google übertragen. Schließlich kann Google alleine durch deine IP nicht auf Telefonnummer, IMSI, oder IMEI schließen, es sei denn, sie erhalten diese auf irgendeinen Weg.
Dafür könnte Google aber wissen, wo ungefähr sich - bei Carrier-grade NAT - die Geräte mit der gleichen/ähnlichen IP-Adresse befinden. Das reicht eventuell für Schätzungen.
Falls du eine richtige IPv4-/IPv6-Adresse erhältst, ist das aber eine Information, die akkurate Rückschlüsse auf dich/dein Gerät zulässt.
Wie im Github Issue erwähnt, findet Carrier-grade NAT eigentlich keine Anwendung bei IPv6, daher ist dann die IP-Adresse kritischer Natur.

Ich habe mehrfach gelesen, dass das sowieso nichts bringen soll, weil der Netzbetreiber diese Einstellungen sowieso überschreibt.

Ich denke, darüber haben sich die Leute bei GrapheneOS genug Gedanken gemacht, als auch getestet, und vertraue darauf. Wie das bei anderen Geräten oder Systemen aussieht, ist eine andere Frage.

Da verstehe ich allerdings noch weniger. Es klingt für mich jedoch so, dass das Verschleiern der IP-Adresse mit dem supl.grapheneos.org Server sehr wohl vollumfänglich funktioniert???

Nunja, an der SUPL Anfrage selbst befindet sich nur die IP-Adresse vom GrapheneOS Proxy, als Absender. Insofern funktioniert das Verschleiern der IP-Adresse. Ob sich aufgrund der darin übertragenen Funkzellen etwas ableiten lässt, was dich identifiziert... siehe oben. Wenn Ich raten müsste, lässt sich eher nichts ableiten.

[Waterdrop]

Danke Fjellrev für deine ausführlichen Antworten! Und entschuldige meine sehr späte Reaktion darauf.

Dafür könnte Google aber wissen, wo ungefähr sich - bei Carrier-grade NAT - die Geräte mit der gleichen/ähnlichen IP-Adresse befinden. Das reicht eventuell für Schätzungen.

Ist man nicht trotzdem und sogar sehr gut wieder erkennbar? Es mögen mehrere Geräte die gleiche IP haben, aber meins sendet keine IMSI. Aber die anderen Geräte senden jeweils eine eindeutige IMSI. "Die IP schon wieder, die keine IMSI sendet." So kann Google dann doch wieder ein Bewegungsprofil anlegen, oder?

Wie im Github Issue erwähnt, findet Carrier-grade NAT eigentlich keine Anwendung bei IPv6, daher ist dann die IP-Adresse kritischer Natur.

Kann man nicht IPv6 im Smarti deaktivieren? Hätte dies Nachteile?
Andererseits braucht man das eh nicht machen, wenn bei IPv4 wegen nicht Senden der IMSI sowieso eine eindeutige Zuordnung erfolgen sollte.

Unterm Strich wird es also wohl so sein, dass Google einen über die IP-Adresse mit dem ungefähren Standort trackt. Und somit wäre es wünschenswert, wenn die ROM einen Proxy-Server verwenden würde.

[Fjellrev]

So kann Google dann doch wieder ein Bewegungsprofil anlegen, oder?

Theoretisch ja, da du aber bei C.-G. NAT eine IP-Adresse (die sich ändern kann) mit mehreren Leuten teilst, gibt es die Chance, dass genug Leute die Suppe versalzen.
Falls die Anfragen natürlich in der Häufigkeit eines einzelnen Gerätes auftreten (weil deines das einzige in der Gegend ist)... für eine Analyse dessen braucht es aber zumindest mehr Rechenleistung.
Ich denke nicht, dass sich das wirklich rentiert, da sich Google trotzdem nicht unbedingt sicher sein kann, dass die Daten sicher genug einer Person zuordenbar sind.
Zusätzlich lässt sich bei Carrier-Grade NAT dieses Bewegungsprofil natürlich nicht mit weiteren Daten zusammenbringen - außer eventuell durch Positionsbestimmung am Heimatort/Arbeitsplatz.

Kann man nicht IPv6 im Smarti deaktivieren?

Ohne Root eigentlich nicht, mit sollte das möglich sein.
Der wirkliche Nachteil wäre, dass du ohne IPv6, meines Wissens nach, eben keine IPv6-Only Dienste erreichen kannst, welche es ansich schon gibt. Bei fast allen üblichen Webseiten würdest du aber keine Probleme haben.

Ansich würde dir der Proxy, wenn anfangs genanntes ein Problem ist, vermutlich nicht viel helfen, wenn die Bevölkerungsdichte so gering ist, dass es ersichtlich ist, dass nur ein Gerät dort ist.

entschuldige meine sehr späte Reaktion darauf.

Ich antworte auch spät, keine Sorge, und kein Grund zum entschuldigen.
Das ist das Gute an Foren: Man kann sich dann mit den Themen auseinandersetzen, wenn man dafür die Zeit, oder Lust hat. Deshalb bin Ich nur in Foren, auch diesem, und eigentlich nie in irgendwelchen "bei Fragen oder für Diskussionen: Matrix/Chat/Reddit"-Projekten, etc. anwesend.

[AlphaElwedritsch]

ohne A-GPS dauert es halt erheblich länger bis ein FIX erfolgt.

Ich nutze selbst nur iodéOS auf meinen drei Geräten.
Da aufgrund des Patches die IMSI weg ist, ist doch erstmal alles gut. Zu der IP. OK, die wird übertragen. Aber das wird sie anderwitig auch, wenn man nicht konsequent TOR und/oder ein VPN benutzt. So what....