GrapheneOS: Microsoft Authenticator unterstützt sicheres Android-OS nicht

In der vergangenen Woche hat Microsoft angekündigt, dass der Microsoft Authenticator Entra-ID-Zugänge am Ende von Mobilgeräten löschen wird, die er als gerootet oder gejailbreakt erkennt. GrapheneOS wurde für sicherheits- und datenschutzbewusste Menschen konzipiert – Microsoft will es jedoch offiziell nicht unterstützen. Die Nutzung des Microsoft Authenticators mit Entra-ID-Konten steht dort auf wackeligen Füßen. Das teilte das Unternehmen auf Anfrage von heise security mit.

GrapheneOS genießt einen ausgezeichneten Ruf bezüglich Datenschutz und Sicherheit. Es lässt sich auf Google-Pixel-Smartphones besonders datensparsam nutzen, kann aber auch Google-Dienste einsetzen und legt ihnen jedoch die Leine an: sie starten wie alle anderen Apps in einer Sandbox mit Rechteverwaltung. Durch die weitreichende Kompatibilität etwa mit Banking-Software und Streamingdiensten, die auf vielen Custom-ROMs nicht starten, hat GrapheneOS sich zu einem der beliebtesten Custom-ROMs entwickelt. Die Entwickler sind schnell mit dem Schließen von Sicherheitslücken, gelegentlich fließt sogar Code von GrapheneOS zurück ins Android-Projekt.

Auf dem Mobile World Congress (MWC) in Barcelona verkündete zudem Motorola am Montag dieser Woche, offiziell GrapheneOS zu unterstützen. Damit ist das sichere Betriebssystem nicht mehr exklusiv auf Pixel-Smartphones zu Hause. Motorola will damit nicht weniger als „mithilfe von GrapheneOS die Smartphone-Sicherheit neu definieren“. GrapheneOS bringt demnach einen „verstärkten Sicherheitskern“ und „Schutz vor komplexen Bedrohungen“ mit. Motorola will „spezielle hochsichere Geräte“ anbieten, die etwa in Unternehmen, Behörden und so weiter eingesetzt werden können.

Sichereres Custom-ROM reicht nicht

Für die sichere Nutzung von Unternehmens-E-Mails und zum sicheren Datenaustausch über Smartphones wirkt GrapheneOS damit prädestiniert. Da inzwischen viele ihre Dienste mit Microsofts Identitätsverwaltungsangebot Entra-ID zur Anmeldung ausstatten, ist der Microsoft Authenticator für die Nutzung in Unternehmen wichtig. Er dient als zweiter Faktor zur Anmeldung. Die Entra-ID-Konten müssen sich mit der Smartphone-App daher nutzen lassen, oder Nutzer und Nutzerinnen werden ausgesperrt.

Gegenüber heise security sagte ein Microsoft-Sprecher auf Anfrage: „Microsoft Authenticator wird auf GrapheneOS nicht offiziell unterstützt, und Entra-Konten können in Zukunft auf Geräten mit GrapheneOS beeinträchtigt sein, die als gerootet erkannt werden.“

Unklar ist, ob GrapheneOS-Geräte generell vom Microsoft Authenticator als gerootet erkannt werden. Es bleibt zu hoffen, dass Microsoft da gegebenenfalls doch noch seine Position ändert und das sicherere Android-OS auch offiziell unterstützt. Etwas komplizierter und ohne Microsofts Sicherheitserweiterungen im Authenticator lassen sich alternativ jedoch auch andere Authenticator-Apps mit Microsoft-Konten verknüpfen. Dahinter steckt jedoch auch die Frage, ob etwa die IT-Abteilung die Nutzung davon freigibt.

(dmk)