Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

@Teryen - Vielleicht hast du das bereits selbst gefunden im Start-Posting:

Hinweise zu AFWall+ und den Profilen:
Die AFWall+ Firewall ist die Nachfolgerin von DroidWall Firewall und basiert auf deren Code. - DroidWall ist aber unsicher (u. a. Data leaks at boot time und wird nicht mehr weiter gepflegt). - Also bitte dringend ersetzen.

Task-Manager können dich deine komplette Sicherheit kosten (gut informieren oder ganz weglassen).

Nur meine Meinung: Banking mit dem Smartphone ist grundsätzlich keine gute Idee.

 

[AxelFH]

ooo, gehört nicht hier her, vielleicht kannst Du mich verweisen, oder einen Thread eröffnen: Warum findest Du Banking mit dem Smartphone keine gute Idee?
Grüsse
Axel

 

[Aaskereija]

Ganz einfach. Verlierste dein Handy und jemand sieht das du damit Online-Banking betreibst, dann hat derjenige wahrscheinlich schon dein Geld auf seinem Konto

 

[ooo]

@AxelFH - Kein Problem, Infos dazu zu finden:
https://www.google.de/search?q=smartphone+online+banking+risiken

ooo, gehört nicht hier her, vielleicht kannst Du mich verweisen, oder einen Thread eröffnen: Warum findest Du Banking mit dem Smartphone keine gute Idee?
Grüsse
Axel

 

[eldoblo]

1. Fahre die AFWall+ Alpha-2 2.0.0 auf Kitk. 4.4.2. Im Modus Ausgewählte erlauben bei nicht gesetzten Häkchen fließen dennoch Daten über Screen Mirroring/Wlan. Kann das über bestimmte Einstellungen verhindert werden? 2. Durch mein rumprobieren habe ich leider die Daten des Downloadmanagers gelöscht. Das schützt das System zwar vor Viren, aber nun kann nichts mehr aus dem Internet downgeloaded werden . Wie kann ich das Problem lösen?

 

[Miss Montage]

Deine erste Frage kann ich nicht beantworten. Hast Du Network Log installiert und kannst Du sehen, welche Anwendung ungebeten "funkt"?
Beim Download-Manager scheinst Du mehr gelöscht zu haben als die Daten. Hast Du mal probiert, ihn aus /system/app neu zu installieren?

 

[eldoblo]

Netzwerklog zeigt traffic (obwohl Häkchen nicht gesetzt) über Medien/Medienserver (1013), Wi-Fi Direct (10078) und Kernel (-1) Eigenartig ist auch, das wenn unter Einstellungen in kitkat Screen Mirroring angetippt wird, sich der Schieberegler "selbstständig" auf on/1 aktiviert?!? So, beim downloaden sehe ich den blinkenden Downloadpfeil für ca. 3 sec, download läuft wird angezeigt, aber es wird nichts aus dem Web runtergeladen?!?

 

[gene]

Hallo,

meine Konfif basierend auf dem Thread läuft seither sehr gut. Hab heute mal testweise mein Handy als USB-Hotspot am Laptop versucht. Irgendwie geht da was nicht. Ich komme nur ins Internet wenn ich die Firewall auf dem Handy ausschalte. Nutze ich das Handy als WLAN-Hotspot mit dem Tablet geht es auch wenn die FW an ist. Dem Dienst "(Tethering) - DHCP + DNS-Dienste" wurde per LAN, WLAN und Mobile Data Zugriff gewährt. Muss für USB-Hotspot ein anderer Dienst freigegeben werden?

 

[ooo]

Netzwerklog zeigt traffic (obwohl Häkchen nicht gesetzt) über Medien/Medienserver (1013), Wi-Fi Direct (10078) und Kernel (-1) [...]

Haken nochmal alle überprüfen, Profil nach Änderung(en) *explizit* neu aktivieren (oder sogar Phone neu starten).

Hast du auch in Netzwerk Log "Nur hinter Firewall protokollieren" angehakt, um nur den Traffic zu sehen, der das Phone wirklich verlässt?

Werden denn (die nicht angehakten "Apps") 1023, 10078 und -1 nicht im (aktivierten) Protokoll der Firewall als geblockt angezeigt?

<OT>
Edit: Für das versehentliche Abhandenkommen von (System-)Apps macht man übrigens mit Titanium Backup ein Vollbackup - Dann kann man einzelne (System-)Apps auch wieder herstellen.
</OT>

___

[...] So, beim downloaden sehe ich den blinkenden Downloadpfeil für ca. 3 sec, download läuft wird angezeigt, aber es wird nichts aus dem Web runtergeladen?!?

Wenn du etwas von einer Domain downloadest, dass z. B. über AdAway etc. geblockt ist, kann das auch passieren.

Sind "Medienspeicher, Download-Manager, Downloads" in der Firewall für alle benötigten Schnittstellen (Internes LAN (Spalte 1), WLAN (Spalte 2), Mobile Daten (Spalte 3)) erlaubt?

Wenn du z. B. von deinem NAS-Speicher eine Datei herunterladen möchtest, oder mit dem Browser auf dein Router-Verwaltungs-Interface zugreifen möchtest, dann brauchst du auch einen Haken in Spalte 1 (LAN/Heimnetzwerk) für Browser und Downloads etc.

___

[... ] Hab heute mal testweise mein Handy als USB-Hotspot am Laptop versucht. Irgendwie geht da was nicht. [...]

Versuche, die DNS-Server in deinem Laptop auf z. B. 208.67.220.220 und 208.67.222.222 zu ändern (evtl. Laptop und Phone neu starten).

 

[eldoblo]

Mit Hilfe von Screen Mirroring kann z.B. eine auf dem Smartphone befindliche Datei direkt auf einem TV-Bildschirm angesehen werden. Ganz praktisch um mal eben schnell eine mehrseitige pdf-Datei zu lesen ohne sich mit Laptop, PC, oder dem kleinen Phone-Screen "rumzuärgern". Beim einschalten von Screen Mirroring wird auch Wifi-Direkt/Wlan aktiviert.

Der Datenfluss über Sreen Mirroring wird (wunschgemäß) aber nicht durch die AFWall+ geblockt, obwohl im Modus "ausgewählte erlauben" nicht ein einziger Haken gesetzt ist. Selbst wenn mobile Daten und Wlan deaktiviert sind fließt traffic vom Phone zum TV und die Dateien können auf dem TV gelesen werden.

Der traffic über Wlan/mobile Datenverbindung wird durch AFWall+ korrekt verhindert, es bauen sich im Browser keine Seiten auf.

Kann der automatische Datenverkehr über Screen Mirroring durch die AFWall+ (wenn möglich) verhindert werden? Hat das etwas mit den Administrator-Rechten zu tun?

Die Einstellungen für AFWall und Netzw.-Log sind richtig vorgenommen. Häkchen bei Experimentell Start-Datenleck Fix gesetzt, zur Sicherheit wird nur im Flugzeugmodus gebootet (wenn das überhaupt eine Auswirkung hat).

(Der aktivierte Offline-Modus/Flugzeugmodus blockt nicht den Wlan- und Screen Mirroring traffic.)

Die IPTables Binärdatei steht auf Auto, integrierte Busybox aktiv, netd ist deaktiviert.

Ja, ist mein Fehler das ich kein Backup z.B. über Titanium gemacht habe und dann mit den Systemapps "rumgefrickelt" habe.
An AdAway liegt es nicht, habe die Hosts Datei in den orginal Zustand gebracht und AdAway nochmal neu installiert. Kann nur über Wlan-Freifunk (gaaanz langsam) downloaden, nicht über mobile Datenverbindung?!?

Aber vielleicht könnt ihr/du mir erst mal mit der AFWall+ und Screen Mirroring weiterhelfen.

 

[ooo]

Ich verstehe es nicht. - Evtl. liegt das am WiFi Direct, da man das explizit einrichten/erlauben/aktivieren muss und diese Funktion eine eigene, spezielle Schnittstelle hat. - Ich habe auch kein Samsung(?)/Screen Mirroring, um das Verhalten nachzustellen. - Vllt. kann dir jemand anderes weiter helfen.

 

[eldoblo]

@0000
trotzdem Danke. Ist ja eine Alpha-Version der AFWall+ und evtl. wird mit einer neueren Version auch Screen Mirroring berücksichtigt/geblockt.

Der Downloadfehler ist beseitigt. Die Hintergrunddaten für Medien/ Medienspeicher/Downloadmanager/Downloads waren eingeschränkt. Hatte nichts mit der AFWall+ zu tun, sorry.

 

[Miss Montage]

Vermutlich wird der Datenverkehr zwischen Smartphone und TV wegen eines anderen Standards von der Firewall gar nicht erkannt: siehe Wi-Fi Direct

 

[eldoblo]

ist natürlich wünschenswert, dass die Firewall jeglichen traffic in jedem Standard blocken kann und nur explizid nach Einstellung (zugelassenen) Datenverkehr ermöglicht.

So das der User mittels Firewall die Entscheidung treffen kann ob und welche Daten das Phone passieren.

 

[ooo]

Die "Firewall" (iptables binary) kann das ja, nur AFWall+ ist als Anwender-Frontend nicht in der Lage dazu. - Für so etwas muss man dann entsprechende Custom Rules schreiben (die ich auch nicht auf die Schnelle aus dem Ärmel schütteln kann, also ja: es würde gehen - und nein: ich kenne sie nicht und kann sie auch nicht zur Verfügung stellen).

Frage: Das mit der Verbindung mittels WiFi Direct passiert doch nicht wie bei der unbefleckten Empfängnis der Heiligen Jungfrau Maria? - Da muss man doch erstmal etwas zulassen (Ad-hoc-W-LAN aktivieren, PIN vergeben, Einbuchen/Pairing etc.) - Sonst fließt da nix, oder?

 

[eldoblo]

mit den Sternzeichen, Jungfrau (Maria) usw. kenne ich mich überhaupt nicht aus.

Sreen Mirroring:
Namen wurden zur Identifizierung von Phone/TV
manuell vergeben (pin weiß ich nicht mehr glaube nein, schon lange Zeit her).


Ablauf/Test:
Firewall kein traffic erlaubt,
Mobile Daten off
Wifi off,
Wlan off,
TV an, Screen Mirroring an, Phone und TV verbinden sich über vergebene TV/Phone-Namen, WiFi/Wlan geht auch automatisch on, Wlan sucht (geil) nach Verbindungen (kann sich nirgends verbinden, keine FritzBox vorhanden, alle Points gesichert, Wlan kann sich nicht verbinden), Screen Mirroring/TV
tauschen Daten aus, läuft.

Wird Wlan manuell ausgeschaltet, wird automatisch Screen Mirroring beendet.

Meinst du das?

 

[ooo]

Dann ist doch alles ganz einfach: WiFi Direct (Screen Mirroring) am Phone aus und es fließen keine Daten mehr. (Das meine ich ernst.)

 

[eldoblo]

Nur ein einfaches Beispiel von einem Nichtfachmann:
wenn die Windows Firewall "scharf" eingestellt" wird, so läßt diese absolut keinen Datenfluss (über Wlan, Lan, Router usw.) mehr zu. Nach Bedarf kann dann wieder (punktuell) traffic zugelassen werden. Aber der User hat die Möglichkeit über die Wall zu schließen.

Über eine Einstellung der AF Wall+ habe ich (zur Zeit) nicht die Möglichkeit traffic über Screen Mirroring zu erlauben oder zu verbieten und kann Mirroring nur über die Direkteinstellung ermöglichen/verbieten.

Sehr übertrieben/überspitzt formuliert könnte auch der Browser, oder auch andere Apps deaktiviert werden, dann fließen auch keine Daten mehr. Nur wäre dann der Einsatz einer Firewall noch sinnvoll?

Damit das nicht falsch verstanden wird:
Die AFWall+ möchte ich nicht missen denn sie arbeitet sehr zuverlässig, aber wird deutlich was ich meine?

ok?

 

[Miss Montage]

Hast Du den Wikipedia-Artikel gelesen, den ich weiter oben verlinkt hatte? Wie soll AF-Wall Funkwellen erkennen, die Dein Handy als Basisstation nutzen?

 

[ooo]

@eldoblo - Ich verstehe ja dein Ansinnen. - Aber du hast eine gut funktionierende AFWall+ und kontrollierst den (direkten) Datenfluss zwischen deinem Phone und dem TV (ohne Router dazwischen) manuell mit der Screen Mirroring-Funktion aktiv, wenn du sowieso aktuell dabei bist. - Den anderen Traffic (ins Internet, über den Router) hast du ja für die Samsung App in AFWall+ geblockt. - Das ist anderer Traffic, falls er überhaupt auftritt ...
(Und dein Beispiel "Browser/andere Apps" hat ja erstmal gar keinen eigenen EIN/AUS-Schalter in der App.)
Wie gesagt: Ich verstehe dein Problem nicht, weil alles dicht ist, wenn du es möchtest.