Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[starbright]

Hab auf einem Moto-E Firewall konfiguriert. Google Konto steht auf Sync aus. Dennoch filtert die FW jede Menge "google kontakte sync" aus. Wie kann das sein?

Wofür braucht der Einrichtungsassi und der "Telefon/SMS Speicher" eigentlich Internet? Bei Voip könnte ich verstehen, aber das ist doch nicht der Speicher, oder?

 

[ooo]

Google Sync = AUS ist nicht immer AUS.
___

Firewall AN - Block ALL
W-LAN AN & mit Router verbinden
Phone AUS & SIM rein & Phone starten & Flugmodus AUS & einbuchen (SIM PIN)

Einstellungen > Datenverbrauch > oben rechts Menü > Hintergrunddaten beschränken
Einstellungen > Datenverbrauch > Mobilfunkdaten AUS

KitKat (CM): Einstellungen > Datenverbrauch > oben rechts Menü > Daten automatisch synchronisieren > Haken setzen
Lollipop: Einstellungen > Konten > oben rechts Menü > Daten automatisch synchronisieren > Haken setzen

Und jetzt: Überraschung ...
Einstellungen > Konten > Google-Konto öffnen > gewünschte (oder alle) Synchronisations-Haken entfernen

KitKat (CM): Einstellungen > Datenverbrauch > oben rechts Menü > Daten automatisch synchronisieren > Haken wieder entfernen
Lollipop: Einstellungen > Konten > oben rechts Menü > Daten automatisch synchronisieren > Haken wieder entfernen
___

Telefon braucht tatsächlich Internet bei einem angelegten VoIP/SIP Konto (benutze ich nicht mehr, da unverschlüsselt, besser CSipSimple o. ä.).
Bei SMS-Speicher bin ich mir nicht sicher (ich habe es gesperrt). - Für MMS gibt es jetzt einen eigenen Service. - SMS/MMS (die App) sendet ins Internet.

 

[starbright]

Also zum einen hatte ich die Unterpunkte beim Syncen nicht gefunden, sind jetzt alle aus.
Und zum anderen - verstehe ich das richtig, er muss erst mal syncen bevor man es löschen kann?
Ich bin ja nicht ganz bei Null, hab die Einstellungen wie 1-3 gemacht, bis auf das meine SIM natürlich schon drin war.

Wenn jetzt die Hintergrunddaten beschränkt sind und AutoSync an, passiert ja doch doch nichts (zum einen wegen der Firewall, zum anderen wegen der Hintergrunddaten-Beschränkung). Bei mir hat sich nach dem Vorgehen nichts geändert. Beim Google Konto steht Sync.-Fehler und das es das nachholen will. Das sehe ich wahrscheinlich dauernd ....

Und ist nicht VoIP generell unverschlüsselt? Macht das Csip was anderes?

 

[ooo]

Google ist unser aller Freund (joke).

Ja, es synct munter drauf los, wenn man es lässt (W-LAN AN, Mobile Daten bereits AN, Google-Account wird eingegeben beim Einrichten etc.).

Deswegen schreibe ich hier im Start-Postimg und allen, die es nicht (mehr) hören wollen immer wieder:

Beim (ersten) Einrichten:

- SIM draußen lassen
- Nicht im W-LAN anmelden
- Allgemein keine Schnittstellen aktivieren
- W-LAN AUS , dann Flugmodus AN
- Noch keine Konten einrichten (vor allem Google nicht)
- Erst AFWall+ (und AdAway) manuell über USB/Fileexplorer aufs Phone übertragen und installieren
- Block All-Profil solange aktivieren, bis das Phone "dicht" ist

___

Der Sync-Fehler ist eventuell eine Folge davon, dass es gerade gesynct hat. - Auf jeden Fall aber, weil die Firewall ja blockt.

(Die Google Apps/-Services "merken" sich "Pending Syncs", wenn zuvor ein Sync aktiv war (Auf der SD Card in /Android/... bzw. in /data/data/com.google... irgendwo.)
___

Nein, die integrierten SIP-Konten (in den Telefon-Einstellungen einzurichten) - also die Gespräche - werden nicht verschlüsselt (z. B: sipgate.de & friends machen das auch nicht). Der CSipSimple Client hat eine extra Option dafür, braucht aber eine entsprechende Gegenseite, die das auch kann. - Der Traffic wird dann verschüsselt, bevor er das Phone verlässt und erst vom Client des Gesprächspartners wieder entschlüsselt.

____

Egal wie man es dreht und wendet: We are really slightly screwed, my friend ... (joke)

Politicians, business managers and militarian are always complaining about hackers/crackers. - These complainers are themselves crackers of the worst tribes to all mankind. - Only that their skills are far more deadlier in their results and with absolutely no morality in their (a-)social engineering hacks ... PITA-crackers at its best. - Their final destiny is to be taken out from society one by one.

 

[starbright]

Kurze Frage noch zur Anleitung von Seite 1:
Welchen Vorteil verspricht eine vollständige (langsame) Formatierung? Android wird doch nicht versuchen bei der Installation Daten wieder herzustellen,oder?

 

[ooo]

Berechtigte Frage. - Ich schlage das vor, um den Leuten einen optimalen Start anzubieten. - Entscheiden muss das jeder für sich.

Spoiler

When you choose to run a Full format on a volume, files are removed from the volume that you are formatting and the hard disk is scanned for bad sectors. The scan for bad sectors is the reason why the Full format takes twice as long as the Quick format.

If you choose the Quick format option, the format removes files from the partition, but does not scan the disk for bad sectors. This option is best when your hard disk has been previously formatted and you are sure that your hard disk is not damaged nor has bad sectors. This can be a problem later because bad sectors that are not located can cause damage to the hard drive. For example, if data is later installed on this “bad sector”, the data will read errors or as corrupted files.

In simple terms, a Full format will truly scrub through the hard drive from scratch, rebuild all of its file structures, and scans the drive to make sure that everything is on a satisfactory level. On the other hand, what a Quick format does is lay down a blank FAT and directory table without checking for bad sectors.

Gründe für vollständige Formatierung:

• Performance der SD Card verbessern ("Männo, mein Androide lagt so ...")
• Runtime-Fehler vermeiden: Ungültige alte Daten in /Android/ und anderen Verzeichnissen entfernen, die evtl. falsch interpretiert werden (von neu installierten Apps)
• Runtime-Fehler vermeiden (Low Level): Bad Sectors finden/Filesystem-Struktur reparieren
• Sicherheit (präventiv): "Versteckte" Dateien entfernen, evtl. Angriffe auf einen verbundenen PC vermeiden (Versuch)

Aber:

Spoiler

From the security perspective, our findings indicate that even though memory cards look inert, they run a body of code that can be modified to perform a class of MITM attacks that could be difficult to detect; there is no standard protocol or method to inspect and attest to the contents of the code running on the memory card’s microcontroller. Those in high-risk, high-sensitivity situations should assume that a “secure-erase” of a card is insufficient to guarantee the complete erasure of sensitive data. Therefore, it’s recommended to dispose of memory cards through total physical destruction (e.g.,

Quelle dazu

 

[starbright]

Ich hatte gerade einen kompletten Reinstall gemacht, aber deine Anleitung erst danach gesehen (mit den beschriebenen Folgen). Dabei sind halt auch die riesigen Karten von Here oder Mapfactor und Oruxmaps... Daher die Frage.

Vorher hatte ich gapps zwar drauf, aber nie aktiviert. Leider ist mir FDroid als Markt nicht genug und 1stMobile ist von meiner ersten Erfahrung nach nicht weniger nervig. Dann doch lieber das Original und die Nebenwirkungen begrenzen...

Übrigens um die Google Such-Icon loszuwerden:

Einstellungen -> Apps -> Alle -> Google-Suche -> Deaktivieren

Könnte man nicht auch ein paar Google Dienste (wie Kontakte/Kalender synchr) abschalten. Der einzige Kalender den ich gefunden hab, der komplett unabhängig von Google tut ist der "Fliq".

 

[ooo]

<OT>
Ja, Here macht das ziemlich doof. - Die Karten sind in einem Unter-Ordner von /sdcard/Android/data/com.here-schlag.mich-tot. Zusätzlich gibt es einen hidden Folder "/sdcard/.here". Diese Daten muss man sich vorher wegkopieren. Mit Titanium Backup sollte man dann die Here-App sichern und ebenfalls wegkopieren. Nach der Formatierung der SD Card erst die /sdcard/-Verzeichnisse wieder "befüllen" und dann die Here-App via TB restoren.

Mit anderen (Karten-)Apps/-Daten läuft das ähnlich. - Nur, um eine Idee zu geben. - Viel Arbeit und Zeitaufwand ...

___

Ich habe dir ja mal vor einiger Zeit meine Vorgehensweise ohne Google beschrieben:

Kein Google auf dem Produktiv-Phone installieren (CM/AOSP/eingefrorene oder deinstallierte Google-Apps bei Stock-ROM, gerootet).
Zweites Phone mit Google Apps und Account (falscher Name = Fake Account), keine anderen Aktivitäten außer Play Store.
Apps werden mit diesem Phone geholt und auf das Produktiv-Phone "gebeamt" (.apk).

___

(Gerootete) Stock-ROM:
Du kannst prinzipiell alle Google Apps und Services deaktivieren (App-Info) bzw. einfrieren mit Terminal Emulator oder ADB shell pm disable <package> oder Vollversion von Titanium Backup. - Ausnahme: Der Account Manager (bzw. vorher TB Backup machen). - Dann ist erst mal Ruhe.
Den Play Store und die Services taust du nur wieder auf, um manuell zu aktualisieren oder Apps zu installieren / löschen und frierst das dann wieder ein.

Ohne Google (sollte aber auch mit Google funktionieren):
Um den (AOSP-)Kalender (CM oder AOSP ROM) nutzen zu können, kann man sich bei F-Droid "Offline Calendar" herunterladen und Kalender anlegen, die funktionieren. - Kleiner Tipp dazu am Rande: [HowTo] Feiertage, KW etc. als .ics-Dateien in den AOSP-Kalender importieren - Android-Hilfe.de

Ohne Google, mit Synchronisation (sollte aber auch mit Google funktionieren):
Man kann das ohne Google (mit Synchronisation von Kontakten MIT Geburtstagen, Aufgaben und Kalendern) auch komplett lösen mit einem eigenen OwnCloud-Server.
Auf dem Phone braucht man dann noch:
OwnCloud-App (F-Droid)
Dieses Tasks - es gibt mehrere (F-Droid), ist vor DAVdroid zu installieren, um Aufgaben zu synchronisieren
DAVdroid-App (F-Droid)

(Tipp: Aber trotzdem die entsprechenden Apps - ob eingefroren oder nicht - in der AFWall+ blockieren.)
</OT>

 

[starbright]

Vielleicht hab ich's nur übersehen:
Wann ist der richtige Zeitpunkt in deiner Checkliste um den google-Account tatsächlich anzulegen und entsprechen zu beschneiden? Also ich würde das auf jeden Fall machen, bevor ich die Kontakte importiere, damit da nichts durchrutscht.. Vielleicht kannst du den Eingangspost diesbezüglich noch ergänzen - auch wenn du eher ganz darauf verzichtest. Es gibt einige Apps, die beispielweise das Google-Framework für Maps usw nutzen... von daher schon manchmal notwendig.

 

[ooo]

• Genau dann, wenn die Firewall alles blockieren kann, aktiviert ist und man "seine" ungewollten (System-)Apps deaktiviert/eingefroren/deinstalliert hat
• Dann ein neues Profil für W-LAN anlegen (z. B. "Updates") und dort nur "0 root" (für DNS-Anfragen), Downloads, Medien-Server und die im Start-Posting genannten (Basis-)Google-Apps/-Services (für den Play Store) freischalten. - Sonst nichts. - Dieses Profil dann aktivieren
• Dann erst W-LAN einschalten (Flugmodus war bis dato und bleibt auch weiterhin erstmal AN) und mit dem Router verbinden (Zugang erst jetzt anlegen). - Vorher sollte das Phone keine Verbindung kennen/haben
• Dann über den Aufruf des Play Store das Google-Konto anlegen (<= Richtiger Zeitpunkt)
• Danach kann man dann auf sein "normales" Profil umschalten (Mail, IM, Browser, Downloads, Syncs etc.)
• Und natürlich auch die SIM das erste Mal einlegen und den Flugmodus ausschalten

(Beim ersten Einrichten oder nach Werks-Reset ohne SIM arbeiten, W-LAN-Einrichtung und Google-Konto überspringen. - Dabei trotzdem die Haken bei den Daten-Abgreif-Punkten entfernen (= Opt-out).)

 

[an0n]

Ich empfehle gänzlich auf Gapps zu verzichten, wenn man Datenschutz auf dem Phone haben will, dann ist ein Gapps-free Phone die erste Voraussetzung dafür. Gapps einzufrieren und aufzutauen finde ich ebenfalls keine gute Option und nicht jeder weiss welch app zu den Gapps gehört.
Ein Fake-Zweitphone anzuschaffen mit Gapps ist dagegen ne gute Idee, wenn es dabei bleibt, dass es auschliesslich nur zum Appdownload benutzt wird.
Alternativ, unter apps.evozi.com kann man über den PC die apps vom Playstore runterladen.

 

[Pizzapeter]

Alternativ, unter apps.evozi.com kann man über den PC die apps vom Playstore runterladen.

Das geht auch direkt mit nem Browser übers Phone: APK Downloader [Latest] Download Directly | Chrome Extension v3 (Evozi Official) Playstore besuchen, link der App oben aus dem Adressfeld kopieren und indas Feld bei "evozi" einfügen.... Oder z.B. : F-Droid | Free and Open Source Android App Repository besuchen, für "Sichere" Apps.


ICH BIN ERSTAUNT; DIE LINKS WERDEN AUTOMATISCH VERÄNDERT.... ob das so sein soll???

 

[ooo]

Aus dem Start-Posting

Das Ganze soll mit "Bordmitteln" und möglichst wenig Anwendungen erfolgen, die frei verfügbar sind (und optional auch ohne Google Services/Apps).

Am Besten als direkten Download über Browser am Rechner von den Entwicklerseiten (Google-Konto/Play Store wird dann nicht benötigt = sehr schön).

Wer partout nicht auf Google verzichten kann, aktiviert (mindestens für Play Store) zusätzlich folgende Einträge:

Ohne Google ist fast schon Pflicht, aber ich will ja niemanden zwingen, Google weg zu lassen ... ;-)

 

[Timoo]

Hallo und erstmal tausend Dank für diese super Anleitung. Setze mein Telefon NUR noch so auf.

Meine Frage:

Ab und zu startet die Firewall nach einem Neustart nicht mit. Bekomme dann den roten und gelben Schild angezeigt und muss sie manuell wieder aktivieren. In dieser Zeit wäre es ja möglich, dass bestimmte Apps "Kontakt" aufnehmen.

Ich benutze ein AOSP Sense Rom (Eragon) auf einem HTC One M7.

Ich kann den Fehler leider nicht reproduzieren und habe keine Ahnung, woran das liegen könnte. Die AFWall-Version ist 1.3.4.1, sollte ich eventuell mal ein Update ziehen? Aber es gibt im Moment nur Alpha Versionen.

 

[ooo]

Moin, @Timoo,

Die ROM hat SuperSU >= v2.46? - Dann probeweise in den Einstellungen "Namensbereichsabtrennung mounten" > Haken entfernen oder setzen.

Wenn die AFWall+ bei dir mit Custom Scripts arbeitet, dann Scripte mal weglassen und testen.
Wenn es dabei keine Fehler mehr gibt, dann Scripte vereinfachen/korrigieren und neu testen.

Wenn das nichts hilft die jüngste Alpha installieren und Tests wiederholen (ohne Scripts, mit Scripts).
In AFWall+ gibt es in den Einstellungen einen Punkt "Firewall-Regeln > Menü > Fehlerbericht senden > E-Mail", welcher eine E-Mail mit Informationen erstellt (ohne senden).

Edit:
In den Einstellungen zu den Binärdateien (IPTables, Busybox) mal probeweise "rumspielen". DNS-Proxy aber so lassen, wie im Start-Posting.

 

[Timoo]

Die Rom hat sogar schon SuperSU v2.49.
Als Scripts habe ich nur die für die Ansteuerung der freien DNS-Server eingetragen, für udp und tcp. Sonst keine.
Kann es mit der BusyBox zu tun haben? Bin mir gerade nicht sicher, ob meine Custom Rom (Eragon) die integriert hat.

 

[ooo]

Nur zur Info:
Die SupersU v2.49 ist noch im Beta-Stadium. - Stable ist SuperSU v2.46.
Wenn der ROM-Dev bereits die SuperSU v2.49 integriert hat, dann hat er vermutlich auch ein umfangreiches und aktuelles (System-)BusyBox mit dazu gepackt
_

Du kannst natürlich versuchen, eine (weitere) Busybox (Stericson) zu installieren. - Vorher ein TWRP Voll-Backup machen. - Dann die Tests wiederholen. - Die Scripte kannst du dabei aktiviert lassen, wenn sie vorher funktioniert haben und du keine Änderungen in ihnen gemacht hast.

Wenn das nicht klappt, dann machst du erstmal einfach einen TWRP Restore.

Da ich die ROM/das Phone nicht habe, kann ich dir nicht besonders gut helfen. - Deswegen schlage ich vor, einfach im zugehörigen ROM-Forum die "Kollegen" zur Nutzung der AFWall+ Firewall zu fragen (Problem dort schildern).

 

[wewede]

Kann es sein, das AFWall verhindert, das ich Videoclips, egal welches Portal, anschauen kann? Ich komme zwar bis zum Videostartknopf (das übliche Dreieck), aber nach Filmstart kommt eine Fehlermeldung , z.B. Myvideo:"Aufgrund von technischen Problemen kann dieses Video nicht angezeigt werden" Welches "Häkchen" müsste gesetzt werden? Momentan hat AFWall Internetfreigaben für
11 Kernel
0 Root
1011SMS/MMS
10048 TintBrowser
10004 Downloads setze ich nur bei Bedarf
(Das Problem kann natürlich auch am ROM liegen, aber ich möchte eben zuerst AFWall ausschließen, bevor ich dort weitersuche)

Danke,
W.

 

[Miss Montage]

Kann sein, dass es mit dem Mediaserver zusammenhängt - dem habe ich Internetberechtigung erteilt, und habe keine Probleme mit dem Abspielen von Videos. Angesichts der Stagefright-Sicherheitslücke ist aber Vorsicht geboten.
Ich konnte mein Handy patchen

 

[wewede]

@Miss Montage:
Mediaserver hat einen kleinen Fortschritt gebracht, jetzt läuft das Video (ersichtlich an der Spielzeit) und ich höre den Ton, allerdings bleibt das Bild dunkel.Zumindest bei Clipfish und MyVideo (YT ist ja ein Problem für sich, weil ich mein Handy googlefrei betreibe)
Hat sonst noch jemand eine Idee (irgendwie ist es mir die Sache nicht wert, zum Ausprobieren die AFWall abzuschalten).
Danke,
W.