Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[anonymousdark]

Hallo, das gehört vielleicht nicht hier her, aber ich frag trotzdem mal....

Ich habe das hier Google und Facebook IP-Adressen blockieren • Kuketz IT-Security Blog
Ausprobiert, nur das problem ist das mein HandyTerminal immer Meldet:

sh: cant create nets.txt: Read-only file System

Gib es ein Befehl für write? Bzw. warum habe ich trotz Root keine Schreibrechte?
Bitte um Hilfe.

 

[mratix]

Ausprobiert, nur das problem ist das mein HandyTerminal immer Meldet:

es steht ja nirgends dass es ins Android-Terminal reingeklopft werden soll. Schon gar nicht im /system oder mit root.

sh: cant create nets.txt: Read-only file System

Gib es ein Befehl für write?

Ja, gibt es. Ein eingehängtes /system als rw (beschreibbar) ermöglicht es. Aber möchtest du das wirklich?
Vielleicht lässt du (anfangs) das ganze erstmal auf /sdcard/ oder /storage/emulated/0/... los. Da kann man nur die Daten statt dem System kaputt machen Nur so zur Eigensicherheit.

Soll heißen: vor der Zieldatei nets.txt einen der o.g. Pfade voransetzen.

Bzw. warum habe ich trotz Root keine Schreibrechte?
Bitte um Hilfe.

hmm gute Frage. Siehe oben.

 

[anonymousdark]

Danke dir.

Das Problem ist, wo und die fügt man denn dann den Pfad int das Script ein?
Ich hatte die IPRs für IPtables (das habe ich einigermaßen verstanden, wie man was blockiert ) immer manuell eingefügt.
Nur bei dem Pythonscript blick ich nicht ganz durch.

Ist halt sehr praktisch, weil das Manuell zu machen bei einer Liste mit 100 IpsRanges....
da wirst du bekloppt^^....

Habe aber auch noch ein 2 Handy (alt) mit dem man das testen könnte....

 

[mratix]

Nur bei dem Pythonscript blick ich nicht ganz durch.

Ja, hast vollkommend Recht. Der Author hat den Umgang zum Script nicht weiter beschrieben.

Prüfe zuerst ob deine ROM Python-Unterstützung hat. Im Terminal oder noch besser mit adb:

which python

Ansonsten einen Linux-PC suchen oder Python unter Windows installieren.

cd /sdcard
touch script.py
vi script.py # hier im editor (kannst auch nano o.ä. nehmen; nun das script einfügen
curl --silent 'https://stat.ripe.net/data/announced-prefixes/data.json?preferred_version=1.1&resource=AS15169' | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}' | uniq > nets.txt
chmod +x script.py
python ./script.py

Den Rest weiter nach Kuketz-Anleitung ins afwall-startscript einbringen.

Habe aber auch noch ein 2 Handy (alt) mit dem man das testen könnte....

Das ist gut.

 

[ooo]

sh: cant create nets.txt: Read-only file System

Gib es ein Befehl für write? Bzw. warum habe ich trotz Root keine Schreibrechte?

___

Off topic (da Linux Grundkurs)

Spoiler: Befehle

Zu root werden ( # anstatt $ als Prompt) im Terminal Emulator oder in einer adb shell

su

___

Nachsehen, ob die system Partition nur lesbar (ro) oder bereits beschreibbar (rw) ist

mount | grep -i /system

___

system Partition als root (su) beschreibbar machen im Terminal Emulator oder in einer adb shell

mount -o remount,rw /system

___

aktuelles Verzeichnis ansehen im Terminal Emulator oder in einer adb shell

ls

___

aktuelles Verzeichnis ansehen (ausführlich, auch versteckte Dateien) im Terminal Emulator oder in einer adb shell

ls -la

___

system Partition als root (su) wieder auf nur lesen (ro = read only) setzen im Terminal Emulator oder in einer adb shell

mount -o remount,ro /system

root session beenden im Terminal Emulator oder in einer adb shell

exit

shell session beenden im Terminal Emulator oder in einer adb shell

exit

___

Tipp: Ubuntu (Linux-Rechner) einrichten und im Terminal erstmal (Linux-Befehle) üben.

 

[an0n]

Klingt interessant, werd ne flashable zip erstellen mit blockierten ips von google, fb und co., wenn ich zeit hab, so ab den weihnachtsferien. nicht jeder kann scripten, auch nicht mit anleitung. ein python script hab ich aber bisher noch nicht erstellt, werd mal sehen obs klappt. [emoji41]

 

[LenovoP780]

Hallo,

ich verfolge den Thread nun schon einige Zeit und sobald ich zu CM 13 wechsel werd ich die ganzen Tipps beherzigen.

Hätte aber eine Frage bezüglich der Firewall+Tasker.

Ich würde nämlich gerne bestimmten Apps den Internetzugriff nur gestatten wenn ich sie auch tatsächlich nutze. Das lässt sich ja ganz simple mit Tasker realisieren, da die Profile ja problemlos mit Tasker verwaltet werden können.

Aber muss ich da dann bei AFWall+ jedes Profil neu erstellen, oder gibt es eine Möglichkeit, dass die Einstellungen z.B. aus dem Profil 'Standard' übernommen werden und ich dann im Profil nur noch dieser einen ausgewählten App den Zugriff gestatteten muss?

Oder ist das ganze sowieso sinnlos und ich kann diesen Apps den Internetzugang auch gleich dauerhaft gestatten?

LG und frohe Weihnachten

 

[mratix]

sobald ich zu CM 13 wechsel werd ich die ganzen Tipps beherzigen.

Und wenn du jetzt schon langsam testest und dich einarbeitest? Oder bekommst du mit cm13 eine neue Identität, welche mit der jetzigen (Personendaten, Nutzungsverhalten...) nichts zu tun hat und auch nicht in Verbindung gebracht werden kann?

Abgesehen davon, ein ROM-Wechsel bringt neue Apps, Dienste, Funktionen mit, die vorher nicht oder anders vorhanden waren. In Bezug auf die Internet-/ Netzwerknutzung.

Ibestimmten Apps den Internetzugriff nur gestatten wenn ich sie auch tatsächlich nutze. Das lässt sich ja ganz simple mit Tasker realisieren

Das bezweifle ich stark. Dann wäre Tasker eine Firewall statt multifunktionalem Steuerungs- und Schaltwerkzeug.
Tasker klinkt sich nicht in den Netzwerktraffic ein. Eine Firewall schon. Afwall macht es ganz gut und tief in der Systemschicht.

da die Profile ja problemlos mit Tasker verwaltet werden können.

Geschaltet ja, verwaltet nein.

Aber muss ich da dann bei AFWall+ jedes Profil neu erstellen, oder gibt es eine Möglichkeit, dass die Einstellungen z.B. aus dem Profil 'Standard' übernommen werden und ich dann im Profil nur noch dieser einen ausgewählten App den Zugriff gestatteten muss?

...also doch eine Firewall nötig

Ein Afwall-Profil funktioniert immer als ein ganzes.
Dieses Szenario könntest am einfachsten folgerdemaßen umsetzen:
Richtest dir das Standardprofil ein und definierst die Zugriffe/Beschränkungen, speicherst es ab, exportierst das Profil (ohne Einstellungen), schaltest auf ein anderes um, importierst es, machst die Änderungen, speicherst es ab. Fertig.

Oder: erstellst das standardprofil, weist ihm ein start/stop-script zu. Erstellst für alle anderen Zwecke eigene scripte und weist sie den einzelnen Profilen zu. Die nötigen Sachen (Variablen, Intents, Stamps, Tickets...) könnte dir dann Tasker liefern bzw. steuern.

Es gibt mehrere Möglichkeiten die Profile sinnvoll einzusetzen z.B.
a) Situationsbedingt: alles machen, nur surfen, nachrichten lesen+chatten, zocken, im lan streamen...
b) Lokationsbedingt: zuhause, unterwegs, in der Arbeit, nirgends...

Wie man es sich aufbaut und zusammenschnürt ist Sache der Kreativität und Gestaltung eines jeden.

Oder ist das ganze sowieso sinnlos und ich kann diesen Apps den Internetzugang auch gleich dauerhaft gestatten?

Weiss ich nicht. Ob du eine Firewall brauchst oder nicht.

 

[LenovoP780]

Hallo,

danke mal für deine Antwort. Ich will nicht mit Tasker alleine den Internetzugriff regeln sondern in Verbindung mit Tasker. AfWall+ bietet ja ein eigenes TaskerPlugin an, dass Situationsbedingt bestimmte Profile der AfWall+ aktiviert.

Also genau so wie du es beschrieben hast (Surfen, Daheim, Unterwegs, AH-App lesen...) und automatisiert.

Wobei man mit Tasker selbst iptables erstellen kann und damit ja auch den Internetzugriff steuern könnte? (Was ich nicht vorhabe)

Ich wollte mir nur die Arbeit ersparen bei jedem Profil die Mindestanforderungen auszuwählen um ins Internet zu kommen. Und im entsprechenden Profil nur die entsprechende APP zusätzlich auswählen. Aber wenn man Profile einfach exportieren/importieren kann, dann sollte das ja problemlos klappen.

Ich bilde mir ein gelesen zu haben (im Startpost?!) , dass bei jedem Wipe bzw. beim Zurücksetzten auf die Werkseinstellungen eine neue ID zugewiesen wird. Mein Goolge-Konto bleibt (natürlich) das selbe.

Abgesehen davon verwende ich AfWall+ bereits, nur nicht in dem Ausmaß wie ihr es nutzt.

LG und frohe Weihnachten

PS: Ganze Sätze halbieren und diese dann zitieren ist fies ;-)

 

[mratix]

Das hab ich mir schon gedacht, wobei es technisch durchaus möglich wäre ein paar Kommandos i.d.A. iptables -a .... return abzusetzen. Nur eine Firewall soll ja auch zum anfassen sein und Meldungen von sich geben.

Tasker-User setzen das mächtige Tool nicht grundlos oder zufällig ein. Du könntest den Profilwechsel auch mit einem intent-Aufruf herbeiführen.

LG und frohe Weihnachten

PS: Ganze Sätze halbieren und diese dann zitieren ist fies ;-)

Na so schlimm war es doch gar nicht. Hab nur einen außereinander gerissen

Dito, gleichfalls ein frohes Fest.

 

[anonymousdark]

Hallo ich möchte mich nochmal bei "mratix" und "ooo" bedanken.
Ich habe das erstellen der Iplisten mit dem Linux Pc gemacht (dann auf die SD-Karte geschoben und in AFWall+ eingebunden), da meine Rom kein Python unterstützt. Hat super geklappt =).

 

[anonymousdark]

Guten Abend. Ich bin beim Stöbern im Netz auf folgende App gestoßen "SecDroid"
F-Droid

Sprich man kann die Verschlüsselung und VerschlüsselungsApps nicht mehr so einfach umgehen.
Dann wäre das Smartpohne richtig abgesichert, wenn ich das richtig verstanden habe....??

Kennt vielleicht jemand diese App bzw. hat Sie kompiliert und oder getestet?

 

[mratix]

auf folgende App gestoßen "SecDroid"

Ich hab mir auf die schnelle den git-code angeschaut. Ein paar interessante Sache sind schon drinnen. Aber werde es noch genauer zerkauen.

Die App brauchst du nicht compilen, das package zum installieren liegt unter secdroid/latest Binary at master · x942/secdroid · GitHub.

Jedoch würde ich dir davon _dringendst_ abraten. Ungeübte zerschießen sich damit das system. Ein revert (Rücknahme/Deinstallation) ist nicht möglich, nicht vorhanden und auch nicht vorgesehen. Um es wieder loszuwerden müsstest die Firmware (ROM) neu flashen.

Das ganze ist ein hardening (Systemhärtung) und lockdown. Und auch nichts, um mal schnell, auszuprobieren, denn es ist scharfgeschaltet!

 

[anonymousdark]

Jedoch würde ich dir davon _dringendst_ abraten. Ungeübte zerschießen sich damit das system. Ein revert (Rücknahme/Deinstallation) ist nicht möglich, nicht vorhanden und auch nicht vorgesehen. Um es wieder loszuwerden müsstest die Firmware (ROM) neu flashen.

Zum testen nutze ich immer ein altes Smartpohne, da wäre es kein Problem die Firmware neu zu Flashen. Danke dir schonmal für deine Mühe.

ABER ich bin ja selber ein Noob in dem Bereich, deshalb sollte man natüich immer hier nachfragen, wenn man sich für etwas interessiert, wovon man keine Ahnung hat!!

Generell ging es erstmal darum eine Meinung einzuholen. Und ja ich werde die Finger davon lassen.

Schade, dass es nicht eine Einfachere Variante dafür gibt.

 

[an0n]

SecDroid ist veraltet, nur geeignet für Android 4.2 Roms oder drunter. Ich denk ssh, ping, etc. kann man auch über iptables blocken. aber ping zu blocken verursacht verbindungsprobleme.

Das flashable zip hab ich fertigbekommen, hab zusätzlich ipv6 iptables hinzugegügt, allerdings kommt keine oder sehr langsame internetverbindung zustande, was wohl an komprimierten ipv6 iptables liegt. Werd dann wohl nur ipv4 addressen hinzufügen und ein script erstellen dass ipv6 generell blockt. Zu Google hab ich ausserdem 6 AS Nummern gefunden
PeeringDB

 

[anonymousdark]

SecDroid ist veraltet, nur geeignet für Android 4.2 Roms oder drunter.

Okay. Sollte man diese ROM´s nicht generell vermeiden, wegen der Sichheitslücken?

Ich denk ssh, ping, etc. kann man auch über iptables blocken. aber ping zu blocken verursacht verbindungsprobleme.

Mir ging es hauptsächtlich darum Smartphones , wie aktuell ist das?
Welche Vor bzw. Nachteile hat eine Deaktivierung des "KILLSwitches", dass man gezeilte Überwachung nicht umgehen kann weiss ich, nur ist das Schreiben über Krypto-Apps dann sicherer ?

Ich werde mich mal weiter in iptables einlesen, ist ja doch schon ein umfangreiches Thema! =)

 

[an0n]

Man sollte Roms ab Android 4.4.4 aufwärts benutzen, natürlich nur Custom-Roms. Die haben Selinux und PIE integriert was vor manipulation schützt. Zu Android 6 kann ich aber noch nix zu sagen, da ich das nicht getestet hatte. Der Artikel ist nicht aktuell, stammt wohl zwischen 2013 u. Anfang 2014. Mit der Killswitch-funtion ist normalerweise gemeint, dass alle Benutzerdaten gelöscht werden, zb. bei falscher Passworteingabe. Das einige Stockroms gelöschte Systemapps wiederherstellen und dass der Playstore Apps manipuliert stimmt, aber AOSP/CM-Roms machen das idR nicht. Deswegen Finger weg von Stockroms u. Gapps. Xposed sollte ebenfalls nicht installiert werden, da man dadurch den integrierten Schutz aushebeln kann.

Crytoapps sind auf jeden Fall empfelenswert, schau mal nach Telegram, Kontalk, Conversations, K-9 Mail, SMSsecure oder LibreSignal. Voraussetzung für verschlüselte Kommunikation ist aber dass der Empfänger ebenfalls die App benutzt.

 

[anonymousdark]

Man sollte Roms ab Android 4.4.4 aufwärts benutzen, natürlich nur Custom-Roms.

Dann war ich da doch richtig informiert =), danke dir.

Die haben Selinux und PIE integriert was vor manipulation schützt.

Gibt eine eine Seite, oder eine kuze Erläuterung deinerseits was PIE bedeutet?

Deswegen Finger weg von Stockroms u. Gapps. Xposed sollte ebenfalls nicht installiert werden, da man dadurch den integrierten Schutz aushebeln kann.

Ich hatte auch Xposed +Xprivacy installiert "ooo" hatte auch mal geschrieben, dass man Xposed nicht nutzen sollte, zu stakre Änderungen der ROM/System (so in etwa).
Das ist natürlich blöd, da Xprivacy für weniger kompetene in diesem Bereich sehr praktisch ist.
Berechtigungsmanager, Datenmanipulation (falsche Daten generiern, fake MAC...) usw.

Crytoapps sind auf jeden Fall empfelenswert, schau mal nach Telegram, Kontalk, Conversations, K-9 Mail, SMSsecure oder LibreSignal. Voraussetzung für verschlüselte Kommunikation ist aber dass der Empfänger ebenfalls die App benutzt.

Telegram hatte ich vor langer zeit mal, möchte ich aus diversen Gründen nicht.
Kontalk, wollte ich mir mal anschauen.
Conversations, welches auch Mike´s Liebling ist, habe ich schon installiert, aber noch nicht getestet. Benötig eine Jabber-ID
K-9 Mail reicht viellecht um nur nach E-Mails zu schauen, einen privaten PGP-Schlüssel sollte man nicht auf dem Handy haben, wie ich gelesen habe.
SMS-Secure hatte ich auch schon genutzt. (Wie sieht es dort mit den Metadaten aus?)
LibreSignal möchte ich nicht, weil man seine Handynummer regestrieren muss bzw für die Verwendung angeben muss.

 

[ottosykora1]

>einen privaten PGP-Schlüssel sollte man nicht auf dem Handy haben, wie ich gelesen habe.<
ja, richtig. Aber den darf man auch auf keinem PC haben oder einem anderen Computer wenn man es genau nehmen will.

Bei x509 Schlüsseln wird es oft auch so gehandhabt. Mein ist auf einem Chip gespeichert aus welchem man es nicht exportieren kann. Man kann es verwenden, aber nicht rausholen. Man muss nur dem System vertrauen, welches diesen Chip macht und drin den Schlüssel erstellt. Auch nicht besonders einfache Sache.

 

[an0n]

OpenKeychain verwaltet PGP-Keys und ist kompatibel mit Conversations und K9 Mail, habs aber selber bisher nicht getestet.
CM-basierte Roms und einige Customroms haben AppOps integriert und es unterstützt inzwischen interaktive Erlauben/Ablehnen-Optionen, falls es in den Einstellungen die Datenschutz-Option für alle Apps ausgewählt wurde, somit ist es eine gute alternative zu xprivacy.
Zu PIE hab ich im web auch kaum was gefunden, hier wirds in englisch etwas beschrieben: Android 5.0: Lollipop Gets Serious About Security | Science and Technology

Wie das mit den metadaten bei smssecure aussieht weiss ich nicht, jedenfalls läuft das ohne GCM.