Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[Miss Cool]

Ich ändere noch mal schnell diesen Post bevor ihn alle gelesen haben.

Danke für den Tip mit der AFWall. Soweit möchte ich nicht gehen. Habe schon Scripte drin, die tragen aber nichts dazu bei. Sonst würde es für mich tatsächlich fummelig...

Habe gerade eine Entdeckung gemacht die ich natürlich so nicht erwartet habe. Sicher ist mittlerweile, das Problem liegt bei Orbot. Und zwar folgendes: Wenn ich den Haken bei MMSServices herausnehme und Orbot schliesse, dann macht er den Haken sofort wieder rein. Das habe ich natürlich nie geachtet, weil das bei den anderen Diensten nicht so ist. Da konnte ich den Haken duchaus herausnehmen und er blieb draussen. Stellt sich also für mich nun die Frage, warum lässt Orbot den Haken bei den MMSServices nicht gelöscht, sondern macht ihn selbstständig wieder rein? Wäre nett wenn die Orbot Benutzer das mal bei sich nachsehen würden, oder falls jemand das Problem hatte und eine Lösung kennt.

Danke!

 

[York]

Hallo allerseits,

ich versuche gerade herauszufinden, wie ich IP-Adressen für eine spezische App freigebe.

Folgendes Szenario: Ich blocke alle Google IP Adressen in meinem CustomScript:
$IPTABLES -A "afwall" -d IPADRESSENVONGOOGLE -j REJECT

Das klappt wunderbar. Allerdings möchte ich eine Ausnahme in mein CustomScript hinzufügen, z.B. für den Fall, das eine App die Google Maps API für die Standortermittlung nutzt. Außerhalb dieser App sollen die Google IPs weiterhin gesperrt bleiben.

Ich habe es hiermit versucht:
$IPTABLES -A "afwall" -d IPADRESSENVONGOOGLE -m owner --uid-owner UIDVONAUSNAHMEAPP -j ACCEPT

Das funktioniert allerdings nicht und zeigt keinerlei Effekte.

Stehe auf dem Schlauch und hoffe, dass jemand behilflich sein kann

Viele Grüße

York

 

[ooo]

Ich habe es hiermit versucht:
$IPTABLES -A "afwall" -d IPADRESSENVONGOOGLE -m owner --uid-owner UIDVONAUSNAHMEAPP -j ACCEPT

Ohne getestet zu haben oder es wirklich zu wissen, aber "-A" macht ein "Append" (= letzte Regel, ganz unten) in der Liste der Regeln. - Deswegen greift zuerst die Regel, alle Google-IPs zu sperren und die neue Regel wird nie ausgeführt.

Versuch es 'mal mit "-I" = großes "i" für "Insert" - dabei wird die Regel an Position 1 ganz oben in der Liste eingefügt (oder alternativ im Custom Script die neue Regel vor die Google-IPs-Block-Regel setzen):

$IPTABLES -I "afwall" -d IPADRESSENVONGOOGLE -m owner --uid-owner UIDVONAUSNAHMEAPP -j ACCEPT

(ohne Garantie)​

 

[York]

Vielen Dank! Das mit dem "Insert" hat geklappt!

 

[droidstar]

Hey, wo muss ich ein Häkchen in der Firewall setzen, damit YouTube sich mit dem Server verbindet ?

 

[ohnonot]

afwall+

Ich benutze dieses setup seit ca. 1 jahr (android 4.4.2), aber in den letzten tagen konnte ich hin und wieder keine verbindung zum internet kriegen.
(firefox: server not found, ähnliches auch für wetter und internet radio apps)
problematisch ist dass es ab und an geht, ein reboot mag mal helfen, dann eine kleine änderung in afwall+...

wie auch immer, ich hatte den verdacht dass das custom script der afwall+ verantwortlich sein könnte.
soweit ich das verstehe, erlaubt es mir die dns server von opendns.com zu benutzen (und die von google eben nicht).
das hier, siehe post #1:

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53

vielelicht ist opendns endgültig kommerziell geworden?

meine frage:
konnte jemand etwas ähnliches beobachten, und hilft es einen anderen dns server "freizuschalten"?
ich habe jetzt 208.67.222.222 durch 5.9.49.12 (von - OpenNIC Project, ist in D-land) ersetzt, und jezt scheint es wieder zu gehen, auch nach 2 reboots noch.
hmm.

 

[ooo]

Hey, wo muss ich ein Häkchen in der Firewall setzen, damit YouTube sich mit dem Server verbindet ?

Das geht nicht?

Wenn irgendeine App etwas downloaden muss (Browser, Mail-Anhänge, YouTube etc.), dann aktiviert man (neben der App selbst) im Profil zusätzlich:

• Downloads, Medienspeicher, Download-Manager
• Media server

In neueren AFWall+ Releases ist noch "Android System Webview" hinzugekommen. - Evtl. auch "HTML-View" ("HTML-Anzeige) anhaken und testen ... (Evtl. danach Phone neu starten).​

___

meine frage:
konnte jemand etwas ähnliches beobachten, und hilft es einen anderen dns server "freizuschalten"?

Die alten OpenDNS-Server (208.67.220.220 ...) funktionieren hier nach wie vor. - Das muss etwas anderes sein. - Aber egal, man kann ja andere IPs benutzen ...

 

[droidstar]

Nein. YouTube verbindet sich irgendwie nicht. Was mir auch noch aufgefallen ist, ich bekomme es nicht hin mein Handy via Bluetooth dem einem Radio zu verbinden.

Das Häkchen bei "Bluetooth Freigabe" ist aber gesetzt.

 

[ooo]

Ist eine andere Firewall parallel aktiviert (z. B. in Huawei/EMUI und Xiaomi/MIUI gibt es das oder eine andere Firewall/Sicherheits App ist installiert)?
Ist evtl. ein (kompliziertes) Custom Script daran beteiligt (temporär weglassen, erneut testen)?
Wenn das Log in den Einstellungen der Firewall aktiviet ist, was steht dann dort, was blockiert wird?
Funktionieren YouTube und Bluetooth, wenn die Firewall aus ist (über die Einstellungen deaktiviert, evtl. Phone neu starten)?
___
Edit:
Sind alle Haken bei den erforderlichen Schnittstellen gesetzt (LAN, W-LAN, Mobile Daten) bzw. evtl. die falsche Schnittstelle freigegeben?

 

[droidstar]

Eine andere Firewall oder ähnliches ist nicht installiert.

Sobald die Firewall aus ist, gehen YouTube und Bluetooth.


Edit:
Ich habe eben nochmal geschaut, was die Firewall blockiert. Es ist der "DRParser Mode".

Was ist das ?

 

[ooo]

Kenne ich nicht. Jedes Phone/jede ROM kann ja völlig unterschiedliche Apps haben.
DR = Digital Rights? Z. B. Filme, die urheberrechtlich/Copyright-seitig geschützt sind, Kauf-Filme/-Musik etc.?
DRM ist Digital Rights Management - so etwas oder Ähnliches müsste evtl. auch ins Internet dürfen.

 

[droidstar]

Spoiler

Da steht es in der Firewall. Im Protokoll ist nur der DRParser Mode angegeben, aber freigeben muss ich all das.

 

[ooo]

Bei Samsung-Geräten kenne ich mich nicht aus, bin also keine große Hilfe. - Samsung packt auch gerne sehr viele Apps unter den System-User (UID 1000), wie man sieht. - Das bedeutet, wenn man einer unter der UID 1000 ausgeführten App Zugang zum Internet gewähren möchte, muss man das für alle anderen in der Liste auch tun. - Leider nicht schön, ja ...
___

Aber DRParser Mode ist im Log der Firewall *nur* deshalb als geblockt angegeben, weil es der erste Eintrag in der langen Liste ist. - Es wurde aber *irgendeine* App/ein Prozess aus der Liste zu UID 1000 geblockt. - Man kann nicht sagen welche ...
___

Edit: Das alles liegt aber nicht an AFWall+ Firewall (die nur auf die Gegebenheiten reagieren kann - Android Berechtigungssystem/UIDs etc.), sondern am Geräte-/ROM-Hersteller, der dafür sorgt, welche Apps unter welcher UID zusammengefasst laufen sollen. - In diesem Fall Samsung.

 

[droidstar]

Dann werde ich denen wohl die Freigabe erteilen müssen, wenn ich YouTube benutzen möchte.

Trotzdem danke für deine Hilfe.

 

[ohnonot]

afwall+

Ich benutze dieses setup seit ca. 1 jahr (android 4.4.2), aber in den letzten tagen konnte ich hin und wieder keine verbindung zum internet kriegen.
(firefox: server not found, ähnliches auch für wetter und internet radio apps)
problematisch ist dass es ab und an geht, ein reboot mag mal helfen, dann eine kleine änderung in afwall+...

wie auch immer, ich hatte den verdacht dass das custom script der afwall+ verantwortlich sein könnte.
soweit ich das verstehe, erlaubt es mir die dns server von opendns.com zu benutzen (und die von google eben nicht).
das hier, siehe post #1:

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.222.222:53
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.222.222:53

vielelicht ist opendns endgültig kommerziell geworden?

meine frage:
konnte jemand etwas ähnliches beobachten, und hilft es einen anderen dns server "freizuschalten"?
ich habe jetzt 208.67.222.222 durch 5.9.49.12 (von - OpenNIC Project, ist in D-land) ersetzt, und jezt scheint es wieder zu gehen, auch nach 2 reboots noch.
hmm.

OK, es hatte also nichts mit den DNS-Servern zu tun, sondern mit diesem bug:
AFwall+ 2.5.x hangs during connection change when logging is enabled · Issue #563 · ukanth/afwall · GitHub
siehe meinen kommentar am ende:
AFwall+ 2.5.x hangs during connection change when logging is enabled · Issue #563 · ukanth/afwall · GitHub

das heisst, im Menü unter "Log" alle Häkchen rausnehmen, dann geht's wieder!

---------------------

nebenbei eine kleine empfehlung für die dns server von opennic.
nicht für das howto, sondern für interessierte leute die noch ein bisschen sicherer gehen wollen (es gab einige kritik an opendns).
der oben erwähnte deutsche server ist schon sehr lange immer ganz oben auf der liste.

 

[djhooker]

Ich habe mit der neuesten Version von AFWall+ ebenfalls ein Problem.
Für meinen täglichen Betrieb richtete ich 2 Profile ein: WLAN für alle vertrauenswürdigen Netzwerke und "Unterwegs" fürs mobile Daten empfangen/senden und bei dem die Anzahl der Apps, welche aufs Internet zugreifen können, reduziert ist.
Für beide Profile nutze ich das Skript, mit dem der mobile Datenempfang über den openDNS-Server läuft.
Bei "Benutzeroberfläche" ist die Funktion "AFWall-Symbol anzeigen" in der Benachrichtigungsanzeige aktiviert.
Als Betriebssystem kommt Android 6.0 auf einem gerooteten Samsung S4 zum Einsatz (Resurrection Remix Version 5.7.4).
So lief das alles bislang ganz gut.
Seit kurzem fällt mir auf, dass AFWall+ nach einem Geräteneustart nicht allein startet, wenn das Profil "Unterwegs" aktiviert ist - zumindest erscheint kein Symbol in der Benachrichtigungsleiste. Starte ich AFWall manuell, läuft das Programm normal.
Ist das Profil "WLAN" aktiviert, startet AFWall nach einem Geräteneustart normal.

Ich weiß nicht, ob im zuerst beschriebenen Fall bei "Unterwegs" AFWall tatsächlich zunächst deaktiviert bleibt oder ob es bloß ein Anzeigefehler ist. Kann jemand dieses Verhalten nachvollziehen und weiß ggf. Abhilfe?

Danke sagt
djhooker

 

[ooo]

Wenn es das Anzeige-Problem bei v2.6.0 ist - das wurde in v2.6.0.1 behoben. - v.2.6.0.1 ist aber noch nicht im F-Droid App Store angekommen.
[4.0+][ROOT][2.6.0.1] AFWall+ IPTables Firewall [2 OCT 2016] - Post #3319
[4.0+][ROOT][2.6.0.1] AFWall+ IPTables Firewall [2 OCT 2016] - Post #3320

 

[djhooker]

Oh, dankeschön. Dann warte ich mal die Bereitstellung der Aktualisierungen ab.

 

[zcover]

Ein Superthread, danke dem TE ooo.

Besonders, weil mein Samsumg Xcover 2 nur Android 4.1.2 unterstützt.

 

[Nikotin]

Hallo zusammen

Erst mal ein Danke für dieses Thema hier.
Sehr gute Beiträge und Tipps wie das Android sicherer gemacht werden kann.

Ich möchte noch auf etwas hinweisen, da ich den Fall selber habe und es bestimmt noch andere Smartphone Benutzer betrifft.
Hier die Story, was ich entdeckt und was ich unternommen habe.

.:-~*# Bin ich paranoid oder spioniert Android?! #*~-:.
GPS Tracking ohne aktiviertes GPS aber dank Netzwerkverbindung

Vorab mein Setup:
S3 Mini (GT I-8910) rooted
OmniROM 5.1.1
Keine GAPPS
AFWall+ ohne custom Scripts

Das Handy wurde gesäubert:
Captive Portal Check, NTP, GPS, unnötige System Apps deaktiviert. WLAN und Sync/Updates angepasst, dass sich nichts verselbstständigt.

Die Story:
In den Protokollen von AFWall tauchen IP-Adressen auf, die unter dem SystemUser (1000) alle 15 Sekunden raus wollen. (Bei Mobilfunkdaten und WLAN)
Ich könnte das natürlich ignorieren und das Handy weiter so belassen, nur ist das nicht meine Vorstellung von einem "sauberen" Smartphone.
So habe ich einiges an Zeit investiert, um zu verstehen was da abgeht und wie ich das abstellen kann.

Es wird versucht über 2 verschiedene IPs eine Verbindung herzustellen.
Beim Auflösen der IPs sieht man, dass alle zu ....compute.amazonaws.com wollen.
Das hatten wir hier schon, so habe ich Großteil der System Apps mit adb durch "pm disable ..." deaktiviert.
Nach dem Neustart waren die Verbindungsversuche immer noch da.

Dann hab ich den Wireshark dazwischen gehängt, um es mir genauer anzusehen.
Durch die DNS Anfragen konnte ich schon sehen wohin das System wirklich will und zwar zu instantfix.csrlbs.com
(Das ist durch .compute.amazonaws.com erreichbar / dahinter versteckt).

So habe ich nach instantfix.csrlbs.com online gesucht und diesen Artikel durch Umwege gefunden:

Exploiting Unencrypted Mobile Application Traffic for Surveillance - Technical Report von der Universität KU Leuven:
https://securewww.esat.kuleuven.be/cosic/publications/article-2679.pdf
Der gleicher Hauptartikel über "Leaky Birds" der aus dem Jahre 2014 stammte:
https://securewww.esat.kuleuven.be/cosic/publications/article-2601.pdf
Also schon ein alter Hut aber immer noch keine Abhilfe dagegen?

Im dem ersten Report ist die instantfix.csrlbs.com Adresse zu finden.
Dort steht das es GPS ephemeris data sind, die mit der Adresse ausgetauscht werden.

Tja gut.
Mein GPS ist aus und ich möchte auch keinen GPS fix für mein Smartphone haben. FusedLocationProvider ist auch deaktiviert.

Ich habe das mit anderen ROMs für S3 Mini getestet. (Custom und Stock)
Ergebnis: Erst ab Android 4.3 kommen diese Verbindungsversuche.
Wie man schön auf Wikipedia nachlesen kann: Android version history - Wikipedia wurde bei 4.3 das eingeführt:

"System-level support for geofencing and Wi-Fi scanning APIs

• Background Wi-Fi location still runs even when Wi-Fi is turned off"

Meine Lösung:
Ich habe jetzt die harte Variante genommen und das GPS komplett "deaktiviert".
Mit grep -r instantfix* ./system
wurde das system Verzeichnis durchsucht und dabei ist diese Datei aufgeschlagen:
/system/lib/hw/gps.montblanc.so

Dort steht der Verweis auf instantfix.csrlbs.com
Das ersetzen durch Nullen mit dem HexEditor war nicht erfolgreich.
Mein GPS Sensor ist nun unbrauchbar


Die Frage:
Wie kann das Tracking wirklich deaktiviert werden ohne seinen GPS Sensor zu schrotten?

UND HALLO
Das 4.3 Update kam paar Wochen nach den Snowden-Enhüllungen raus und es gibt bis jetzt keine Lösung wie das abgestellt werden kann ?
Oder betrifft das nur alte Smartphones? (Von denen ja so wenige im Umlauf sind)