Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

Viel harte Arbeit. - Find ich gut.

Wenn man die Domain checkt (Linux Box > Terminal > whois csrlbs.com), kommt dieser Besitzer heraus:

Ich nehme an, dass das ein zum Qualcomm-SoC (integriertes GPS Modul) gehöriger Service von Qualcomm ist, den der Hersteller des Phones dann über die Libraries als Infrastruktur mitbenutzt, aber so tief bin ich auch nicht in der Materie. - Von anderen Herstellern gibt es ähnliche "Services". - Ich sehe das auch nicht gern, weil es (für mich) nicht transparent ist.

Da es Hostnamen bzw. IPs sind, kann man das blocken. - Inwieweit man das schafft, sagt einem dann z. B. wieder Wireshark.

Das beste Anti-Tracking ist vermutlich, das Phone einem Fremden in die Tasche zu stecken und sich genau in die entgegengesetzte Richtung fort zu bewegen ... joke​

 

[fireburner]

Hi @ooo Ich habe mich gefragt welche Regeln ich bei AFWall+ setzen müsste, damit die APN Settings vom Provider gepusht werden könnten?
Oder wie funktioniert dieser Prozess?

P.S. ich brauche aktuell keine neuen APN Settings, sondern die Frage kam mir nur so zufällig in den Sinn.

 

[ooo]

Das kann ich dir nicht sagen, weil die Provider nicht alle gleich sind.
Die APN-Settings kommen ja auch entweder aus Vorgabe-Listen aus dem Gerät/der ROM oder über einen anderen Mechanismus via Baseband/SIM.
(Früher hat man i. d. R. eine WAP-Push Benachrichtigung erhalten bzw. eine Notification-SMS/MMS.)
An der Stelle gibt es keine Firewall (iptables/ip6tables)

Basics zur IP-Vergabe via DHCP (nach Erhalt/Eintrag des korrekten APN/der Server-Adresse):
Dynamic Host Configuration Protocol – Wikipedia

 

[fireburner]

Danke dir! Ich dachte mir schon fast, dass es auf anderem Wege passiert als über die TCP/IP Verbindung.

 

[fireburner]

Ich habe mein Telefon neu aufgesetzt und diesmal die AfWall+ Regeln restriktiver vergeben als vorher.
Bei einer WLan Verbindung bekomme ich immer "kein Internet" angezeigt. (geht natürlich trotzdem)
Wenn ich Data Usage Provider zulasse, ist de nicht so, allerdings ist dies in Prozess 1000 eingegliedert, was ich ungern freigeben mächte.

Laut netzt müsste man den Lookup auf dem Google Server mit
settings put global captive_portal_detection_enabled 0
unterbinden können, allerdings ist dann die Captive Portal Erkennung aus.

Weis jemand eine andere Möglichkeit diesen Lookup zuzulassen und eventuell noch einen anderen Server als den von Google zu wählen?


Meine zweite Frage bezieht sich auf ADB, wie kann ADB nur in meinem Heimnetzwerk erlauben?
Allerdings geht ADB nicht einmal wenn ich es für alle Netzwerke Freigebe.
(Ich spreche nur von ADB über WLan, nicht von ADB über USB, was Problemlos geht)

Danke euch und einen schönen Abend.

 

[ooo]

"Kein Internet" Problem abstellen (einmalige Aktion):
(Danach kommt man aber evtl. nicht mehr in Hotel-W-LANs etc., die eine Anmeldeseite haben.)

Terminal Emulator öffnen, Eingabe

su
settings put global captive_portal_detection_enabled 0
settings put global captive_portal_server 127.0.0.1
pm disable com.android.captiveportallogin

Phone neu starten​

Wieder zurücksetzen:

Terminal Emulator öffnen, Eingabe

su
settings put global captive_portal_detection_enabled 1
### settings put global captive_portal_server null
settings delete global captive_portal_server
pm enable com.android.captiveportallogin

Phone neu starten
​

Wenn man das mit einem anderen Server machen möchte, kann man sich das mit einem eigenen Web-Server zusammenbauen (im W-LAN zuhause, settings put global captive_portal_server my-server.box). - Auf XDA gibt es irgendwo Anleitungen dazu.
Ob es irgendwo einen weiteren öffentlichen Service dazu gibt, weiß ich nicht. - Ich lass das immer aus, da ich es (unterwegs) nicht benötige bzw. nur offene Hotspots benutze. - Die Befehle kann man sich auch in zwei shell script-Dateien (.sh) auf der SD Card oder in den internen Speicher packen und dann (unterwegs) bei Bedarf ausführen. (z. B. Terminal Emulator öffnen, dann Eingabe su und . /sdcard/cpl-on.sh und reboot bzw. su und . /sdcard/cpl-off.sh und reboot)
___

Für ADB über WiFi gibt es in den Entwickleroptionen einen Schalter (nicht bei allen ROMs, es geht aber trotzdem) und AFWall hat eine Option in den Einstellungen, um Zugriffe von außen zuzulassen.
Damit sollte es dann gehen. - Diese Einstellungen sollte man nach der Arbeit wieder deaktivieren. - I. d. R. ist man bei der Arbeit mit ADB ja im eigenen Heimnetzwerk-Segment (192.168.0.0/16 o. ä.), also ist das Sperren von fremden Zugriffen obsolet. (Evtl. die Firewall am Rechner nicht vergessen ...)

 

[fireburner]

settings put global captive_portal_detection_enabled 0 funktioniert soweit, außer das wie erwartet keine Captive PortalErkennung mehr funktioniert.
Dadurch entfällt leider auch die Umleitung im Browser, wenn man mit einem solchen Wifi verbunden ist.
Nur diesen Check kann ich nicht eventuell mit einer manuellen iptable Regel zulassen? Weil Prozess 1000 werde ichs icher nicht zulassen. Dann lieber ohne Captive Portal

P.S. leider gäbe es auf Arbeit jetzt ein public Wifi, wo man sich mit seinem USernamen einloggen könnte. Aber egal, ging ja bisher auch ohne Wifi

 

[ooo]

Wenn du die Loginseite des Public W-LANs deines Arbeitgebers kennst (URL/Web-Adresse/Link), kannst du diese dann nicht einfach im Browser als Lesezeichen speichern und direkt für die Anmeldung öffnen? - Dazu benötigt man diesen Captive Portal Kram auch nicht.
___

Das hier ist übrigens eine App, die ein "Eigen"-Leben haben kann ... (deswegen disable).

pm disable com.android.captiveportallogin

 

[zcover]

Hallo ooo,

Du schreibst:

2.1.3. Optional: Titanium Backup (benötigt root) - free oder Donate "Pro"-Version, um u. a. z. B. Apps einfrieren zu können

Ist LinkSD nicht genauso oder sogar besser geeignet, weil kleiner?

MfG

zocover

 

[ooo]

Titanium Backup (Pro) hat das zusätzlich als Vorteil, der Hauptgrund für meine Empfehlung war, dass man damit Sicherungen machen kann.
Man kann für das Einfrieren von Apps jede App nehmen, die das gut kann.
Wenn man gerootet ist, kann man das mit pm disable <package-name> (einfrieren) bzw. pm enable <package-name> (wieder auftauen) auch in einer adb root shell machen (ganz ohne App). - Oder die genannten Befehle z. B. in der App Terminal Emulator absetzen. - "pm" ist der packet manager von Android.
Es gibt also mehrere Möglichkeiten und man hat die Wahl.

 

[fireburner]

@ooo
Das deaktivieren des Captive Portal Logins hat leider dazu geführt, das mein Podcast Client immer denkt, er wäre nur Mobil verbunden und mir ständig eine Warnung schickt.
Ich habe es also nach obigem Shellcode wieder aktiviert.
Allerdings besteht das Problem mit dem Podcast Client weiter. Ich bin mir Recht sicher, das es erst aufgetreten war, als ich die Captive Portal Detection deaktiviert hatte.
Bist du sicher, dass bei:
settings put global captive_portal_server null
null der default Server ist??

 

[ooo]

Bist du sicher, dass bei:
settings put global captive_portal_server null
null der default Server ist??

Nein.
(Evtl. hat es nie funktioniert und ich habe es nicht gemerkt oder es hat sich in der Zwischenzeit etwas an der Syntax geändert.)

Probier' das hier im Terminal:

su
settings delete global captive_portal_server

(s. a. Screenshot für den Test)
​

___
Edit:
Allgemeine sqlite3 syntax (Beispiel "overlay_display_devices" anstatt "captive_portal_server"):
sqlite> delete from global where name="overlay_display_devices";
sqlite> select * from global where name="overlay_display_devices";
sqlite>
___

 

[mika24]

Bei mir wen ich Von AFwall+ das Customscript nehme, dan Wird die Datennutzung unter Einstellungen falsch Berechnet. Das ist bei mein S2, S6, S7, Galaxy Grand 2 der Fall
ich habe das Script aus seite 6

das hier .

#
# /data/local/afwall/afwall-start-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
$IPTABLES -F INPUT

# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

## Block Facebook Sicherheit - App-Entwicklung - Dokumentation - Facebook for Developers
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

# Force NTP DE ntp0.fau.de (131.188.3.220), Location: University Erlangen-Nuernberg
#$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
#$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123

# Force DNS (in this Case [OpenDNS](Cloud Delivered Enterprise Security by OpenDNS))
$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 208.67.220.220:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 208.67.220.220:53




Theroretisch werden die Regeln ja Zum vorhandenen Script, was von Afwall kommt Hinzugefügt
.
Den DNS aus zu kommentieren brachte auch nicht den Erfolg, wird trotzdem Falsch berechnet.
Wenn ich 50 MB Runterlade dan zeigt er mir 2 MB an unter Opera wo eigentlich 50 MB stehen muss + Webseiten Aufbau,
Gesamt wird evt Richtig Berechnet. wenn ich jedoch ohne Script das benutze dan Wird alles richtig Berechnet.

wen man da im Angefügten Bild schaut sind Gesamt 743 MB verbraucht worden. So opera hat 227 MB verbrauscht, playstore 28,35 und lovoo 25,47
darunte nur kleine Werte Android OS etc. wen man das Alles zusammenzählt dan kommt man niehmals auf 743 MB höchstens 350 MB.
Vieleicht hat ja jemand ne Lösung für das Problem mit dem Customscript, weil es ja auch alle betrift die das Script nutzen.

 

[ooo]

In der Datennutzung wird der gesamte Datenverkehr addiert - auch der, der das Gerät nicht verlässt, weil z. B. *nach dem Addieren dort* von der Firewall *danach* blockiert. - Das kann dann zu unterschiedlichen Werten führen. - Es ist ene Interpretationssache.

___
Edit:

(Evtl. liegt es auch an der Samsung ROM, die so reagiert?)

Beispiel mit einer Android 7.1.1 Custom ROM und aktivierter AFWall+ v2.9.1 mit Basis-Custom-Script (Lightning ist ein Browser):

 

[mika24]

Das könnte sein, das die Samsung Rom so Reagiert aber auch Iwie komisch weil ohne das Custom script gehts ja.
Also muss es ja an dem Script liegen, bzw an dem Aufbau des scriptes.Weil bei dir Wirds ja richtig Berechnet.
Ich kann ja mal dein Script ausprobieren, obs dan Richtig Berechnet wird.
Oder liegt es daran das ich IPv6 Komplett gesperrt habe über das Script ?

 

[ooo]

Probieren kann man immer. - IPv6 kann man ganz locker über die Einstellungen von AFWall+ blocken. - Dafür muss man sich keine potenziellen Fehler in das Custom Script einbauen. - Generell ist es eine gute Idee, das Custom Script so einfach wie möglich zu halten. - Und nur Regeln dort einzutüten, die man auch komplett versteht.

Was passiert denn bei aktivierter Firewall, aber ganz ohne Custom Script, nach einem Neustart in der Statistik? - Oder mit einem anderen Browser, auch ohne aktivierte Data-Saving-Kompression, dessen Cache vor jedem erneuten Test-Surfen/-Download - auch anderer Dateien - gelöscht?

 

[mika24]

Ganz ohne custom script funkioniert das ohne Probleme. Dann wird es so gemessen wie es soll.

 

[marcusr1]

Hallo. Ich habe mal eine "doofe" Frage. Ich muss mein Handy wieder neu einrichten. Vorher hatte ich auch schon AFWall benutzt. Aber ich bin mir irgendwie sicher, dass ich es auf deutsch hatte. Könnte mir jemand sagen ob es so war oder ich das geträumt habe?

 

[Pizzapeter]

Nee, haste nicht geträumt...

 

[ooo]

Aber ich bin mir irgendwie sicher, dass ich es auf deutsch hatte.

In den Einstellungen von AFWall+ kann man die Sprache ändern. - Damit ist die App unabhängig von der Sprache, die gerade im Phone eingestellt ist.

AFWall+ > Menü oben, rechts > Preferences > Languages/Plugins > Languages > German