Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[Kyle Katarn]

@Mumford
Nach meinen Erfahrungen könnte dort durchaus die "letzte Version" zu finden sein, insbesondere wenn es ein älteres Gerät ist.
Wenn das nicht der Fall sein sollte, kannst du nach "back to Stock-ROM" auch ein OTA-Update durchführen.

Nach meinem Gefühl unterstützt Samsung seine Geräte oft nur recht kurz. Bei Model : GT-I9515 - Galaxy S4 Value Edition — Samsung-Firmware.org ist für die Niederlande 5.0.1 (Lollipop) als letzte Android-Version für dein Gerät verzeichnet. Da dürften deine Chancen gut stehen, dass du gar nichts machen musst und es dir auch sparen könntest ...
Neben xda-developers.com habe ich vor einer Weile auch noch eine Anlaufstelle für (inoffizielle) LineageOS-ROMs gefunden: LineageOS ROMs | Android Redesigned

Aber jetzt genug OT ;-)

 

[Kyle Katarn]

wo finde ich eine gute einleitende Erklärung zu eurem Script?
Mir ist noch gar nicht klar wofür euer Script eigentlich ist.

Welches Skript meinst du denn?

 

[Mumford]

SuperSu ist seit 2.79 nicht mehr von Chainfire.

Yup, kann man hier bereits finden. - Man nimmt, was funktioniert (wenn man sich nicht damit beschäftigen will). - Mit den entsprechenden Konsequenzen ...

(Allerdings hatte Chainfire die Supervision über den Code bis zur 2.82 SR5; die Bezahl-Version ist im Google Play Store von den Chinesen CCMT - davon würde ich die Finger lassen ...)
(mea culpa)

Mit Magisk funktioniert jetzt den init.d Data Leak Fix im Afwall+. Aber Magisk gefällt mir nicht 100%. Es macht mein Smartphone langsamer, in jedem Fall beim abschliessen.

Ich bevorzuge Supersu, aber mit LOS 14.1 braucht mann version 2.79 oder neuer. Ob es "nach Hause telefoniert" wissen wir nicht, aber wenn ja, kann Ich es mit Afwall blockieren, oder geht dass nicht bei diesem Root-app?

 

[Kyle Katarn]

Du kannst SuperSU problemlos mit AFWall+ blockieren, das Programm benötigt keine Verbindung nach draußen.
Ob es mit seinen Rootrechten vielleicht doch einen Weg an AFWall+ vorbei nach draußen findet? Wäre paranoid, aber vielleicht ...

 

[ooo]

Aber Magisk gefällt mir nicht 100%. Es macht mein Smartphone langsamer, in jedem Fall beim abschliessen.

Das ist einer der Gründe (Overhead), warum ich Magisk erst an zweiter Stelle empfehle.

Supersu, [...] Ob es "nach Hause telefoniert" wissen wir nicht, aber wenn ja, kann Ich es mit Afwall blockieren, oder geht dass nicht bei diesem Root-app?

Man kann es in der Firewall blocken. - Bis 2.82 SR5 (Download von chainfire.eu) "telefoniert" es nicht von *selbst* nach Hause (also irgendwo hin) ...
___

Hier nochmal eine ausführliche Erklärung zu Root-Apps (SuperSU und Magisk haben als Frontend ebenfalls eine Root-App) und was zu beachten ist:

Das Problem mit einer beliebigen Root-App in Stichpunkten
(Dieser Beitrag ist von 2015 und auch heute noch gültig.)​

 

[rudolf]

Ich möchte nochmal daran erinnern, das die SuperSu Versionen nach 2.79 bis 2.82 teils erhebliche Probleme bereitet haben. Und nun ist SuperSu in chinesischer Hand, und kann machen was immer es will. Das ist mir persönlich nicht geheuer. Ich nutze entweder SuperSu 2.79, Magisk oder bei LOS deren root addon.

 

[ooo]

Das ist mir persönlich nicht geheuer.

Und das ist besser? (SuperSU ist dagegen im Play Store)

https://www.xda-developers.com/magi...e-developer-responds-on-the-future-of-magisk/

Edit:
Aktuelle Signatur des Magisk-Entwicklers topjohnwu @ xda:

Serving military service (till early-June): no development, no support, no PMs

___

Ich könnte auch einfach denken "Niederländer sind mir suspekt" (Chainfire), weil sie toootal risikoreich unter Meereshöhe leben ... oder Deutsche, die einen bayerischen Akzent haben (total gefährliche Leute) ... oder User, die "rudolf" als Nick verwenden ... oder einen sonstigen unbewiesenen Aberglauben heranziehen ... Rooten bringt viele Vorteile und birgt gleichzeitig immer Risiken, die man vorher kennen sollte ...

Und du hast recht: Es geht um informiertes Vertrauen oder Verzicht (konsequent wäre dann allerdings, auch auf Custom ROMs und Smartphones bzw. alles Internet-affine zu verzichten ...)
___

AFWall+ benötigt nunmal root. - Wer das risikoreich findet, der rootet nicht und benutzt eine Alternative.

 

[rudolf]

Da ist mal wieder einer voll Politisch Korrekt
Diese dumme "Belehrung" hättest du dir echt sparen können.

 

[ooo]

Das ist kein Argument. - Und deine vorige politisch korrekte Diskriminierung von Chinesen erst recht nicht ...

 

[rudolf]

Du solltest hier lieber bei dem Thema Android bleiben. Bei Computern hast du sicher eine gute Kompetenz. Aber wenn du politisch wirst erinnert mich das an Politiker die über Computer reden, da kommt auch nichts sinnvolles bei raus.

Hättest du irgendetwas sachliches zu dem Thema beigetragen, hätte ich gerne darüber freundlich diskutiert. Aber mich persönlich anzugehen ist einfach mies.

 

[ooo]

Nehmen wir den Verlauf doch mal auseinander:

• Ich komme mit technisch/fachlich fundierten und mit Quellen belegten Sachargumenten. - Du kommst mit Folklore/Kolportiertem Hörensagen/Unbewiesenen Behauptungen/Diskriminierenden Verdächtigungen.
• Ich reagiere mit harmloser Ironie/Sarkasmus PLUS Sachargumenten on top. - Du reagierst mit Schmerzensschreichen/Verschnupftheit und wirst persönlich.
• Ich lasse das elegant von mir abprallen. - Du wirfst mir im Nachgang genau deine eigenen Verfehlungen vor und vermutest Inkompetenz meinerseits.

Ist das so in etwa richtig resümiert?

Wir tauschen uns hier auch zu AFWall+ aus und daraus resultierend nur nebenläufig zu root/Android - nicht als Schwerpunkt.

Wenn du etwas zu AFWall+ beizutragen hast, dann "just write/discuss away". - Andere technische Themen und persönliche Ansichten/Überzeugungen/Befindlichkeiten dann bitte woanders.

Und bis jetzt haben wir noch freundlich miteinander diskutiert.

 

[hagex]

@alle Beide

Vom Thema des Threads hab ich herzlich wenig Ahnung, bin aber im Augenblick nicht amüsiert.
Zerstört bitte nicht die Stimmung und Zielsetzung des Threads durch persönliche, kleinliche Zwistigkeiten.
Weiter bitte nur zum eigentlichen Thema!
Danke für euer Verständnis, angenehmen Abend und

Gruß von hagex

 

[ooo]

Weiter bitte nur zum eigentlichen Thema!

new syslog priority entry: Android-Guru shootout mediated successfully . - next step: shake hands ...

 

[hagex]

 

[Mumford]

@ooo und Co.

Zum Thema blockieren von Google & Co: Ich verwende das ASN-block Skript von @Kyle Katarn. Es funktioniert auch. Dann habe Ich zum Testzwecken eine Website besucht, und mit Net Monitor von F-droid mal nachgeschaut was so alles geladen wird an IP-Adressen. Und schon bekamm Ich bei diese erste Website eine IP-Adress welche von Google war, in diesem Fall 172.217.19.68. Zwar wird die CIDR (keine Ahnung was es ist) 172.217.0.0/16 in dem Skript genennt, doch 172.217.19.68 wird nicht blockiert. Erst nach ändern vom ASN-Skript klappt es. Muss Ich dann den ganzen Netrange blockieren, in diesem Fall 172.217.0.0 bis 172.217.255.255?
172.217.19.68 whois lookup information - who.is

Wie kann mann jede IP-Addresse von zB. Google bekommen, um den ASN-Skript "up-to-date" zu halten?

-------
Edit: Wie Ich jetzt aufs Internet lesen kann, besitzt Google mehr als 3 Millionen(!!!!) IP Addressen! Nutzt ein ASN Skript dann eigentlich noch?

Und kann Ich in meinem Fall es besser in dem Browser selbst sperren mit einem Add-blocker uzw.?

 

[ooo]

Wie kann mann jede IP-Addresse von zB. Google bekommen, um den ASN-Skript "up-to-date" zu halten?

Das ist keine einmalige Sache. - Man muss das immer wieder aktualisieren ...

Hintergrund-Infos und Vorgehensweise dazu:

Google und Facebook IP-Adressen blockieren​

und

ASN-Skript: Datensammler haben ausgeschnüffelt – IPFire Teil3

(Unter "3.3 AFWall+" findet man dort die Befehlssyntax, um Scripts für AFWall+ zu erstellen. - Man sollte aber alles lesen ...)
​

Die Generierung erfolgt auf einem beliebigen Linux-Rechner. - Das kann auch ein Live-USB-Stick sein, von dem Linux gestartet wird. - Dadurch wird das bestehende Betriebssystem auf dem benutzten Rechner nicht geändert. - Trotzdem immer gut nachdenken und lesen, wenn man das so machen möchte ...

Linux-USB-Stick erstellen (ISO to USB) – so geht's​

___

Nutzt ein ASN Skript dann eigentlich noch?

Ja. - Besser 99 % als nichts ...
___

Und kann Ich in meinem Fall es besser in dem Browser selbst sperren mit einem Add-blocker uzw.?

Nein, das ist nicht effizient. - Einen AdBlocker sollte man aber trotzdem installieren (AdAway etc.).

 

[Mumford]

@ooo
OK Danke. Was Ich eigentlich nicht ganz verstehe ist, wenn es Millionen IP Addressen gibt von google, warum solch ein eigenes ASN-Skript "nur" etwa 100 REJECT IP Adressen produziert.

Wollte eigentlich "Und kann Ich in meinem Fall DAZU besser in dem Browser selbst sperren mit einem Add-blocker uzw.?" schreiben.

 

[ooo]

[...] warum solch ein eigenes ASN-Skript "nur" etwa 100 REJECT IP Adressen produziert.

Das liegt an der Notation (Schreibweise) der IP-Adressen-Bereiche im CIDR-Format.

Bei deinem Beispiel mit 100 Zeilen wären es bei z. B. /16-Adressen-Bereichen bereits

100 * 2^16 = 100 * 65.536 = 6.553.600 gesperrte *einzelne* IP-Adressen.​

(Eine Zeile im Script ist dabei keine Einzel-Adresse, sondern ein fortlaufender Adressen-Bereich "von IP-Adresse bis IP-Adresse".)

 

[Mumford]

Danke für deine Erklärung! Ich ahnte es schon aber war nicht sicher. Werde mich mit den ganzen Skript und Linuxlive usb bald beschäftigen. Wieder eine grosse Herausvorderung, hoffentlich krieg Ich es hin.

 

[Mumford]

@ooo

Das ist keine einmalige Sache. - Man muss das immer wieder aktualisieren ...

Hintergrund-Infos und Vorgehensweise dazu:

Google und Facebook IP-Adressen blockieren​

und

ASN-Skript: Datensammler haben ausgeschnüffelt – IPFire Teil3

(Unter "3.3 AFWall+" findet man dort die Befehlssyntax, um Scripts für AFWall+ zu erstellen. - Man sollte aber alles lesen ...)
​

Die Generierung erfolgt auf einem beliebigen Linux-Rechner. - Das kann auch ein Live-USB-Stick sein, von dem Linux gestartet wird. - Dadurch wird das bestehende Betriebssystem auf dem benutzten Rechner nicht geändert. - Trotzdem immer gut nachdenken und lesen, wenn man das so machen möchte ...

Linxus Mint auf ein USB installiert. Alles Ok. Bin dann wieder mit ein Problem konfrontiert worden, und ist vielleicht Off-topic, aber bekamm eine Fehlermeldung. Ich habe getan was Ich unter 3.1 IPFire (ASN-Skript: Datensammler haben ausgeschnüffelt – IPFire Teil3) lesen kann, bei

bash /root/asn_ipfire.sh --add "Google,Facebook,Twitter,Oracle,Acxiom"

dann den Fehler: IPFire not found. Logisch. Aber wie installiere Ich IPFire auf ein Linux Live usb? IPFire wird normalerweisse nur auf speziele Hardware installiert.