Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[wewede]

Hallo, nachdem ich Anfang Januar ab Post #permalink[/B])vergeblich versucht habe, AFWall+ auf mein veraltetes ACE zu installieren, hab ich mir jetzt ein gebrauchtes GalaxyS2 besorgt (gebraucht, weil ich für mein erstes Mal Rooten+Cyanogenmodflashen kein teures Neugerät gefährden wollte), CM11 mit Android 4.4.4 aufgespielt und anschließend (wie in der Anleitung auf Seite 1 beschrieben) direkt, vor der Inbetriebnahme, AFWall+ installiert und konfiguriert -> ERFOLGREICH.
Jetzt habe ich noch ein Problemchen, das sich leider nicht direkt auf AFWall bezieht, aber weil der Thread gerade etwas ruhig ist und meine Suche nicht so richtig erfolgreich war, bin ich mal so mutig:
Wie ist das mit den Datenschutz-Einstellungen bei CM11? Über Datenschutz -Datenschutz"Apps mit Zugriff...verwalten - Menütaste "Erweitert" kann man ja die Apps aufrufen und anschauen, was sie so alles anfordern und tun.
Klar, installierte Hobyapps kann man meist komplett sperren, aber wenn bspw. der DIALER Standort (obwohl woanders nur per GPS erlaubt), Kontakte und Anrufliste anfordert, möchte man doch gerne wissen, was nötig ist und was nicht. Androidsystem: Muss das Zugriff auf SMS-Dienst und Kalender haben? Android-Tastatur fragt nach Kontaktliste usw.
Kann man hier pauschal bei allen Apps das Datenschutzhäkchen setzen, oder schafft man sich hier neue Probleme? Allzu mutig möchte ich noch nicht sein, solange die AFWall noch im Erprobungsstadium bei mir ist, bevor ich mir irgendwo was blockiere und nicht weiss, ob Cyanogenmod, AFWall oder Datenschutz mein Handy lahmlegt.
Oder hat jemand einen passenden Link zur Hand?
(Theoretisch können die (unrechtmäßig) abgefragten Daten ja dank AFWAll nicht raus, aber die eine oder andere App hat eben doch Internetzugriff.)

 

[ooo]

Pauschal bei allen Apps aktivieren. - Auch bei allen System-Apps (Oben rechts im Menü Haken "Auch System-Apps anzeigen" o. ä. setzen).

Die Android- bzw. irgendeine Tastatur benötigt auf überhaupt nichts Zugriff - eine Tastatur soll schreiben und nicht spionieren (es gibt eine aktivierte Option, in den Einstellungen der Standard-Tastatur, die Rechtschreibung der Kontaktnamen zu überprüfen - na, ja ...).

Der Dialer braucht den Standort nicht, muss aber die Kontakte und die Anrufliste-Liste lesen können (Nummer => Name(n) Zuordnung/Anzeige).

Grundsätzlich erstmal Finger weg vom "Android-System" und der erweiterten Anzeige.

Benutze nur die einfache Liste (langer Druck auf einen Listen-Eintrag öffnet die Berechtigungen der App) und nicht die erweiterte Anzeige für Einstellungen. - Da kann man viel falsch machen.

Wenn man in der einfachen Liste alles aktiviert hat, dann wird man immer einzeln gefragt, ob das okay ist oder nicht. - Auf diese Weise lernt man sein System kennen und kann die Berechtigungen Stück für Stück erlauben oder ablehnen (einmalig oder für immer).

 

[wewede]

Super, vielen Dank, das hat mir jetzt weitergeholfen.
Einen hab ich noch: Trebuchet 1.0 , der Launcher. Was bekommt der genehmigt? Irgendwie macht der auf wichtig, sobald ich ich ihn auf "Immer nachfragen" setze, dann erscheint das sogar oben in der Statusleiste :"Trebuchet hat keinen Zugriff auf persönliche Daten".
Braucht er sie?

 

[ooo]

Trebuchet bekommt keine Freigaben. - Freu' dich über die Meldung in der Notification Bar - das heißt, dass an der Stelle alles funktioniert ...

 

[mratix]

Um nicht zu weit vom Thema abzukommen, eine ergänzende Frage in Sachen Launcher-Berechtigungen.

Wenn ein Widget z.B. Kalender auf dem Screen liegt. Braucht dann der Launcher Kalender-Zugriff?

 

[wewede]

Und ich hätte auch noch eine Frage (zu AFWall):
Bei YOUTUBE sehe ich die Vorschaubilder, nach Videostart höre ich den Ton und sehe den "Fortschrittsbalken", der Bildschirm bleibt schwarz. An den Browser-Einstellungen habe ich schon rumprobiert, ich habe momentan zwei Browser auf dem Handy (1 x CM-Browser und 1x den Open-Source-Browser TINTBROWSER mit AddOn zum Testen), aber bei beiden kommt kein Bild.
Häkchen habe ich aktuell gesetzt bei (alles WLAN):
(11Kerneel und 0 Root)
10007 Downloads, Medienspeicher
10010 SMS,MMS
10078 TintBrowser
10022 Browser

Probiert hatte ich noch erfolglos 1013 MediaServer

Restliche Einstellungen im AFWall-Menü strikt nach Anleitung von Seite 1, ohne Adaway.

Wo fehlt noch ein Häkchen?

Danke

 

[mratix]

@wewede hat nichts mit der Afwall zu tun.

Nachdem der Ton reinkommt, hat er die Firewall erfolgreich passiert. Ton und Bild bei einem Video kommen vom gleichem Server (source).

Warum das Bild nicht angezeigt wird, ist eine Sache des codec, Browsers usw. Für YouTube gibt es ne App. Häckchen rein bei Wlan, und gut ist.

Ziellos Häcken irgendwo in der Firewall zu setzen, erübrigt jedes Sicherheitskonzept und die Notwendigkeit der Firewall.

Vielleicht schaust du dir LBE Security an. Ist im Handling etwas leichter und verständlicher.

 

[wewede]

Danke, das hilft mir weiter, ich habe übrigens festgestellt, das auch Videos vom alten Handy auf meiner Speicherkarte nicht laufen, also muss ich mal suchen.

Ich setzte nicht ziellos Häkchen, ich teste bei Problemen logisch klingende "Varianten" bevor ich bei jedem Problem hier im Thread eine Fragerunde starte, MediaServer klingt nach Medien, also war das ein Versuch wert, den ich danach wieder rückgängig gemacht habe. Ich vermute mal, wenn der Mediaserver in diesem Augenblick eh nicht gebraucht wurde, wird er in diesen 2 Minuten auch nicht viel übers WLAN schicken. Ausserdem bin ich noch in der Probierphase, habe darum noch keine Kontakte auf dem Handy und in den Einstellungen die Positionsortung außerhalb des (abgeschalteten) GPS via Datennetz verboten.

LBE kenne ich, das hatte ich auf meinem letzten Handy, aber abgesehen davon, das es von einer chinesischen Firma kommt, was bei mir (und anderen) Zweifel an der Gemeinnützigkeit aufkommen lässt, kann man bei LBE nicht alles abstellen, sondern nur die primärsten Zugriffe regeln.

 

[AxelFH]

Um nicht zu weit vom Thema abzukommen, eine ergänzende Frage in Sachen Launcher-Berechtigungen.

Wenn ein Widget z.B. Kalender auf dem Screen liegt. Braucht dann der Launcher Kalender-Zugriff?

Und, Mr. AtiX, hast Du's ausprobiert?

Gruss
Axel

 

[mratix]

@AxelFH Jein, Nova hat keine Kalender permission deklariert. Und ein Kontenzugriff wurde bisher nicht angefordert.

Ich hab keinen Plan über welchen Umweg der Zugriff auf den Kalenderspeicher erfolgt. Vielleicht auch nur ein Denkfehler: Das Widget gehört zur Kalender-App, und die hat ja Zugriff

Da bleibt nur die Frage, warum das Widget Einträge nicht in Echtzeit darstellt. Es dauert immer ewig bis es aktualisiert wird.

 

[an0n]

Dem Launcher kann man ja den Kalenderzugriff erlauben, wird wahrscheinlich für das Kalenderwidget benötigt, sicherheitshalber sollte man dann dem Launcher keine Internetverbindung erlauben - kann ja sein dass der Launcher die Kalendereinträge sammelt und irgendwo ins Netz schickt. Dass das Laden/Aktualisieren des Kalenderwidgets paar Sekunden dauert ist normal. Ich benutze den Kalender zusammen mit dem OfflineCalendar, da wird alles lokal abgespeichert, zu Google bzw. Gmail würd ich niemals meine Kalendereinträge synchronisieren.

 

[an0n]

Hi ooo,

In diesem Thread wird beschrieben, wie ich den DNS-Server durch Veränderung der /etc/dhcpcd/dhcpcd-hooks/20-dns.conf ebenfalls verändern kann. Ich habe bei mir die Zeile:

new_domain_name_servers="208.67.222.222 208.67.220.220 $new_domain_name_servers"

für die OpenDNS eingefügt und überprüft. Nach erneuter Verbindung mit dem WLAN standen beide Server an Pos 1 und 2. Kann ich davon ausgehen, dass das nicht nur für WLAN, sondern auch für mobile Daten gilt?

Ist hier die Einstellung in /etc/dhcpcd/dhcpcd-hooks/20-dns.conf die dmasu gemacht hatte eigentlich richtig? denn im verlinkten Thread wird ein Beispiel mit einer statischen IP (neben der DNS-IP) festgelegt.

 

[Bf 109]

Was muss man einstellen wenn man sich zb. in Uni Netzwerke einloggen möchte?
Hab alles nach Anleitung gemacht nun aber das Problem das ich mich mit meinem Uni Account nicht mehr im Netzwerk authentifizieren kann.
Ist definitiv AFwall. Wenn ich es deinstalliere kann ich mich wieder einloggen. Berechtigungen Könnens auch nicht sein, denn wenn ich die Firewall deaktiviere und/oder alle apps erlaube geht's immer noch nicht. Kann es an der DNS Umleitung liegen?

 

[wewede]

Ohne hier der Fachmann zu sein:
Hast Du Deinem Handybrowser LAN-Freigabe (die 1. Reihe bei AFWall) erteilt? (DAHEIM kann ich ohne LAN-Freigabe nicht auf mein Routermenü zugreifen).

 

[Bf 109]

Hab das schon probiert. Habe sogar allen Apps alle Berechtigungen erteilt als ich mit trail&error nicht mehr weitergekommen bin, was de facto die Firewall ad absurdum führt. Selbst bei deaktivierter FW geht das einloggen nicht (rotes Schild in den notifications). Komischer Weise kann ich aber mit meinem mobilen Internet problemlos surfen (mit aktivierter FW). Nur das Uni Netz mag AFwall partout nicht...
//Edit: Mir fällt gerade ein: unter CM12.1 gabs keine Probleme, bin dann auf die Stock Samsung 5.0.2 Rom zurück und nichts ging mehr. Vielleicht ein Samsung Lollipop Problem?

 

[an0n]

@bf109: liegt wohl an den Afwall Einstellungen:
Die Uni leitet die Internetverbindung wahrscheinlich über netd
1. DNS-Proxy - Disable dns via netd => auf enable oder automatisch setzen (verursacht aber Datenlecks)
2. LAN+Wifi-Freigabe für Browser, Downloadmanager, Mediaserver, WLAN aktivieren
3. das openDNS-custom-script wegmachen, falls es in Afwall eingefügt ist
4. das Phone Rebooten

 

[Teryen]

Hallo,

ich habe mir das LG G3 zugelegt und möchte es absolut sicher machen, da ich darüber auch Banksachen etc machen möchte.
Da man original an Google abolut ausgeliefert ist und kein Mitspracherecht hat wer und was mit deinen Daten gemacht wird, hab ich es ersmals gerootet.

Ich finde es erschreckend, wenn Leute Banksachen übers Smarphone machen und SpionageApps (Taschenlampe) instaliert haben.

Apps mit SU-Berechtigung habe ich das originale MCAfee, Titanium BackUp, Root Checker, DroidWall und ES Task-Manager.
Was brauche ich noch?

Alle Apps die kein Internetzugang brauchen, habe ich mit DroidWall gesperrt. Aber wie kontrolliere ich die, die Internetzugang benötigen? Gibt es eine App wie Droidwall, bei der man einfach ein- und ausschalten kann? Welche empfehlt ihr mir?

Und ist danach mein Smartphone sicher? Oder braucht es noch mehr?

N.B. Titanium BackUp ist einfach zum ein BackUp der Einstellungen zu machen und nicht mehr? Wo werden die dann gespeichert, kann man da was einstellen?

Danke für jede Hilfe auf dem Weg zum sicheren Smartphone

Teryen

 

[Aaskereija]

Hallo Teryen,

schau dir vorallem die 1. Seite an, hier werden alle deine Fragen beantwortet.

 

[mratix]

Ja, alle Infos sind in diesem Thread durchdiskutiert und gesammelt.

Nur, für was ist McAfee gut?

 

[AxelFH]

Eine rhetorische Frage?