[Beta][Free] SRT Safe - Multi Accounts, Arbeitsprofil, Daten Trennung leicht gemacht

[SRT-GmbH]

Hallo zusammen,

mein Name ist Marc und mein Partner und ich haben zusammen eine Sicherheitsapp entwickelt, die wir kürzlich bei Google Play veröffentlicht haben. [1]

Unsere App heist SRT Safe. Sie macht sich Androids Arbeitsprofil zunutze, um eine zweite losgelöste und gesicherte Umgebung auf dem Gerät zu schaffen in die beliebige Apps installiert werden können. Dadurch erhalten Nutzer eine zusätzliche Sicherheitsebene auf ihrem Gerät.

Apps im Arbeitsprofil sind völlig losgelöst von Anwendungen außerhalb. Sie teilen keine Daten, haben auch komplett verschiedene Daten-Provider auf die sie zugreifen. Aber das ist noch nicht alles. Wir wollen es unseren Nutzern nicht nur erlauben ihre Daten nur ausgewählten Apps zugänglich zu machen, sondern wir wollen sie auch befähigen nur bestimmten Personen diese Daten zugänglich zu machen. Auch dann, wenn mehrere Leute auf das Gerät Zugriff haben.

Wie ein Safe in einer Bank oder einem Labor ist unsere App als Platz für die schätzenswertesten oder die gefährlichsten Daten gedacht. Aber selbst die Präsenz unserer Anwendung und ihres App-Icons können man als Information Leak, also als Informationsfluss, bezeichnen. Daher haben wir einen Weg entwickelt beides verschwinden zu lassen/zu verstecken.

Unsere App befindet sich gegenwärtig in der Beta Phase und wir hätten gerne euer Feedback und eure Hilfe, um sie weiter zu entwickeln.

Fragt uns ruhig alles was euch in den Sinn kommt und schlagt uns jedes noch so haarsträubende Feature vor, das ihr gerne hättet.
Wir entwickeln die App ja nicht (nur) für uns.

TL;DR
Wir eine Sicherheitsapp entwickelt, die eure Daten vor Apps und jedem Schützt, der vielleicht Zugang zu eurem Telefon hat. Wir würden uns das Feedback der Community wünschen, was wir noch verbessern können. Ihr könnt die App ab heute bei Google Play herunterladen. [1]

[1] SRT Vault - Apps on Google Play

SRT GmbH
Großherzog-Friedrich-Str. 16-18 | 66111 Saarbrücken

Vertretungsberechtigter Geschäftsführer: Marc Schweig
Registernummer: HRB 19077 (AG Saarbrücken)
Umsatzsteueridentifikationsnummer: DE 274 953 765

 

[SRT-GmbH]

Update - Was ist Neu?

• Verwalte in den Einstellungen ob Bluetooth Geräte deine Safe-Kontakte sehen dürfen

Weitere Features

• Datenseparation: Erstelle dir eine sichere Umgebung auf deinem Gerät.
• Installiere Anwendungen asu dem Play Store in den SRT Safe.
• Freeze: Deaktiviere und Reaktiviere Anwendungen im SRT Safe, so dass sie komplett verschwinden.
• Verstecke den SRT Safe in der App-Liste, so dass auch er nicht mehr zu sehen ist.

 

[Fuhrmann]

Hab die App jetzt mal zum testen installiert.
SM-P900, LOS14.1, Magisk.
Erster Eindruck gut.
Mich wundert allerdings, dass, obwohl SRT selbst in Netguard geblockt ist, die dort installierten Apps problemlos ins Netz können.
Hab zwar ein 2. Google Konto genommen, aber auch Apps, die Netguard nicht kennt.
Mir ist auch noch nicht klar, wie ich z. B. eine reduzierte Kontaktliste importieren kann, oder an pdf usw. ran komme.
Zugriff auf den Speicher, weder intern noch extern, hab ich ja nicht.

1. Dunkler Modus wäre schön.
2. Überlebt SRT+Einrichtung einen Neustart? Oder hab ich die Info übersehen?
3. Gibt es eine Möglichkeit auf einem Gerät alles entsprechende zu installieren u auf ein anderes Gerät komplett zu kopieren?
4. Wie kommen die Apps an Netguard vorbei?
5. Hätte SRT OTG Zugriff?

 

[DevilX]

Ich werde dann auch mal testen:
Einrichtung gefällt, klappt nach meinem ersten Eindruck besser als bei vergleichbaren Apps.
Eine Möglichkeit für den Austausch von Dateien wäre toll.
Bei neue Apps installieren, fände ich die Möglichkeit alternative Stores wie Fdroid oder Aurora-Store zu nutzen toll.

Das klonen von Satellite hat mehrfach nicht funktioniert.

 

[Fuhrmann]

@DevilX für F-Droid Nutzung kann doch die apk installiert werden.
Aurora kenn ich noch gar nicht.

Gerade festgestellt, dass nach dem Runterladen mit Opera die apk im File-Browser nicht zu finden war.
In Opera Einstellungen aber Download als Speicherort festgelegt.
Mit Opera selbst auch gefunden u installiert.
Danach auch im File-Browser zu finden. Merkwürdig.

Beiträge automatisch zusammengeführt: 07.06.2020

Hab mir das nochmal genauer angeschaut.
Der File-Browser öffnet "Downloads", zeigt aber in der Übersicht nur einen Ordner "Download".
In dem ist die apk auch drin.

 

[Fuhrmann]

....
2. Überlebt SRT+Einrichtung einen Neustart?
4. Wie kommen die Apps an Netguard vorbei?
5. Hätte SRT OTG Zugriff?

Ad 2. Ja mit allem installierten Apps

Ad 4. Irgendwie schaffen die das, obwohl wie geschrieben, SRT u die App mit der ich das probiert habe, im (Haupt)-System geblockt sind. Deswg Netguard auch in SRT installiert u ein 2.Mal Zugang geblockt.

Ad 5. Bekomme ich nicht hin.

 

[SRT-GmbH]

Mir ist auch noch nicht klar, wie ich z. B. eine reduzierte Kontaktliste importieren kann, oder an pdf usw. ran komme.

[...]

1. Dunkler Modus wäre schön.

3. Gibt es eine Möglichkeit auf einem Gerät alles entsprechende zu installieren u auf ein anderes Gerät komplett zu kopieren?

4. Wie kommen die Apps an Netguard vorbei?

5. Hätte SRT OTG Zugriff?

1. Dark Mode kommt innerhalb der nächsten 2 Wochen.

3. Leider nein. Für die ferne Zukunft wollen wir die migration auf ein anderes Gerät möglichst einfach machen, also z.B. Einstellungen des SRT Safe und darin installierte Apps.
Daten der installierten Apps können und wollen wir stand jetzt nicht auslesen und damit auch nicht sichern.

4. Wir richten auf dem Gerät ein zusäztliches Profil, das Arbeitsprofil, ein. Dieses ist aus Sicht des Systems komplett getrennt von deinem Hauptprofil. Damit wird der VPN, der von Netguard als Firewall verwendet wird, auch nur in deinem Hauptprofil für Netzwerkverkehr benutzt.
Den SRT Safe einzuschränken heißt, dass dieser im Hauptprofil dann keinen Internetzugang hat. Die im Arbeitsprofil installierten Apps werden vom System aber nicht durch diesen VPN getunnelt.
Um das gewünschte Verhalten zu bekommen muss man Netguard also ebenfalls in den SRT Safe klonen/installieren und dort die Einstellungen für diese Apps machen.
Wir haben allerdings geplant eine ähnliche, wenn nicht bessere Firewall-Implementierung direkt in den Safe zu integrieren. Ihr werdet die ersten sein, die es testen können.

5. Kannst du genau beschreiben was du erreichen willst und was für dich nicht funktioniert, ich bin mir gerade nicht sicher was du meinst?

Eine Möglichkeit für den Austausch von Dateien wäre toll.

Bei neue Apps installieren, fände ich die Möglichkeit alternative Stores wie Fdroid oder Aurora-Store zu nutzen toll.

Das klonen von Satellite hat mehrfach nicht funktioniert.

Danke für das Lob unserer Einrichtung.

Ein Dateiaustausch ist gerade in Arbeit und wird voraussichtlich innerhalb der nächsten 2 Wochen in einem Update kommen.

Momentan haben wir von Haus aus keinen alternativen Store in unserem Safe. Ein Workaround wäre diesen erst im Hauptprofil zu installieren und dann in den Safe zu klonen. Dort kann der Store dann ganz normal verwendet werden.

Aktuell scheint es mit manchen Apps noch Probleme beim Klonen zu geben. Du kannst mal das Klonen über den beschriebenen Workaround (alternativer Store) probieren, um Satellite in den Safe zu kriegen.

Gerade festgestellt, dass nach dem Runterladen mit Opera die apk im File-Browser nicht zu finden war.

In Opera Einstellungen aber Download als Speicherort festgelegt.

Mit Opera selbst auch gefunden u installiert.

Danach auch im File-Browser zu finden. Merkwürdig.

Beiträge automatisch zusammengeführt: 07.06.2020

Hab mir das nochmal genauer angeschaut.

Der File-Browser öffnet "Downloads", zeigt aber in der Übersicht nur einen Ordner "Download".

In dem ist die apk auch drin.

Hier schlägt wahrscheinlich wieder das getrennte Profil zu. Dateien, die im Safe gedownloadet werden, können auch nur im Safe gesehen werden. (und umgekehrt)
Wie oben schon gesagt arbeiten wir aber aktuell an einer Lösung zum Dateiaustausch.

 

[Fuhrmann]

@SRT-GmbH zu 5. Ich wollte ich OTG USB-Stick nutzen.

F-Droid hatte ich in SRT downgeloaded u installiert.
Klappt, also andere stores gehen auch.

Zur Verwirrung mit "Downloads" u "Download"
Da hab ich mich wohl nicht klar genug ausgedrückt.
Was ich mit meinen 3 Bildern meinte:
Opera in SRT (nur dort nicht auf Hauptsystem vorhanden) installiert u was runter geladen.
Ist aber im SRT File-Browser bei Klick auf Menü (Bild1) nicht in "D..s" (Ordner gibt's nicht) sondern nur über dem Umweg interner Speicher (Bilder 2+3) zu finden allerdings in "D...".
Vermute falsche Verlinkung.

 

[holms]

@SRT-GmbH Welches Modell der Monetarisierung plant ihr?

Einmalkauf oder Abonnement?

Für viele potenzielle Nutzer eine entscheidende Frage.

 

[deek]

Hallo zusammen,

gleich vorweg: ich bin der Partner von Marc und der hauptsächliche Entwickler vom Safe. Ich antworte gerade einfach mal von meinem privaten Account.

zu 5. Ich wollte ich OTG USB-Stick nutzen.

Das müssten wir uns mal anschauen, eventuell gibt es da eine Einstellung die wir machen können/müssen.

@SRT-GmbH Welches Modell der Monetarisierung plant ihr?

Einmalkauf oder Abonnement?

Für viele potenzielle Nutzer eine entscheidende Frage.

Das ist eine berechtigte und entscheidende Frage. Wir müssen das von allen Seiten betrachten und haben daher noch mehrere Optionen. Es ist noch nichts endgültig entschieden.

Variante 1: Wir bieten ein günstiges Abo und zusätzlich die Möglichkeit mit teurerem Einmalkauf die Funktionalitäten freizuschalten.
Da wir selbst auch App-Nutzer sind und den Schmerz kennen wollen wir kein Abonnement als einzige Variante anbieten. Aber der Einmalkauf muss dann natürlich entsprechend teurer werden.

Variante 2: Der SRT Safe bleibt für Endnutzer komplett kostenfrei und wir finanzieren das über größere Geschäftskunden als eine Art Privacy-focused MDM quer.

Die finale Entscheidung steht noch aus für das Ende der Beta-Phase. Das kommt auch stark auf das Feedback der Community an.

Als letzte Anmerkung: Ohne Feedback geht nichts. Man kann eine solche App nicht ohne Beta-Tester rausbringen und weitgehend bugfrei halten, deswegen werden treue Beta-Nutzer definitiv in irgendeiner Form profitieren.

 

[holms]

@deek Danke. Könntet ihr vielleicht noch klar stellen, wer ihr seid - aus Gründen der Transparenz, die App greift ja schon tief ein.

Seid ihr 2 Privatentwickler "Marc" und "deek" - so klingt das hier im Forum?
Oder eben doch eine GmbH wie im Play Store genannt?
Eure Website Domain it (kein https verfügbar komischerweise) führt zu einer anderen Seite eines Prof. Backes? Was hat der damit zu tun?

 

[deek]

Wir sind die tatsächlich die SRT GmbH, nicht privat. Marc und ich arbeiten mit Team von Leuten der Universität des Saarlandes zusammen an dem SRT Safe. Das sollte aus dem Account-Namen ersichtlich werden und wollten wir auch direkt klarstellen.
Wir müssen zugeben, dass unsere Website momentan eine große Baustelle ist, aber das ist in Arbeit. Bis vor kurzem waren wir die Backes SRT GmbH. Gegründet von Prof Backes der Universität des Saarlandes. Die Gesellschaft hat eine lange Geschichte im Umfeld der Security und im Speziellen der mobile Security. Neben Produktentwicklung bieten wir auch Dienstleistungen im Security Bereich an.
Inzwischen ist Prof Backes nicht mehr involviert, daher auch der Namenswechsel. Mit neuem Besitzer haben wir uns etwas neu orientiert und versuchen jetzt eben mit dieser Lösung für den Endkunden - die das Potential hat auch Business Kunden anzusprechen - Fuß zu fassen.
Geschichtlich hatte die Firma zum Beispiel den AppGuard zu bieten, der es vor Android 6 ermöglicht hat, Apps die Berechtigungen zu entziehen. An den Erfolg wollen wir jetzt mit dieser Lösung wieder anknüpfen indem wir dem User die Gewalt über sein Gerät zurückzugeben.

 

[Fuhrmann]

@deek Danke schon mal für div Infos.
Mir erschließt sich u. a. noch nicht, wie ich z. B. Kontakte in den Safe bekomme.
Meine werden nicht bei Google synced und ein anders Konto ist es zusätzlich.

 

[deek]

Momentan musst du einen entsprechenden Sync Account im Safe einrichten. Also z.B. Google, CardDav, Outlook, etc.
Aber auch Kontakte-Management ist auf unserer Agenda. Voraussichtlich in der nächsten Version eine rudimentäre Variante als Preview. Mehr Konfigurationsmöglichkeit ist in Planung.

 

[Fuhrmann]

Was ich mit meinen 3 Bildern meinte:........
Ist aber im SRT File-Browser bei Klick auf Menü (Bild1) nicht in "D..s" (Ordner gibt's nicht) sondern nur über dem Umweg interner Speicher (Bilder 2+3) zu finden allerdings in "D...".
Vermute falsche Verlinkung.

Scheint ein Fehler im LineageOS selbst zu sein.
Da ich den enthaltenen Dateibrowser eigentlich nicht nutze, fiel mir das jetzt erst auf (beim Suchen nach einem Download als Anhang zu einer Mail).

 

[SRT-GmbH]

Nächste Woche veröffentlichen wir ein großes Update (#FileTransfer, #DarkMode), aber dazu bald mehr.
Für das darauf folgende Update haben wir auch schon einiges in der Mache (#EasyContactTransfer), doch ein bissen Luft ist noch frei und da seid Ihr jetzt gefragt. Wir wollen eure Meinung welches Feature Ihr dort noch sehen wollt:

a.) Den versteckten SRT Vault per Telefonanruf (ganz ohne Icon) einer geheimen Nummer zu öffen.
b.) Bei falscher Pin/Muster Eingabe (#AccessControl kommt auch) Fotos des Übeltäters aufzunehmen.

Habt ihr weitere Ideen, dann lasst sie uns ganz einfach hier wissen

 

[Fuhrmann]

@SRT-GmbH das sind ja gute Ideen.
Zu a sollte aber nur eine Option sein (Tablet ohne SIM).
Mir ist noch nicht klar, wie ich Nutzer des Vaults hindern könnte, auf das normale "System" umzuschalten.
Hab SRT allerdings auf nem Tablet ohne Displaysperre. Ist das das Problem?
Würde ich, mit Displaysperre, entscheiden können, welches Profil geöffnet würde?
Zugriff aus SRT auf spezifische Ordner (freizuschalten als Admin) im internen Speicher u SD ist ja eh schon geplant, oder?
Erstmal schönes Wochenende.

 

[Fuhrmann]

@SRT-GmbH Noch ne Frage: wollte AdAway geklont im Safe nutzen.
Hat aber kein root Recht dort.
Also Magisk geklont, aber das müsste installiert werden.
Wohin geschähe das? Habs erstmal gelassen.

Noch eine Anregung: zur Reduktion des benötigten Speicherplatzes könnte bei Installation vom Safe gefragt werden, ob Gapps mit geklont werden sollen, oder nur das nackte System.
Installation von Apps geht ja auch über F-droid u/o Aurora Store.

 

[deek]

Hallo,

@SRT-GmbH das sind ja gute Ideen.
Zu a sollte aber nur eine Option sein (Tablet ohne SIM).
Mir ist noch nicht klar, wie ich Nutzer des Vaults hindern könnte, auf das normale "System" umzuschalten.
Hab SRT allerdings auf nem Tablet ohne Displaysperre. Ist das das Problem?
Würde ich, mit Displaysperre, entscheiden können, welches Profil geöffnet würde?
Zugriff aus SRT auf spezifische Ordner (freizuschalten als Admin) im internen Speicher u SD ist ja eh schon geplant, oder?
Erstmal schönes Wochenende.

Natürlich wird das open-by-call Feature eine Option.
Es ist vom System nicht so gedacht, dass du nur das Arbeitsprofil öffnen kannst und nicht auf das normale Profil Zugriff hast.
Für dich ist eventuell das Benutzer-Feature von Android selbst interessant? Damit wird - wie z.B. beim PC - ein zweiter Benutzer angelegt, der sich getrennt anmelden kann/muss.

Kannst du den Wunsch mit Zugriff auf spezifische Ordner genauer ausführen?

Insgesamt hört es sich für mich so an, als ob du damit verschiedene Benutzer vor dem Gerät voneinander isolieren möchtet. Eigentlich war die Idee eher die Apps voneinander zu isolieren... Aber vielleicht können wir dir auch bei deinem Use-case helfen.

@SRT-GmbH Noch ne Frage: wollte AdAway geklont im Safe nutzen.
Hat aber kein root Recht dort.
Also Magisk geklont, aber das müsste installiert werden.
Wohin geschähe das? Habs erstmal gelassen.

Noch eine Anregung: zur Reduktion des benötigten Speicherplatzes könnte bei Installation vom Safe gefragt werden, ob Gapps mit geklont werden sollen, oder nur das nackte System.
Installation von Apps geht ja auch über F-droid u/o Aurora Store.

Schau mal hier: Is it possible to get root permission using Magisk in Work Profile?
Es scheint eine Möglichkeit zu geben Magisk im Arbeitsprofil zu aktivieren.

Wir haben keinen Einfluss darauf, welche Apps beim Anlegen des Profils schon geklont werden. Das macht komplett das System. Dazu gehören eben auch ein paar Google Apps.
Dies sollte aber nicht viel Speicher verbrauchen. Apps die in beiden Profilen existieren teilen sich die Installationsdatei, also die APK-Datei. Diese existiert also nicht zwei mal.

 

[Fuhrmann]

Ok.
Dann hab ich die Beschreibung nicht richtig gelesen/verstanden.
Also ein direkter use-case ist das nicht.
Bin der einzige Nutzer des Gerätes.
Spiele eigentlich nur mit der App rum u mach mir Gedanken (manchmal die falschen ) dabei.

Edit: der Tipp mit Magisk hat geklappt.
Mit "spezifischen Ordnern" meinte ich welche auf der SD Karte z. B.
Hatte ich aber schon weiter oben gefragt. Soll ja wohl kommen.