[Suche] Betatester für eine Antidiebstahl App

  • 151 Antworten
  • Letztes Antwortdatum
Also das Akkuverhalten ändert durch Nutzen von PhoneLoc sich fast garnicht, da PhoneLoc jede Stunde (der Defaultintervalwert) immer ganz kurz aufwacht, eine GPS/Mobilfunkzellen/WLAN-Ortung durchführt und dann mit dem Server kommuniziert, da auch gleichzeitig den neuen zufälligen Authcode und die neuen Befehle (falls nicht über SMS) abholt und ausführt. Das ist nur eine Sache von paar wenigen Sekunden pro jede Stunde.

Der Traffkverbrauch pro Stunde beträgt nur paar wenige Bytes, meistens weit auch unter einem Kilobyte. Also hochgerechnet auf einen Monat, wenn wir mal mit etwas Headroom eher 2 Kilobyte als statischen festen Wert hernehmen, sind das 2*24*30=1440kb, also 1,4 MB, und realistisch mit weit unter 1KB pro Stunde sogar nur ca. so ab 180 bis 720kb pro Monat, je nach Situation.

Zum Thema Sicherheit, die Passwörter werden beim Login im Webinterface nur MD5 hashed samt einem Salt übertragen, und nie im Klartext ausser beim Setzen/Ändern eines neues Paswortes. Zudem führt PhoneLoc nur die Befehle aus den SMSs aus, bei denen der Authcode am SMS-Anfang stimmt, wo der Authcode auch sich bei jeder Serverkontaktaufnahme stundig ändert, sprich es kann nicht einfach irgendein Fremder euren Smartphones Befehle schicken, solange er nicht den jeweils stundigen-aktuellen Authcode kennt, was auch eher sehr unwahrscheinlich ist, einen Authcode jemals zu dem richtigem Zeitpunkt zu erraten. Der Server selbst läuft mit Debian Lenny, worauf auch einige Scripts läuft, die u.A. SSH-Login FTP-Login etc. Bruteforce Login Angriffversuche erkennen, und dann diese IPs auch temporär für 24 Stunden blockieren. Meinme Passwörter zum Server sind zudem sehr stark, aber nähere Details dazu gebe ich hier aus Sicherheitsgründen dazu nicht preis. Alles andere sollte bereits schon irgendwo in diesem Thema stehen.

Das mit der "Rufnummer / KartenID" Sache ist wirklich eine gute Idee, die ich evtl. mal implementieren werde, so etwa auch wie die neue Message Server Push Sache bei Android Froyo, als weiteren alternativen Befehlübertragungsweg neben SMS und Server Polling.

@Chrischi2809 gute Frage, warum es nicht bei dir funktioniert, evtl. wieder was mit HTC Sense und dessen Seiteneffekte der HTC-eigenen Frameworkänderungen. Ich sollte mir echt mal ein Gerät mit Sense rein für Debuggingzwecke zu legen. Denn ich habe PhoneLoc bisher nur auf Original-Framework Android Versionen bzw. Geräten ohne herstellereigene UI + Frameworkänderungen getestet. Mal schauen, ob und welches möglichest preiswertestes halbsweg aktuelles Gerät mit Sense dafür am ehesten zum testen/debuggen taugt. Denn mein Nexus One möchte ich aus Garantiegründen noch ungelockt/ungerootet lassen.

@idealforyou Die Steuerung erfolgt komplett übers Webinterface, also sprich PhoneLoc auf dem Gerät selbst hat garkeine aufrufbare UI (bis auf ausser die Lockscreenactivity). Sprich du muss es dann übers Webinterface wieder unlocken (einmal per SMS versuchen und einmal per Serverpolling samt ca. eine Stunde abwarten versuchen) oder dir notfallls das Android SDK runterladen und dann per "adb uninstall com.bero.phoneloc" PhoneLoc von Hand deinstallieren, wenn du dich selbst ausgesperrst hast, aber das Android USB Debugging unter Einstellung/Anwendungen (noch) aktiviert hattest. Ansonsten hilft nur noch ein Wipe.

@clhei Das wird ja durchs Server Push Kram bei Froyo dann um einiges einfacher um schneller und sicherer zwischen GPS und Mobilfunkzellen/WLAN Ortung zu wechseln. Zudem denke ich sofern ein Dieb bemerkt, dass sich irgendetwas komisches auf dem Smartphone abspielt, es eher, nach erfolgslosen Versuchen wie SIM Karte wechseln etc., sofort irgendwo liegen lässt. Und zum Thema Kosten, jede PayPal Spende mit einem Bezug zu PhoneLoc, sofern der Spender das Wörtchen PhoneLoc irgendwo vermerkt hat (u.A. z.B. unter "Mitteilung an den Verkäufer", sofern ich den Satz noch richtig im Kopf habe), übertrage ich meistens immer sofort aufs SMS Prepaidkonto vom SMS Gatewayprovider.
 
"Ansonsten hilft nur noch ein Wipe." <-- ich dachte, ein Wipe hilft nicht "gegen Phoneloc? :)

Danke für die Antworten - du tust dir da echt viel an - merci!

Noch eine Frage: Wenn das Teil opensource ist - gäbe es dann die Möglichkeit, den Serverteil auf der eigenen Box laufen zu lassen?

Da du ja selbst einen vhost betreibst, wirst du das eher nicht brauchen - aber falls doch: Ich habe einen Rootserver auf Freebsd bei Hetzner (kein vhost) der noch massig Platz, Rechenleistung und Traffic über hat... - gib Bescheid, falls man dir irgendwie aushelfen kann!
 
Zuletzt bearbeitet:
licht77 schrieb:
"Ansonsten hilft nur noch ein Wipe." <-- ich dachte, ein Wipe hilft nicht "gegen Phoneloc? :)

Nur wenn man sein Phone gerootet und die PhoneLoc.apk nach /system/app verschoben hat.

licht77 schrieb:
Danke für die Antworten - du tust dir da echt viel an - merci!

Noch eine Frage: Wenn das Teil opensource ist - gäbe es dann die Möglichkeit, den Serverteil auf der eigenen Box laufen zu lassen?

Da du ja selbst einen vhost betreibst, wirst du das eher nicht brauchen - aber falls doch: Ich habe einen Rootserver auf Freebsd bei Hetzner (kein vhost) der noch massig Platz, Rechenleistung und Traffic über hat... - gib Bescheid, falls man dir irgendwie aushelfen kann!

Das dürfte evtl. datenschutztechnisch problematisch sein, wenn ich plötzlich die PhoneLoc MySQL DB per MySQL Clustering bei dir mirrore. Aber ja, es wäre theoretisch möglich, PhoneLoc an seinen eigenen Server anzupassen (man muss einfach im Prinzip nur die Server URL Templates im Java Source Part anpassen und den IMEI Check per Konstante deaktivieren oder die eigene IMEI manuell von Hand in die APK vor dem signing einpflanzen), selbst eine APK zu kompilieren und zu signen, und diese eigene APK dann auf seinem eigenen Gerät zu verwenden.
 
@Datenschutz: ist mein Forschungsgebiet, da kann ich dir gerne zur Seite stehen - das machen wir aber nicht public :)

Abgesehen davon musst ja nicht gleich mit den heißen Daten migrieren - aber evtl. hilfts dir ja, wenn zb. Downloads, verschlüsselte Backups (Duplicity?) o.ä. auslagern kannst :) Einfach im Hinterkopf behalten, falls mal Bedarf hast.

@eigener Server: Eilt nicht, da ich mich bei dir sehr gut aufgehoben fühle... - aber wäre nicht schlecht, wenn das in ferner Zukunft mit möglichst überschaubarem Aufwand realisierbar wäre...
 
Danke für Deine Arbeit. Gestern habe ich auch mal gespendet. Die Amazon Artikel waren mir doch etwas zu teuer. :) Schade wenn die ganzen Spenden für den SMS Betrieb drauf gehen. Ich würde mir wünsche, dass das Geld eher als Belohnung für Deine Arbeit bei Dir landet. Damit es in der Summe dann mal für die Amazon Artikel reicht. :) Ansonsten könnte die Web-Anwendung doch auch jedem Account ein paar freie SMS gewähren und wenn die aufgebruacht sind, kann man sich ja die 'generieren' Codes kopieren und über einen Free-SMS oder sonstwie an das Handy senden.

Würde Dein Budget sicherlich um einiges entlasten.

Ansonsten noch ein paar Gedanken:

  • Die IMEI ist direkt ohne Passwortabfrage abfragbar. Meine Meinung nach ist das etwas unsicher:
  • Jemand könnte per Brut Force gültige PhoneLoc IMEIs abfragen und damit Blödsinn anfangen. Insbesondere wenn noch kein Accountpasswort gesetzt ist
  • Zur Positionsabfrage ist kein Passwort erforderlich. Ich denke es sollte zwei Passwörter geben. Eines für das Accountmanagement und eines für die reine Positionsabfrage. Ich möchte z.B. nicht, dass irgendjemand einfach mal meine IMEI in Erfahrung bringt und nun, da dieser jemand weiss, dass ich Phoneloc installiert habe, mich 'heimlich' überwachen kann.
  • Zur Aktivierung wäre vielleicht auch ein Optin Verfahren denkbar. Der Server versendet einen Aktivierungcode an das Handy. Und nur mit Eingabe dieses Codes in der Webanwendung lässt sich der Account aktivieren. Damit lässt sich Phoneloc etwas weniger einfach als heimliches Überwachungstool installieren.
Soviel zu meinem Senf. Wünsch Dir weiterhin viel Spaß und Erfolg mit Phoneloc.
 
Naja, jemand muss schliesslich so ein Service auf kostenloser Basis betreiben, als Alternative zu den kostenpflichtigen kommerziellen Alternativen. Aber demnächst werde ich ja diesen Serverpushing Kram als weitere Befehlübertragungsweg Alternative implementieren.

Abfragen gehen nur mit gültigem Passwort, ansonsten geht es nur bei IMEIs wo jemand zu seiner IMEI kein Passwort gesetzt hat.

Nur gestern war ein DB Record mit leerem IMEI Feld vorhanden, wo wohl jemand versucht hat, PhoneLoc auf sein GSM/UMTS-loses Androidtablet zu installieren.

Also nochmal an alle: PhoneLoc ist NUR für Android Smartphones und NICHT für Android Tablets, Google TV, und so weiter.

Zudem sollte man ja sofort nach der PhoneLoc Installation ein Passwort setzen. Wer es nicht macht, ist es im Prinzip auch selbst schuld.

Zur Positionsabfrage ist ein Passwort erforderlich. Das gestern war nur der IMEI-lose Android Tablet DB Record, siehe Punkt 1.

Zur Opt-InSache gibt nur ein Problem. PhoneLoc kann und soll keine Daten auf dem Gerät selbst speichern (soll ja auf gerooteten Geräten WIPEs überleben, sofern man PhoneLoc nach /system/app verschoben hat).

Zudem was soll das bringen, wenn man eh physikalischen Zugriff aufs Gerät hat und bereits PhoneLoc installieren konnte (Remote APK Installationen gehen ja nicht :)). Denn dann könnte ja auch diese SMS mit dem Code abfangen, und somit wäre so ein Opt-In Verfahren eher sinnlos.

Das Fuckup gestern war wirklich nur ein dummer Androidtabletuser schuld, also wo man dann immer (nur) seine Daten gesehen hat, z.B. wenn keine IMEI eingegeben hat etc.

Und vielen dank für deine Spende :D

Edit: Jetzt wird überprüft, ob eine gültige nicht-leere IMEI mitübertragen wurde.
 
Zuletzt bearbeitet:
Moin erstmal.
Bin nach längeren googeln auf diesen thread gestoßen und muß sagen klasse Idee :D
Aber nun bin Ich auf ein anderes App gestoßen das sich fast identisch anhört(nur nicht kostenfrei).
http://www.theftaware.com
Wurde es evt geklaut???
 
@Bero: Bist du noch aktiv am entwickeln oder geniesst du den Urlaub? Habe ein kl. Problem in den Bugtracker gestellt und bin mir aber nicht sicher, ob dich das a) erreicht und b) korrekt von mir eingetragen wurde...
 
Vielen Dank Bero für die schnelle Rückmeldung im Bugtracker!

Für alle anderen die es betreffen könnte: Sollte die eigene Rufnummer nicht angezeigt werden (und somit auch keine SMS empfangen werden -> Ausweichen übers Serverpolling) - dies liegt nicht an der App sondern an der Bauart der SIM-Karte.

@Bero: Einen Featurewunsch hätte ich noch: Es wäre sehr hilfreich, wenn man ähnlich wie "execute command" bzw. vibrate eine Benachrichtigung oder noch besser den Klingelton aktivieren könnte. Dies würde die Suche nach dem Gerät erheblich vereinfachen. Und wenn im Webinterface noch das Pollingintervall angezeigt würde, dann wäre das Tool perfekto! :)
 
Vielen Dank bero für die tolle app. Allerdings suche ich schon seit 15 Minuten die Funktion zum passwort setzen, bin aber scheinbar blind. Wo genau kommt man zu dieser Funktion?
 
werd es auch mal testen :)
 
so, habs' mal geschafft.
leider kann ich keine sms versenden.
weil keine mobilfunknummer eingetragen ist.
auf meinem milestone steht auch bei "meine telefonnummer: unbekannt."
& ich kann das handy auch GARNICHT steuern.
 
Zuletzt bearbeitet:
habela31 schrieb:
so, habs' mal geschafft.
leider kann ich keine sms versenden.
weil keine mobilfunknummer eingetragen ist.
auf meinem milestone steht auch bei "meine telefonnummer: unbekannt."
& ich kann das handy auch GARNICHT steuern.

hi,

wie in einigen posts vorher beschrieben, liegt das daran, dass deine sim karte das auslesen der nummer nicht bringt...das problem hab ich auch.

aber du kannst über den checkbutton "No SMS, save it on server for polling from device" die daten per datenübertragung beim nächsten abgleich mit dem server vom tool holen lassen. dauert halt bissl, aber funkt
 
Moin erstmal.
Bin nach längeren googeln auf diesen thread gestoßen und muß sagen klasse Idee :D
Aber nun bin Ich auf ein anderes App gestoßen das sich fast identisch anhört(nur nicht kostenfrei).
http://www.theftaware.com
Wurde es evt geklaut???


Wobei das nur die Daten sendet wenn man eine SMS sendet.
______
Hier wird jede Stunde der Status übertragen. Und der Server kann befehle geben.

Und es kostet nix.


Sent from my HTC Desire using Tapatalk
 
ist ja geil, und ES FUKTIONIERT
 
Kann du noch ein Login mit Benutzernamen und pw. machen? Auf dem Handy die IMEI immer zu benutzen ist doof.

PS: Meine nummer will er nicht haben. Auch wenn ich es manuell anfrage.

Sent from my HTC Desire using Tapatalk
 
ehhh mir ist grad aufgefallen das es jedes mal die selbe lacation ausspuckt, die seite sagt mir das handy ist zuhause ,es müsste aber ganz wo anders sein????
 
shooter54 schrieb:
ehhh mir ist grad aufgefallen das es jedes mal die selbe lacation ausspuckt, die seite sagt mir das handy ist zuhause ,es müsste aber ganz wo anders sein????

Die Location wird im Standardzustand nur stündlich aktualisiert mit der "letzten bekannten" Position von deinem Gerät, wenn GPS & Mobilfunkortung etc. fehlschlagen.
 
ja nur wenn ich es um 22 uhr bei mir zuhause mache und wlan an habe spuckt das tool mir den genauen standort aus, wenn ich dann aber am nächsten tag das tool erneut ausführe und das handy ist mitten in der stadt bekomm ich trotzdem gesagt das es bei mir zuhause ist (mit der uhzeit der letzten localation) also an der netzabdeckung sollte es nicht liegen.
 
Wie bekomme ich das nun hin das der Server meine Nummer bekommt ?

Mit "No SMS, save it on server for polling from device" geht das nicht.
 

Ähnliche Themen

F
Antworten
0
Aufrufe
483
Firehold
F
frankxx
Antworten
14
Aufrufe
1.145
frankxx
frankxx
netfreak
  • netfreak
Antworten
3
Aufrufe
393
holms
holms
Zurück
Oben Unten