Sicherheit galaxy s plus

[jgr]

Vorab: Bitte um klare, praktische Antworten ohne generelle Sicherheitsdiskussion - ich will nur wissen, was maximal und wie möglich ist. Danke.

Mein Samsung Galaxy S-Plus soll die höchstmögliche Sicherheitsstufe bekommen.

Ich benutze es für:
tel / sms / email / organizer / Adressbuch / alles in sync mit MS Outlook, aber lokal!
Desweiteren für web, navigation + google maps / foto / audio
Ich habe es gewählt aufgrund der guten Leistungsdaten, des guten displays, der Ausdauer und des niedrigen sar-Wertes.

Ich möchte kein google-Konto und brauche keine apps.
Ich möchte keine Vebindungen zu Samsung (Kies) oder anderen web-verknüpften Datenauslesern/Synchronizern oder gar irgendwelchen cloud-ähnlichen Services.
Das Gerät soll keinerlei persönliche Daten ohne meine Freigabe/Kontrolle senden oder über das Internet preisgeben können.
Den Standard-Möglichkeiten dafür im Menu des Gerätes traue ich überhaupt nicht.

Wie sicher sind welche roots - oder muss man auch da prinzipiell von loggings oder evtl. noch schwerwiegenderen Sicherheitslücken ausgehen?

Ich will das Ding ganz simpel dicht und sicher haben.

Besten Dank schonmal.

 

[DerCastor]

Also du willst keine apps, keine datenverbindung, hast keine persönlichen Daten auf dem phone und willst kein Google Konto? Ist das so weit richtig?
Vor was hast du denn noch angst? Warum hast du überhaupt ein smartphone?

Mehr Sicherheit, die du eigendlich nur bei internetnutzung brauchst, bekommst du nur durch apps, die dann auch noch root benötigen (beides willst du nicht!). Dadurch öffnest du aber wiederum noch mehr sichetheitslücken.

Ich denke für dich ist eher ein normales Handy, kein smartphone, das richtige.

Gesendet mit der Android-Hilfe.de-App

 

[jgr]

Danke für deine Antwort.

Etwas falsch verstanden. Ich habe keine Angst - ich bin seit 20 Jahren in den Medien, da wandelt sich die Angst irgendwann zu Entsetzen und danach zu Gelassenheit und Kopfschütteln. ;-)

Mich interessieren die Möglichkeiten, ein Android-Handy zu kontrollieren.
Ich will wissen, wie weit man mit den Dingern noch selbst bestimmen kann, wem man seine Daten gibt oder nur zeigt. Und ob udn wie man vermeiden kann, dass übers Handy Daten (zumindest ohne das eigene Wissen darüber) ausgelesen werden.

Das Problem ist ja nicht primär, dass irgendjemand persönlich an meinen Daten interessiert wäre und mir was Böses will - das Problem sind die riesigen Datenbanken, die gefüttert werden und aus denen immer mehr automatisch generierte Zugriffs- oder Verfügungsrechte für alle möglichen Konsum- und Lebensbereiche generiert werden.
Und dass zusätzlich irgendwelche immer bekloppter agierenden gierigen Geschäftsleute auf solche Datenbanken (per Kredit ;-) ) Zugriff bekommen und damit verantwortungslos umgehen. Hört sich an wie Polemik, ist aber Realität.

Es wird in Zukunft immer öfters heißen: "Entschuldigung, aber da kann ich leider nichts machen, das System sagt mir, dass..."
Wir werden irgendwann schlicht keine Möglichkeit mehr haben etwas an den Daten und Zugriffskombinationen zu ändern. Weil niemand mehr durchsteigt, wann, wo, was generiert wurde.

Aber diese Diskussion will ich nicht schon wieder aufmachen, jeder kann machen was er will, bis er die Quittung kriegt.

Also: Sind nach Eurer Meinung die roots "sicherer" und habe ich mehr Kontrolle dadurch? Kann ich Bereiche im Handy abschotten . Wie z.B das Adressbuch und den Organizer? Sonst kann man ja einfach zwei getrennte Geräte für "Telefonie/Termine/Adressbuch" und Daten bzw. Web nehmen und muss dann nur mit den Unannehmlichkeiten der fehlenden Verknüpfung leben.

 

[braini]

Wer auf "Datensicherheit" wert legt sollte Google Maps bzw. sämtliche Google-Software niemals anwenden. Surfen generell nur mit einem "leeren" Linux-PC unter Einhaltung sämtlicher Sicherheitsregeln und ein Smartphone besser gar nicht erst benutzen.

 

[db2]

Ich verlinke mal einfach was ich schonmal zu dem Thema geschrieben habe, ich hoffe das hilft ein bisschen weiter: https://www.android-hilfe.de/forum/...griff-fuer-anfaenger.170732.html#post-2303251

Meiner Meinung nach kann man nach dem rooten mit Hilfe von LBE Privacy Guard, Droid Wall und AdAway eine solide Grundbasis schaffen. Generell einfach allem mit LBE das benutzen von Kontaktdaten, SMS, und IMEI verbieten und auch Apps die keinen Internetzugang brauchen den Zugang verbieten. Sehr viele Apps senden sehr gerne deine IMEI im Klartext übers Internet an den Entwickler; mit der IMEI lässt sich dein Handy weltweit eindeutig identifizieren. "Virenscanner" unter Android sind zur Zeit vollkommen nutzlos, weil sie alle nur eine Liste bekannter bösartiger Apps durchgehen, es gibt noch keinen richtigen Virenscanner, der nach verdächtigen Mustern suchen würde oder ähnliches. Google löscht bösartige Apps eh aus dem Market, es fangen sich diese eher z.B. Chinesen ein, die den Market nicht benutzen können und andere Appstores benutzen. Google kann übrigens per General-Killswitch aus der Ferne Apps auf allen Android-Phones installieren oder deinstallieren. Vorgekommen ist es bis jetzt nur ein einziges Mal, es wurde eine Schadsoftware deinstalliert.

Recht unbefriedigend ist zur Zeit noch die Situation mit den Webbrowsern, für Dolphin wurde z.B. vor nicht allzu langer Zeit festgestellt, dass er jede URL die man ansurft nach Hause funkt. Inzwischen behoben, aber ein Mangel an Vetrauen zum Hersteller ist definitiv entstanden. Die mit Abstand vertrauenswürdigste Variante - Firefox - läuft zur Zeit nur sehr lahm auf Android. Ansonsten kann man sich noch Boat Browser anschauen der recht vernünftig scheint oder das Open Source Projekt Zirco Browser. Und apropos Open Source, da mangelt es noch recht stark an Android-Projekten, leider sind die meisten Entwickler eher an werbefinanzierte Apps interessiert und jedes geladene Werbebanner kann natürlich deine IP festhalten. Generell immer sinnvoll, nach dem Surfen Historie und Cookies zu löschen, so einige Browser bieten das als Funktion an, und nie Passwörter vom Browser abspeichern lassen.

Ansonsten kann man GPS immer ausgeschaltet lassen und nur anschalten wenn man es braucht und gegen akute Paranoia bietet Android eine "mock locations" Option in den Systemeinstellungen, die deine aktuelle Position um ein paar Hundert Meter verschiebt.

Generell in fremden WLANs extrem vorsichtig sein welche Apps, die Logindaten gebrauchen, man verwendet. Einige Apps machen es vernünftig und senden verschlüsselt mit HTTPS, andere nicht und senden im Klartext was jeder im fremden WLAN abhören kann. Stattdessen lieber über UMTS surfen, was keiner so leicht abhören kann.

Wegen der quasi-spyware CarrierIQ, die zur Zeit durch die Medien geht brauchen wir uns hierzulande keine Sorgen machen, die ist nur in den USA vorinstalliert.

Was Android mMn noch fehlt ist erstens eine Keychain, die Zentral vom System zur Verfügung gestellt wird und in der Apps Logins und Passwörter sicher und verschlüsselt verstauen können anstatt wie zur Zeit einfach im Klartext auf die Festplatte zu schreiben. Festplattenverschlüsselung fehlte auch, wird aber in Ice Cream Sandwich angeboten (Android 4.0). Wann und ob das dann für unser Gerät kommt ist eine andere Frage.

Das ist was mir grad so zum Thema einfällt... Ein guter Blog zum Thema Android Sicherheit ist: android underground

 

[db2]

Noch mehr Infos:

- Der Lockscreen ist im Prinzip nur dazu da, um zu verhindern, dass wenn das Handy in der Hosentasche ist aus versehen etwas aktiviert wird. Nun suggerieren die zusätzlichen Lockscreen-Optionen unter Android wie z.B. ein Muster, eine PIN oder in 4.0 sogar Gesichtserkennung, dass der Lockscreen auch als Sicherheitschutz fungieren kann, so dass andere das Handy nicht benutzen können. Die Gesichtserkennung kann einfach durch ein Photo ausgetrickst werden. Muster und PIN-Eingabe hingegen hinterlassen auf dem Glas klare Fingerabdrücke. Also braucht man nur das Gerät ans Licht halten, gucken wo die Abdrücke sind, und dann alle verschiedenen Kombinationen an Mustern/PINs ausprobieren, die den Fingerabdrücken entsprechen. Das ganze wird in diesem Paper besprochen. Eine Lösung wäre natürlich, ständig den Bildschirm an Kleidung zu reiben, um die Fingerabdrücke zu entfernen. Eine viel bessere Lösung hat sich die Firma WhisperSystems ausgedacht: Ein PIN-Lockscreen als schmaler vertikaler Streifen, wo nach der Eingabe der PIN man noch ein vertikales Slide-To-Unlock macht und damit seine eigenen Fingerabdrücke wegwischt. Hier mit Bildern erklärt, allerdings wurde WhisperSystems kürzlich von Twitter aufgekauft und hat erstmal ihre Software vom Netz genommen. Unter anderem arbeiteten sie ausserdem an einer Firewall und einem Permissions-Kontroll-System wie LBE.

- Es gibt ein sehr neues Projekt für ein Permissions-Kontroll-System (wie LBE) namens PDroid Privacy Protection. Android-Hilfe-Thread hier und Original XDA-Thread hier. Im Gegensatz zur kostenlosen aber proprietären chinesischen Software LBE ist PDroid open-source und ist als System-Patch implementiert. Das heisst, dass es für jedes Gerät einzeln angepasst werden muss und es läuft zur Zeit nur auf einer Handvoll Geräten. Das heisst allerdings auch, dass es jederzeit sicher läuft. Ein kleines Problem bei LBE ist es, dass es als App nach dem Systemstart geladen wird und es ein kurzes Zeitfenster gibt, in dem andere Apps die vielleicht zufällig vor LBE laden dann für kurze Zeit ohne die Kontrolle von LBE laufen.


- Passwort-Manager zum sicheren und verschlüsselten Abspeichern von Passwörtern, PINs etc. gibt es jede Menge im Android Market. Keiner hat eine wirklich gute Systemintegration, so dass man mit viel clicken oder sogar mit copy & paste der Passwörter arbeiten muss. Da bräuchte Android wirklich wie schon erwähnt eine im System integrierte Keychain.
Sehr erwähnenswert finde ich zu diesem Thema das Frauenhofer-Projekt "MobileSitter". Es implementiert eine geniale Idee, die ein enorm sichereres Abspeichern von Passwörtern und PINs ermöglicht. Will man z.B. eine gespeicherte PIN abrufen, akzeptiert MobileSitter als Authentifizierung ein beliebiges Master-Passwort und gibt einem die verlangte PIN. Hat man das richtige Master-Passwort eingegeben, kriegt man auch die richtige PIN angezeigt. Hat man ein falsches Master-Passwort eingegeben, kriegt man eine nach einem Algorithmus generierte PIN angezeigt. Ein Angreifer kann also nie wissen, ob er jetzt die richtige PIN hat oder nicht! Und da so gut wie alle Passwort- oder PIN-Abfragen nur eine begrenzte Anzahl Versuche erlauben, wird er immer daran scheitern, die verschiedenen Antworten von MobileSitter einfach durchzuprobieren.
Leider ist MobileSitter noch nicht für Android verfügbar. Ich weiss allerdings, dass die Frauenhofer kürzlich nach Werkstudenten suchte, die das System auf Android portieren, d.h. es ist auf jeden Fall etwas in Arbeit.


- Auch sehr interessant sind die Android-Apps des GuardianProject, unter anderem Orbot, ein TOR-Client für Android mit dem dazugehörenden Browser Orweb. So kann man mit Hilfe des TOR-Netzwerks anonym surfen. Gibberbot ist ein Google Talk Instant-Messaging-Client mit OTR und erlaubt sichere, verschlüsselte IM-Kommunikation (Generell geht bei IM-Clients, ob MSN, ICQ, Facebook etc. alles im Klartext über das Netzwerk).

 

[inside]

Der normale Pin ist relativ sicher. Er wird beim Factory Reset abgefragt und wenn er gut gewählt ist, funktioniert das Fingerabdruck suchen auch nicht mehr, z.B. Pin ist 556675.

Nur so als kleine Ergänzung.

 

[db2]

Der normale Pin ist relativ sicher. Er wird beim Factory Reset abgefragt und wenn er gut gewählt ist, funktioniert das Fingerabdruck suchen auch nicht mehr, z.B. Pin ist 556675.

Nur so als kleine Ergänzung.

Danke, ja das stimmt natürlich. Habe auch die Passwort-Option vergessen, die ist auch sicher aber etwas umständlich.