{"id":9404,"date":"2014-04-04T11:29:01","date_gmt":"2014-04-04T09:29:01","guid":{"rendered":"http:\/\/tuxproject.de\/blog\/?p=9404"},"modified":"2014-04-04T11:29:01","modified_gmt":"2014-04-04T09:29:01","slug":"android-apps-absichern-mit-afwall-und-aosp","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2014\/04\/android-apps-absichern-mit-afwall-und-aosp\/","title":{"rendered":"Android-Apps absi\u00adchern mit AFWall+ und AOSP"},"content":{"rendered":"

Panik!:<\/a><\/p>\n

Ver\u00adbrau\u00adcher\u00adsch\u00fct\u00adzer haben gete\u00adstet, wel\u00adche Zugriffs\u00adrech\u00adte 50 Apps ver\u00adlang\u00adten, die sowohl im Goog\u00adle Play Store als auch im Apple iTu\u00adnes Store zu kau\u00adfen sind. (\u2026) Zugriffs\u00adbe\u00adrech\u00adti\u00adgun\u00adgen soll\u00adten nur so viel wie n\u00f6tig und so wenig wie m\u00f6g\u00adlich ange\u00adfor\u00addert wer\u00adden.<\/p>\n

Nicht unge\u00adw\u00f6hn\u00adlich sei\u00aden Zugrif\u00adfe der Apps zum Bei\u00adspiel auf Adress- und Stand\u00adort\u00adda\u00adten der Nut\u00adzer, den Brow\u00adser\u00adver\u00adlauf oder die Iden\u00adti\u00adfi\u00adka\u00adti\u00adons\u00adnum\u00admer des Ger\u00e4\u00adtes. (\u2026) Au\u00dfer\u00addem haben die mei\u00adsten Ver\u00adbrau\u00adcher eine Viel\u00adzahl an unter\u00adschied\u00adli\u00adchen Apps auf Ihren End\u00adge\u00adr\u00e4\u00adten instal\u00adliert: Mit\u00adge\u00adteilt wird ein\u00admal der Stand\u00adort, ein ande\u00adres Mal das Alter und das Gewicht des Ver\u00adbrau\u00adchers, wie\u00adder ande\u00adre Apps wol\u00adlen Ein\u00adblick in die Kon\u00adtakt\u00adli\u00adste und die Seri\u00aden\u00adnum\u00admer des End\u00adge\u00adr\u00e4ts. (\u2026) \u201eDer App-Check hat gezeigt, dass drin\u00adgen\u00adder Hand\u00adlungs\u00adbe\u00addarf besteht, um die Nut\u00adzung von Apps k\u00fcnf\u00adtig trans\u00adpa\u00adren\u00adter und siche\u00adrer zu machen\u201c<\/em>, sag\u00adte Elbrecht.<\/p><\/blockquote>\n

Die\u00adser Hand\u00adlungs\u00adbe\u00addarf kann jeden\u00adfalls unter Android bereits von Nut\u00adzer\u00adsei\u00adte erf\u00fcllt wer\u00adden \u2013 freie \u201eAOSP\u201c-basierte (also nicht ger\u00e4\u00adte\u00adher\u00adstel\u00adler\u00adsei\u00adtig mit Eigen\u00adwer\u00adbung ver\u00adse\u00adhe\u00adne) Dis\u00adtri\u00adbu\u00adtio\u00adnen wie Cya\u00adno\u00adgen\u00adMod, Slim\u00adKat und Para\u00adno\u00adid\u00adAndroid machen\u2019s m\u00f6g\u00adlich. (Im Fol\u00adgen\u00adden wird Slim\u00adKat<\/a> auf einem Sam\u00adsung Gala\u00adxy S4 ver\u00adwen\u00addet, gege\u00adbe\u00adnen\u00adfalls wei\u00adchen Men\u00fcs und Aus\u00adse\u00adhen etwas von den Abbil\u00addun\u00adgen ab.)<\/p>\n

Vor\u00adaus\u00adset\u00adzung ist ein Smart\u00adphone mit einer die\u00adser Dis\u00adtri\u00adbu\u00adtio\u00adnen und frei\u00adge\u00adschal\u00adte\u00adten \u201eroot\u201c-Rechten (das ist meist bereits der Fall, es l\u00e4sst sich unter ande\u00adrem mit der app<\/em> Root Checker<\/a> pr\u00fc\u00adfen). Aus Gr\u00fcn\u00adden wer\u00adde ich hier dar\u00adauf ver\u00adzich\u00adten, die Ein\u00adrich\u00adtung eines ent\u00adspre\u00adchen\u00adden Systems f\u00fcr jedes Ger\u00e4t zu erl\u00e4u\u00adtern, benutzt bit\u00adte dazu bei Bedarf die Such\u00adma\u00adschi\u00adne eurer Wahl.<\/p>\n

Das Android-Befug\u00adnis\u00adsy\u00adstem ist zwar fein geglie\u00addert, hat aber den Nach\u00adteil, dass man als Benut\u00adzer kaum Ein\u00adgriffs\u00adm\u00f6g\u00adlich\u00adkei\u00adten hat. Bei der Instal\u00adla\u00adti\u00adon wird ange\u00adzeigt, was die jewei\u00adli\u00adge app<\/em> gern tun k\u00f6n\u00adnen w\u00fcr\u00adde, einen An-Aus-Schal\u00adter sucht man jedoch meist ver\u00adge\u00adbens. Eine der bei\u00adden Funk\u00adtio\u00adnen, die zur \u00c4nde\u00adrung die\u00adses Umstands von Bedeu\u00adtung sind, hei\u00dft \u201ePri\u00adva\u00adcy Guard\u201c (nicht zu ver\u00adwech\u00adseln mit der app<\/em> Android Pri\u00adva\u00adcy Guard<\/a>, die etwas ganz ande\u00adres tut) und ist Teil vie\u00adler \u201eAOSP\u201c-Distributionen. Mit\u00adhil\u00adfe ihrer ist es m\u00f6g\u00adlich, ein\u00adzel\u00adnen apps<\/em> wich\u00adti\u00adge daten\u00adschutz\u00adbe\u00adzo\u00adge\u00adne Befug\u00adnis\u00adse (etwa das Aus\u00adle\u00adsen der Kon\u00adtakt\u00adli\u00adste) ein\u00adfach zu ent\u00adzie\u00adhen.<\/p>\n

Daf\u00fcr muss die Funk\u00adti\u00adon erst mal akti\u00adviert wer\u00adden (was wohl meist bereits der Fall ist). Im Bei\u00adspiel ist sie unter Ein\u00adstel\u00adlun\u00adgen \u2192 Sicher\u00adheit \u2192 Pri\u00adva\u00adcy Guard<\/em> zu fin\u00adden:<\/p>\n

\"Privacy<\/a><\/p>\n

Ich emp\u00adfeh\u00adle die Benach\u00adrich\u00adti\u00adgun\u00adgen eben\u00adfalls zu akti\u00advie\u00adren, denn dann wird, wenn eine app<\/em> mit \u201ever\u00adbo\u00adte\u00adnen\u201c Funk\u00adtio\u00adnen gestar\u00adtet wird, dies im Benach\u00adrich\u00adti\u00adgungs\u00adfeld ange\u00adzeigt, wo es per ein\u00adfa\u00adchem Antip\u00adpen ge\u00e4n\u00addert wer\u00adden kann. Anson\u00adsten ist auch ein Umweg \u00fcber Ein\u00adstel\u00adlun\u00adgen \u2192 Apps \u2192 (Name der App)<\/em> m\u00f6g\u00adlich. \u2013 Ist die Funk\u00adti\u00adon akti\u00adviert, so d\u00fcr\u00adfen neue apps<\/em> qua\u00adsi nichts mehr ohne geson\u00adder\u00adte Erlaub\u00adnis. (Wis\u00adsens\u00adwert ist das vor allem, wenn man etwa eine Dritt\u00adan\u00adbie\u00adter-SMS-app<\/em> ver\u00adwen\u00addet \u2013 die darf dann kei\u00adne SMS-Nach\u00adrich\u00adten emp\u00adfan\u00adgen oder ver\u00adsen\u00adden, bis man es ihr erlaubt.)<\/p>\n

Ein Bei\u00adspiel: Der Busi\u00adness Calen\u00addar Pro<\/a> muss nat\u00fcr\u00adlich<\/em> in der Lage sein, mei\u00adnen Kalen\u00adder aus\u00adzu\u00adle\u00adsen und gege\u00adbe\u00adnen\u00adfalls zu \u00e4ndern, ande\u00adre apps<\/em> aber nicht. Also schaue ich mir mit akti\u00advier\u00adtem \u201ePri\u00adva\u00adcy Guard\u201c mal die Liste der ange\u00adfor\u00adder\u00adten Berech\u00adti\u00adgun\u00adgen an:<\/p>\n

\"Privacy<\/a><\/p>\n

Ja, da ist eini\u00adges dabei. Ein Antip\u00adpen von \u201e\u00c4ndern\u201c (oder von der Benach\u00adrich\u00adti\u00adgung, sofern akti\u00adviert) l\u00e4sst sepa\u00adra\u00adtes Akti\u00advie\u00adren und Deak\u00adti\u00advie\u00adren ein\u00adzel\u00adner Berech\u00adti\u00adgun\u00adgen zu:<\/p>\n

\"App-U\u0308bersicht\"<\/a><\/p>\n

Damit ist die gr\u00f6\u00df\u00adte \u201eGefahr\u201c gebannt. Theo\u00adre\u00adtisch w\u00e4re das auch mit umstrit\u00adte\u00adnen apps<\/em> wie Whats\u00adApp m\u00f6g\u00adlich: Wenn die\u00adse das \u201eTele\u00adfon\u00adbuch\u201c nicht mehr aus\u00adle\u00adsen k\u00f6n\u00adnen, sind Hin\u00adter\u00adt\u00fcr\u00adchen zwar immer noch unan\u00adge\u00adnehm, aber gef\u00e4hr\u00adden wenig\u00adstens kei\u00adne Drit\u00adten mehr. Was der \u201ePri\u00adva\u00adcy Guard\u201c nicht kann: Inter\u00adnet\u00adzu\u00adgriff ver\u00adbie\u00adten. Das ist bl\u00f6d, weil man\u00adche apps<\/em> ihn nur brau\u00adchen, um Wer\u00adbung her\u00adun\u00adter\u00adzu\u00adla\u00adden, und \u201eAdA\u00adway\u201c und \u00e4hn\u00adli\u00adche L\u00f6sun\u00adgen oft ein merk\u00adw\u00fcr\u00addi\u00adges Ver\u00adhal\u00adten zei\u00adgen, aber ohne Wei\u00adte\u00adres nicht zu \u00e4ndern.<\/p>\n

Die\u00adses Wei\u00adte\u00adre hei\u00dft ipta\u00adbles<\/tt>, eine \u201ePer\u00adso\u00adnal Fire\u00adwall\u201c im Linux\u00adker\u00adnel und somit auch Teil von Android. ipta\u00adbles<\/tt> erlaubt das geziel\u00adte Blockie\u00adren (oder Erlau\u00adben) bestimm\u00adter Ver\u00adbin\u00addun\u00adgen. Das k\u00f6nn\u00adte man aus\u00adnut\u00adzen. (Unge\u00adach\u00adtet die\u00adser Idee: Paket\u00adfil\u00adter\u00adsoft\u00adware soll\u00adte nie\u00admals \u2013 auch nicht auf dem Desk\u00adtop \u2013 Teil eines \u201eSicher\u00adheits\u00adkon\u00adzepts\u201c sein; wer bewusst apps<\/em> mit eigen\u00adar\u00adti\u00adgen Befug\u00adnis\u00adw\u00fcn\u00adschen instal\u00adliert, der macht einen gro\u00ad\u00dfen Feh\u00adler.) Die Ver\u00adwen\u00addung von ipta\u00adbles<\/tt> setzt \u201eroot\u201c-Rechte und ein wenig Ahnung von der Mate\u00adrie vor\u00adaus \u2013 es gibt mit AFWall+<\/a> aber auch eine gra\u00adfi\u00adsche Ober\u00adfl\u00e4\u00adche, mit\u00adhil\u00adfe derer es m\u00f6g\u00adlich ist, apps<\/em> geson\u00addert bestimm\u00adte Netz\u00adwerk\u00adrech\u00adte f\u00fcr jede Ver\u00adbin\u00addungs\u00adart zu ent\u00adzie\u00adhen oder zu gew\u00e4h\u00adren.<\/p>\n

\"AFWall+\"<\/a><\/p>\n

Zu Beginn l\u00e4uft AFWall+ im \u201eWhitelist\u201c-Modus, l\u00e4sst also nur apps<\/em> mit dem Inter\u00adnet \u201ereden\u201c, die daf\u00fcr frei\u00adge\u00adschal\u00adtet wur\u00adden. Ich emp\u00adfeh\u00adle bei feh\u00adlen\u00adden Kennt\u00adnis\u00adsen, dass man ent\u00adwe\u00adder die Fin\u00adger von ipta\u00adbles<\/tt> und sei\u00adnen M\u00f6g\u00adlich\u00adkei\u00adten l\u00e4sst oder wenig\u00adstens zuerst (ein\u00adfach antip\u00adpen) den \u201eBlacklist\u201c-Modus akti\u00adviert, also nur bestimm\u00adte apps<\/em> \u201eaus\u00adsperrt\u201c. Anschlie\u00ad\u00dfend soll\u00adte AFWall+ \u00fcber den ent\u00adspre\u00adchen\u00adden Men\u00fc\u00adein\u00adtrag \u201eakti\u00adviert\u201c wer\u00adden, dadurch wer\u00adden die \u00c4nde\u00adrun\u00adgen in ipta\u00adbles<\/tt> \u00fcber\u00adnom\u00admen.<\/p>\n

Eine ein\u00adfa\u00adche\u00adre L\u00f6sung scheint es tat\u00ads\u00e4ch\u00adlich nicht zu geben; au\u00dfer auf die Instal\u00adla\u00adti\u00adon von gie\u00adri\u00adgen<\/em> mobi\u00adlen Anwen\u00addun\u00adgen zu ver\u00adzich\u00adten. Aber das ist nat\u00fcr\u00adlich<\/em> undenk\u00adbar.<\/p>\n","protected":false},"excerpt":{"rendered":"

Panik!: Ver\u00adbrau\u00adcher\u00adsch\u00fct\u00adzer haben gete\u00adstet, wel\u00adche Zugriffs\u00adrech\u00adte 50 Apps ver\u00adlang\u00adten, die sowohl im Goog\u00adle Play Store als auch im Apple iTu\u00adnes Store zu kau\u00adfen sind. (\u2026) Zugriffs\u00adbe\u00adrech\u00adti\u00adgun\u00adgen soll\u00adten nur so viel wie n\u00f6tig und so wenig wie m\u00f6g\u00adlich ange\u00adfor\u00addert wer\u00adden. Nicht unge\u00adw\u00f6hn\u00adlich sei\u00aden Zugrif\u00adfe der Apps zum Bei\u00adspiel auf Adress- und Stand\u00adort\u00adda\u00adten der Nut\u00adzer, den Brow\u00adser\u00adver\u00adlauf \u2026<\/p>\n

\u2018Android-Apps absi\u00adchern mit AFWall+ und AOSP\u2019 wei\u00adter\u00adle\u00adsen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":3,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[19],"tags":[],"series":[],"class_list":["post-9404","post","type-post","status-publish","format-standard","hentry","category-nerdkrams"],"share_on_mastodon":{"url":"","error":""},"wp-worthy-pixel":{"ignored":false,"public":null,"server":null,"url":null},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/9404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=9404"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/9404\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=9404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=9404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=9404"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=9404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}