{"id":9404,"date":"2014-04-04T11:29:01","date_gmt":"2014-04-04T09:29:01","guid":{"rendered":"http:\/\/tuxproject.de\/blog\/?p=9404"},"modified":"2014-04-04T11:29:01","modified_gmt":"2014-04-04T09:29:01","slug":"android-apps-absichern-mit-afwall-und-aosp","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2014\/04\/android-apps-absichern-mit-afwall-und-aosp\/","title":{"rendered":"Android-Apps absichern mit AFWall+ und AOSP"},"content":{"rendered":"

Panik!:<\/a><\/p>\n

Ver\u00adbrauch\u00ader\u00adsch\u00fctzer haben getestet, welche Zugriff\u00ads\u00adrechte 50 Apps ver\u00adlangten, die sowohl im Google Play Store als auch im Apple iTunes Store zu kaufen sind. (\u2026) Zugriffs\u00adberech\u00adti\u00adgun\u00adgen soll\u00adten nur so viel wie n\u00f6tig und so wenig wie m\u00f6glich ange\u00adfordert wer\u00adden.<\/p>\n

Nicht ungew\u00f6hn\u00adlich seien Zugriffe der Apps zum Beispiel auf Adress- und Stan\u00addort\u00addat\u00aden der Nutzer, den Browserver\u00adlauf oder die Iden\u00adti\u00adfika\u00adtion\u00adsnum\u00admer des Ger\u00e4tes. (\u2026) Au\u00dfer\u00addem haben die meis\u00adten Ver\u00adbrauch\u00ader eine Vielzahl an unter\u00adschiedlichen Apps auf Ihren Endger\u00e4ten instal\u00adliert: Mit\u00adgeteilt wird ein\u00admal der Stan\u00addort, ein anderes Mal das Alter und das Gewicht des Ver\u00adbrauch\u00aders, wieder andere Apps wollen Ein\u00adblick in die Kon\u00adtak\u00adtliste und die Seri\u00aden\u00adnum\u00admer des Endger\u00e4ts. (\u2026) \u201cDer App-Check hat gezeigt, dass drin\u00adgen\u00adder Hand\u00adlungs\u00adbe\u00addarf beste\u00adht, um die Nutzung von Apps k\u00fcn\u00adftig trans\u00adpar\u00adenter und sicher\u00ader zu machen\u201d<\/em>, sagte Elbrecht.<\/p><\/blockquote>\n

Dieser Hand\u00adlungs\u00adbe\u00addarf kann jeden\u00adfalls unter Android bere\u00adits von Nutzer\u00adseite erf\u00fcllt wer\u00adden \u2014 freie \u201cAOSP\u201d-basierte (also nicht ger\u00e4te\u00adhersteller\u00adseit\u00adig mit Eigen\u00adwer\u00adbung verse\u00adhene) Dis\u00adtri\u00adb\u00adu\u00adtio\u00adnen wie Cyanogen\u00adMod, SlimKat und Para\u00adnoidAn\u00addroid machen\u2019s m\u00f6glich. (Im Fol\u00adgen\u00adden wird SlimKat<\/a> auf einem Sam\u00adsung Galaxy S4 ver\u00adwen\u00addet, gegebe\u00adnen\u00adfalls weichen Men\u00fcs und Ausse\u00adhen etwas von den Abbil\u00addun\u00adgen ab.)<\/p>\n

Voraus\u00adset\u00adzung ist ein Smart\u00adphone mit ein\u00ader dieser Dis\u00adtri\u00adb\u00adu\u00adtio\u00adnen und freigeschal\u00adteten \u201croot\u201d-Rechten (das ist meist bere\u00adits der Fall, es l\u00e4sst sich unter anderem mit der app<\/em> Root Check\u00ader<\/a> pr\u00fcfen). Aus Gr\u00fcn\u00adden werde ich hier darauf verzicht\u00aden, die Ein\u00adrich\u00adtung eines entsprechen\u00adden Sys\u00adtems f\u00fcr jedes Ger\u00e4t zu erl\u00e4utern, benutzt bitte dazu bei Bedarf die Such\u00admas\u00adchine eur\u00ader Wahl.<\/p>\n

Das Android-Befug\u00adnis\u00adsys\u00adtem ist zwar fein gegliedert, hat aber den Nachteil, dass man als Benutzer kaum Ein\u00adgriff\u00ads\u00adm\u00f6glichkeit\u00aden hat. Bei der Instal\u00adla\u00adtion wird angezeigt, was die jew\u00adeilige app<\/em> gern tun k\u00f6n\u00adnen w\u00fcrde, einen An-Aus-Schal\u00adter sucht man jedoch meist vergebens. Eine der bei\u00adden Funk\u00adtio\u00adnen, die zur \u00c4nderung dieses Umstands von Bedeu\u00adtung sind, hei\u00dft \u201cPri\u00adva\u00adcy Guard\u201d (nicht zu ver\u00adwech\u00adseln mit der app<\/em> Android Pri\u00adva\u00adcy Guard<\/a>, die etwas ganz anderes tut) und ist Teil viel\u00ader \u201cAOSP\u201d-Distributionen. Mith\u00adil\u00adfe ihrer ist es m\u00f6glich, einzel\u00adnen apps<\/em> wichtige daten\u00adschutzbe\u00adzo\u00adgene Befug\u00adnisse (etwa das Ausle\u00adsen der Kon\u00adtak\u00adtliste) ein\u00adfach zu entziehen.<\/p>\n

Daf\u00fcr muss die Funk\u00adtion erst mal aktiviert wer\u00adden (was wohl meist bere\u00adits der Fall ist). Im Beispiel ist sie unter Ein\u00adstel\u00adlun\u00adgen \u2192 Sicher\u00adheit \u2192 Pri\u00adva\u00adcy Guard<\/em> zu find\u00aden:<\/p>\n

\"Privacy<\/a><\/p>\n

Ich empfehle die Benachrich\u00adti\u00adgun\u00adgen eben\u00adfalls zu aktivieren, denn dann wird, wenn eine app<\/em> mit \u201cver\u00adbote\u00adnen\u201d Funk\u00adtio\u00adnen ges\u00adtartet wird, dies im Benachrich\u00adti\u00adgungs\u00adfeld angezeigt, wo es per ein\u00adfachem Antip\u00adpen ge\u00e4n\u00addert wer\u00adden kann. Anson\u00adsten ist auch ein Umweg \u00fcber Ein\u00adstel\u00adlun\u00adgen \u2192 Apps \u2192 (Name der App)<\/em> m\u00f6glich. \u2014 Ist die Funk\u00adtion aktiviert, so d\u00fcr\u00adfen neue apps<\/em> qua\u00adsi nichts mehr ohne geson\u00adderte Erlaub\u00adnis. (Wis\u00adsenswert ist das vor allem, wenn man etwa eine Drit\u00adtan\u00adbi\u00adeter-SMS-app<\/em> ver\u00adwen\u00addet \u2014 die darf dann keine SMS-Nachricht\u00aden emp\u00adfan\u00adgen oder versenden, bis man es ihr erlaubt.)<\/p>\n

Ein Beispiel: Der Busi\u00adness Cal\u00aden\u00addar Pro<\/a> muss nat\u00fcr\u00adlich<\/em> in der Lage sein, meinen Kalen\u00adder auszule\u00adsen und gegebe\u00adnen\u00adfalls zu \u00e4ndern, andere apps<\/em> aber nicht. Also schaue ich mir mit aktiviertem \u201cPri\u00adva\u00adcy Guard\u201d mal die Liste der ange\u00adforderten Berech\u00adti\u00adgun\u00adgen an:<\/p>\n

\"Privacy<\/a><\/p>\n

Ja, da ist einiges dabei. Ein Antip\u00adpen von \u201c\u00c4ndern\u201d (oder von der Benachrich\u00adti\u00adgung, sofern aktiviert) l\u00e4sst sep\u00ada\u00adrates Aktivieren und Deak\u00adtivieren einzel\u00adner Berech\u00adti\u00adgun\u00adgen zu:<\/p>\n

\"App-U\u0308bersicht\"<\/a><\/p>\n

Damit ist die gr\u00f6\u00dfte \u201cGefahr\u201d geban\u00adnt. The\u00ado\u00adretisch w\u00e4re das auch mit umstrit\u00adte\u00adnen apps<\/em> wie What\u00adsApp m\u00f6glich: Wenn diese das \u201cTele\u00adfon\u00adbuch\u201d nicht mehr ausle\u00adsen k\u00f6n\u00adnen, sind Hin\u00adtert\u00fcrchen zwar immer noch unan\u00adgenehm, aber gef\u00e4hrden wenig\u00adstens keine Drit\u00adten mehr. Was der \u201cPri\u00adva\u00adcy Guard\u201d nicht kann: Inter\u00adnet\u00adzu\u00adgriff ver\u00adbi\u00adeten. Das ist bl\u00f6d, weil manche apps<\/em> ihn nur brauchen, um Wer\u00adbung herun\u00adterzu\u00adladen, und \u201cAdAway\u201d und \u00e4hn\u00adliche L\u00f6sun\u00adgen oft ein merk\u00adw\u00fcrdi\u00adges Ver\u00adhal\u00adten zeigen, aber ohne Weit\u00aderes nicht zu \u00e4ndern.<\/p>\n

Dieses Weit\u00adere hei\u00dft ipt\u00ada\u00adbles<\/tt>, eine \u201cPer\u00adson\u00adal Fire\u00adwall\u201d im Lin\u00aduxk\u00ader\u00adnel und somit auch Teil von Android. ipt\u00ada\u00adbles<\/tt> erlaubt das gezielte Block\u00adieren (oder Erlauben) bes\u00adtimmter Verbindun\u00adgen. Das k\u00f6n\u00adnte man aus\u00adnutzen. (Ungeachtet dieser Idee: Paket\u00adfil\u00adter\u00adsoft\u00adware sollte niemals \u2014 auch nicht auf dem Desk\u00adtop \u2014 Teil eines \u201cSicher\u00adheit\u00adskonzepts\u201d sein; wer bewusst apps<\/em> mit eige\u00adnar\u00adti\u00adgen Befug\u00adnisw\u00fcn\u00adschen instal\u00adliert, der macht einen gro\u00dfen Fehler.) Die Ver\u00adwen\u00addung von ipt\u00ada\u00adbles<\/tt> set\u00adzt \u201croot\u201d-Rechte und ein wenig Ahnung von der Materie voraus \u2014 es gibt mit AFWall+<\/a> aber auch eine grafis\u00adche Ober\u00adfl\u00e4che, mith\u00adil\u00adfe der\u00ader es m\u00f6glich ist, apps<\/em> geson\u00addert bes\u00adtimmte Net\u00adzw\u00aderkrechte f\u00fcr jede Verbindungsart zu entziehen oder zu gew\u00e4hren.<\/p>\n

\"AFWall+\"<\/a><\/p>\n

Zu Beginn l\u00e4uft AFWall+ im \u201cWhitelist\u201d-Modus, l\u00e4sst also nur apps<\/em> mit dem Inter\u00adnet \u201creden\u201d, die daf\u00fcr freigeschal\u00adtet wur\u00adden. Ich empfehle bei fehlen\u00adden Ken\u00adnt\u00adnis\u00adsen, dass man entwed\u00ader die Fin\u00adger von ipt\u00ada\u00adbles<\/tt> und seinen M\u00f6glichkeit\u00aden l\u00e4sst oder wenig\u00adstens zuerst (ein\u00adfach antip\u00adpen) den \u201cBlacklist\u201d-Modus aktiviert, also nur bes\u00adtimmte apps<\/em> \u201caussper\u00adrt\u201d. Anschlie\u00dfend sollte AFWall+ \u00fcber den entsprechen\u00adden Men\u00fcein\u00adtrag \u201caktiviert\u201d wer\u00adden, dadurch wer\u00adden die \u00c4nderun\u00adgen in ipt\u00ada\u00adbles<\/tt> \u00fcber\u00adnom\u00admen.<\/p>\n

Eine ein\u00adfachere L\u00f6sung scheint es tat\u00ads\u00e4ch\u00adlich nicht zu geben; au\u00dfer auf die Instal\u00adla\u00adtion von gieri\u00adgen<\/em> mobilen Anwen\u00addun\u00adgen zu verzicht\u00aden. Aber das ist nat\u00fcr\u00adlich<\/em> undenkbar.<\/p>\n","protected":false},"excerpt":{"rendered":"

Panik!: Ver\u00adbrauch\u00ader\u00adsch\u00fctzer haben getestet, welche Zugriff\u00ads\u00adrechte 50 Apps ver\u00adlangten, die sowohl im Google Play Store als auch im Apple iTunes Store zu kaufen sind. (\u2026) Zugriffs\u00adberech\u00adti\u00adgun\u00adgen soll\u00adten nur so viel wie n\u00f6tig und so wenig wie m\u00f6glich ange\u00adfordert wer\u00adden. Nicht ungew\u00f6hn\u00adlich seien Zugriffe der Apps zum Beispiel auf Adress- und Stan\u00addort\u00addat\u00aden der Nutzer, den Browserver\u00adlauf \u2026<\/p>\n

\u2018Android-Apps absich\u00adern mit AFWall+ und AOSP\u2019 weit\u00ader\u00adlesen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"footnotes":""},"categories":[19],"tags":[],"series":[],"class_list":["post-9404","post","type-post","status-publish","format-standard","hentry","category-nerdkrams"],"share_on_mastodon":{"url":"","error":""},"wp-worthy-pixel":{"ignored":false,"public":null,"server":null,"url":null},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/9404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=9404"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/9404\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=9404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=9404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=9404"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=9404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}