Permalink

15

Mobiwol – Android Firewall Mogelpackung

1. Root? Brauch ich nicht…Mobiwol

Gestern bekam ich von einem aufmerksamen Leser (wesa) einen interessanten Hinweis. Es soll jetzt eine Android Firewall existieren, die keine Root-Rechte benötigt. Unter dem Namen Mobiwol lässt sich die App im Google Play Store downloaden – kostenlos.

Ergänzung vom 06.02.2013:
Mittlerweile hat mich der Hersteller von Mobiwol per E-Mail kontaktiert. Man hat mich gebeten den Beitrag vom Blog zu entfernen oder das Produkt korrekt darzustellen. In gekürtzer Form habe ich diese E-Mail Korrespondenz an den Beitrag angefügt.

Schnell schossen mir einige Frage durch den Kopf. Wie wurde das technisch realisiert? Funktioniert die Firewall tatsächlich? Kann man dem Anbieter trauen? Nach einem System-Backup habe ich die Installation gewagt – bewaffnet mit Wireshark habe ich die Firewall auf ihre Funktion geprüft. Mit erstaunlichen Ergebnissen…

2. Berechtigungshunger

Spätestens seit meiner Artikelserie Datenschutz für Android bin ich äußert skeptisch geworden, welche Berechtigungen Apps bei der Installation einfordern. Mobiwol 2.2 fordert bei der Installation folgende Berechtigungen an:

  • Speicher – USB-Speicherinhalte ändern oder löschen
  • Ihren Standort – Genauer (GPS-)Standort, Simulierte Standortquellen für Testzwecke, Ungefährer (netzwerkbasierter) Standort
  • Netzkommunikation – Voller Netzwerkzugriff
  • Anrufe – Telefonstatus und Identität abrufen

Voller Netzwerkzugriff? Standort auslesen? Anrufe? Eben solchen Berechtigungsanfragen schenke ich generell wenig vertrauen. Mit OpenPDroid bin ich allerdings in der Lage diese gezielt zu kontrollieren und ein Popup zu generieren, falls ein Zugriff auf Informationen stattfindet.

Randbemerkung: Im Gegensatz fordert AFWall+ lediglich die Berechtigung ‘Speicher – USB-Speicherinhalte ändern oder löschen’.

3. Mobiwol Start

Nach der Installation muss die Firewall zunächst aktiviert werden. Dazu wird der Schalter Firewall Status geswitcht. Und dann? Ein Popup mit folgender Information:

VPN-Verbindung

Es wird versucht eine VPN-Verbindung zu erstellen? Der gesamte Netzwerkverkehr kann von der App abgefangen werden? Mein Vertrauen in diese Firewall erreicht langsam den Nullpunkt. Da muss ich jetzt durch – ansonsten kann ich Mobiwol nicht testen.

Ergänzung vom 31.01.2013:
Scheinbar wird eine VPN-Schnittstelle lokal auf dem Gerät erzeugt durch den alle ankommenden / ausgehenden Pakete geschleust werden. Genau diesen Datenstrom kontrolliert Mobiwol, ordnet Datenpakete einer App anhand ihrer UID* zu und blockiert diese gegebenenfalls. Sicher bin ich mir nicht – wer genaueres weiss, der kann mich gerne kontaktieren.

*UID – The Android system assigns a unique user ID (UID) to each Android application and runs it as that user in a separate process.

Aus dem Hauptmenü selektiere ich Manage Firewall Settings. Dort sind alle Apps alphabetisch sortiert. Facebook und Amazon wird jetzt der Internetzugang blockiert.

4. Wireshark

Vor dem Start der Facebook bzw. Amazon App starte ich zunächst einen Wireshark Mitschnitt, um alle ein- und ausgehende Pakete des Tablets zu erfassen.

Wink Du kannst den Blog aktiv unterstützen! Support me ✓

4.1 Ergebnisse

Für Facebook ergab sich folgendes Ergebnis:
Ausgehend (Outgoing)
Facebook Out

IP 192.168.150.20 – Android Google Nexus 7 Tablet
IP 66.220.158.27 – Facebook, Inc.
IP 69.171.248.112 – Facebook, Inc.

Eingehend (Incoming)
Facebook In

IP 66.220.158.27 – Facebook, Inc.
IP 192.168.150.20 – Android Google Nexus 7 Tablet

Für Amazon ergab sich folgendes Ergebnis:
Ausgehend (Outgoing)
Amazon Out

IP 192.168.150.20 – Android Google Nexus 7 Tablet
207.171.168.61 – Amazon.com, Inc.

4.2 Erkenntnis

Das Ergebnis ist reproduzierbar. Ich habe mehrmals einen Wireshark Mitschnitt angefertigt, das Tablet neu gestartet und ebenfalls die Einstellungen von Mobiwol geprüft. Trotz der Sperre von Facebook und Amazon lässt die Firewall Pakete durch. Und dennoch: Weder Facebook noch Amazon lässt sich benutzen. Scheinbar blockiert Mobiwol nicht alle Pakete, aber ausreichend viele, um die Apps nicht benutzen zu können – eine eindeutige Mogelpackung.

4.3 Testgerät

Verwendet wurde ein Google Nexus 7 mit AOKP Custom ROM in der Version 4.1.2. Ich kann daher nicht ausschließen, dass Mobiwol auf anderen Geräten korrekt funkioniert. Auf meinen Gerät jedenfalls nicht.

5. Sherlock Homes

Fragwürdige Berechtigungen, eine VPN-Verbindung und Apps die trotz Sperre mit der Gegenstelle kommunizieren können? Sherlock übernehmen Sie!

5.1 Fakten

  • Mobiwol wird von einer Firma gesponsert bzw. entwickelt, die sich NetSpark nennt. Die Firma hat ihren Sitz in Isreal und wirbt mit Netzfilter-Technologien.
  • Die Domain www.mobiwol.com ist bei GoDaddy in den USA auf den Namen Moshe Doron registriert.
  • Gehostet wird die Seite in Israel unter der IP-Adresse 80.178.157.16 bei Smile Communications Ltd. Als Webserver kommt nginx/1.2.5 zum Einsatz.
  • Im Google Play Store existiert bis auf einen Eintrag keine Versionshistorie. Version 2.2 ist also einfach mal so aus dem Hut gezaubert worden? Hinzu kommen auffällig viele 5 Sterne Bewertungen.
  • In den Google Play Store Beschreibungen wird zur VPN-Verbindung Folgendermaßen Stellung bezogen:

    Warum wird angezeigt, dass Mobiwol eine VPN-Verbindung verwendet? Das ist nur oberflächlich. Wir nutzen Technologie, die uns innerhalb des von Android angebotenen VPN-Paketmoduls zur Verfügung steht, um Transparenz im Hinblick auf die Netzwerkaktivitäten Ihrer Anwendungen zu gewinnen. Es wird jedoch keine tatsächliche VPN-Verbindung hergestellt. Durch unsere Anwendung werden keine Daten nach außen gesendet und die Sicherheit Ihrer persönlichen Daten wird nicht manipuliert. Sie können Ihre Apps beruhigt weiterhin nutzen und darauf vertrauen, dass Ihre Datenrechnung am Ende des Monats nicht höher als sonst ausfällt.

  • Eine Anfrage beim Support [..] Why does this App need precise GPS information? [..] erhielt ein AndroidPIT Foren Mitglied offenbar folgende Antwort:

    [..] Thanks for checking out our app and taking the time to contact us! The location related permissions are included to allow us to effectively target customers for focused communications, features, etc. We aren’t actively looking at our users locations, so you have nothing to worry about on that front.Happy to answer any other questions you have. The NetSpark/Mobiwol Team

6. Fazit

Machen wir es kurz: Finger weg von Mobiwol! Neben der Tatsache, dass die Firewall nicht korrekt funktioniert, werden unseriöse Berechtigungen angefordert und eine VPN-Verbindung erstellt. Selbst wenn die VPN-Verbindung technisch bedingt sein mag, habe ich absolut kein Vertrauen in die Entwicklungsfirma.

Wer eine zuverlässige Firewall für sein Android Gerät sucht, der muss sein System noch immer rooten. Mit AFWall+ steht dann auch eine vernünftige Lösung zur Verfügung.

Ansonsten kann ich nur wieder an den gesunden Menschenverstand appellieren. Offenbar ist Google nicht in der Lage dubiose Apps zuverlässig zu erkennen – jedenfalls ist es unerklärlich wie es diese App in den Store geschafft hat.

Bildquellen:

Nemo: „Anmelden“, http://pixabay.com/de/anmelden-symbol-ausländer-cartoon-28981/

Ergänzung vom 06.02.2013 – Kontakt mit dem Hersteller

1. Kontaktaufnahme

Bereits ein Tag nach Veröffentlichung des Beitrags erhielt ich eine E-Mail (31.01.2013) von NetSpark. Darin wurde ich freundlich aufgefordert entweder den Beitrag vom Blog zu entfernen oder meine Aussagen zu korrigieren. Ferner wurde mir Folgendes vorgehalten:

  • Meine Leser könnten durch “Falschinterpretationen” über die App-Funktionalität eventuell falsche Schlüsse ziehen.
  • Einige der dargestellten Fakten entsprechen nicht der Wahrheit bzw. seien rein spekulativ.
  • Fragen zur App-Funktionalität hätten bereits im Vorfeld geklärt werden können.

Des Weiteren signalisierte man mir Diskussionsbereitschaft. Sofern ich die Hintergründe zu den App-Berechtigungen oder weiteren Details erfahren möchte stehe man mir gerne mit Antworten zur Verfügung.

2. Fragebogen

Zunächst war ich überrascht über die Aufmerksamkeit eines Unternehmens aus Israel. Vielleicht hatte ich mich diesmal tatsächlich im Ton vergriffen bzw. Mobiwol nicht korrekt analysiert und dargestellt? Kritisch habe ich mich selbst nochmal mit meinem Beitrag befasst und musste feststellen: Soweit sind meine Aussagen korrekt – sogar belegbar. Nochmal zusammengefasst:

  • Aussage: Mobiwol funktioniert nicht korrekt.
    Revision: Auf meinem Nexus 7 mit AOKP ROM und Jelly Bean 4.1.2 hat Mobiwol keine bzw. nur eingeschränkte Firewall-Funktionalität. Nachgewiesen mit Wireshark und Paketmitschnitten direkt am Perimeter.
  • Aussage: Die Firewall fordert dubiose Berechtigungen an.
    Revision: Mobiwol wirbt mit dem Schutz der persönlichen Daten. Der User soll damit in der Lage sein Apps den Zugriff ins Internet zu sperren, um so ungewollte Datenverbindungen zu verhindern. Selbst fordert die App allerdings eine Reihe von Berechtigungen ein. Da es sich hier um eine Sicherheitsapp handelt, die in der Lage ist den kompletten Datenstrom des Geräts zu überwachen bzw. auch zu manipulieren, sollte NetSpark die benötigten Berechtigungen transparent offenlegen.
  • Aussage: Die Fakten sind spekulativ und teilweise nicht korrekt.
    Revision: Diese Informationen sind frei im Internet einsehbar – jeder der möchte kann diese selbst nachvollziehen.

In seiner Kontaktaufnahme signalisierte mir NetSpark klar Diskussionsbereitschaft. Um die Angelegenheit zu klären habe ich in beidseitigem Interesse einen kurzen Fragebogen entworfen, der sich mit den kritischsten Fragen zu Mobiwol beschäftigt. Eine Chance für NetSpark Transparenz zu schaffen und Missverständnisse zu beseitigen.

Fragebogen01

Fragebogen02

Fragebogen03

[ Die letzte Seite ist mit zwei Feldern für Date und Signature versehen. ]

Weiterhin habe ich klar zum Ausdruck gebracht meine Aussagen zu korrigieren, falls die dargestellten Informationen nicht der Wahrheit entsprechen. Daher habe ich NetSpark gebeten mir die korrekten Informationen zur Verfügung zu stellen. Am 01. Februar 2013 versendete ich meine E-Mail inklusive dem Fragebogen an NetSpark.

3. Reaktion

Am 04. Februar 2013 erreichte mich die Antwort von NetSpark. In einer kurzen Stellungnahme wird erklärt, warum der Fragebogen nicht beantwortet wurde. Als Gründe werden folgende Punkte gennant:

  • Wichtige Kommentare seien von mir ignoriert worden und nicht in das Fazit eingeflossen.
  • Weiterhin halte ich an der Behauptung fest, dass die App ineffektiv, dubios und eine Mogelpackung sei.
  • Der von mir verwendete Ton (ironisch?) in den Kommentaren zum Beitrag.

In einer weiteren E-Mail habe ich meine Bereitschaft zu Änderungen am Text signalisiert und meine Beweggründe für meine Aussagen verdeutlicht. Dazu ist es aber nach wie vor erforderlich mir die korrekten Informationen zur Verfügung zu stellen. Damit hat NetSpark noch immer die Chance für Transparenz zu sorgen.

Rückblickend lasse ich nur folgenden Vorwurf gelten: “Fragen zur App-Funktionalität hätten bereits im Vorfeld geklärt werden können.” Diese Kritik werde ich in Zukunft berücksichtigen.

Empfehle den Beitrag weiter:

Hat dir der Beitrag gefallen?

Dann abonniere doch den RSS-Feed oder füge mich zu deinem Xing-Profil hinzu. Du kannst mir auch bequem auf APP.NET oder Twitter folgen.

Gerne kannst du mich auch unterstützen: Support me ✓

Autor: Mike Kuketz

Mike beschäftigt sich seit vielen Jahren professionell mit dem Thema IT-Sicherheit. Er ist Gründer von Kuketz IT-Security (www.kuketz-security.de) und unterstützt Unternehmen bei der Implementierung neuer IT-Sicherheitstechnologien. Weitere Infos: Über mich

15 Kommentare

  1. Danke für diesen erneut sehr informativen Blogpost :)

    Das mit der UID ist korrekt. Jede andere Firewall für Android arbeitet übrigens nach demselben Prinzip, es werden einfach iptables-Regeln mit der Option ‘– uid-owner ‘ angelegt.

    Ein paar Fragen bleiben jedoch offen:

    An welchem Interface hast du den Traffic mitgesnifft? Zumindest an der VPN-Schnittstelle müssen ja Daten durchkommen.

    Gingen nur Daten nach draußen oder kamen auch Antworten durch? Falls ja, kamen die Daten wirklich vom WAN Interface oder möglicherweise nur vom VPN Interface?

    Hast du in die TCP-Pakete reingeguckt? Möglicherweise sind das ja nur “Dummy-Pakete”?

    • Hallo 4ndr0,

      danke für die Bestätigung. :)

      Noch zu deinen Fragen:
      - Ich habe direkt am Perimeter mitgeschnitten, also nicht auf dem Gerät selbst
      - Es gingen Daten nach draußen und kamen auch wieder rein
      - Es handelt sich um keine Dummy Pakete

      Des Weiteren hat mich der Hersteller kontaktiert. Befinde mich gerade in einer Diskussion. NetSpark ist der Blog-Post etwas sauer aufgestoßen. Jetzt wird mein Blog sogar schon in Israel verfolgt – ich fühle mich geehrt! ;)

  2. bin heute auf den Blog gestoßen ;-) wollte nur mal kurz was zu der Berechtigung der afwall sagen ; da die app root Zugriff hat, braucht die app eigentlich gar keine expliziten Berechtigungen, da sie ja root Zugriff, und somit kompletten System Zugriff und alle Berechtigungen hat. aber davon ab ist es natürlich immer eine Vertrauens sache wenn es generell um vpn geht besonders wenn verschlüsselt wird und man nicht nachprüfen kann was jetzt genau wohin geht oder analysiert wird.

  3. Das ist ein spannender Beitrag. Danke. Ich habe die Firewall installiert und folgendes zusätzlich geschaltet: Mit AppGuard habe ich den Internet Zugriff geblockt wie auch den Standort, Telefonstat. u. ID Lesen und mit Mobiwol selbst den VPN Zugang geschlossen. Mit diesen Einstellungen funktioniert die Firewall noch immer. Unterliege ich nun einer trügerischen Sicherheit in Bezug auf die oben besprochenen Probleme?

    • Hallo FEXX,

      ich kann dir deine Frage nicht beantworten. Auf meine Gerät funktioniert Mobiwol nicht korrekt. Im Zusammenhang mit den angeforderten Berechtigungen entstand der Beitrag. Es kann durchaus sein, dass Mobiwol bei dir korrekt funktioniert. Aufgrund meiner perönlichen Erfahrung rate ich allerings von der Verwendung ab.

      Jetzt stellt sich gleich die nächste Frage: Funktioniert dann AppGuard überhaupt korrekt? ;)

  4. Servus.
    Also erstmal muss ich sagen das es echt ein höchst interessanter und spannender Beitrag ist.
    Ich bin im PlayStore zufällig auf diese App gestoßen und fand sie gleich verlockend.Da ich aber seit einiger Zeit vorsichtiger als normal bin,wollte ich mich erstmal schlau lesen und bin auf diesen Beitrag hier gestoßen.Ich beobachte diesen Beitrag jetzt schon einige Zeit und bin sehr gespannt wie die ganze Sache endet.Ich will hoffen das wir weiterhin auf dem laufenden gehalten werden und bald wieder was lesen können was die Sache voran bringt.

  5. Israel… das sollte bereits die Alarm-Glocke klingeln lassen. Daher kamen in den letzten 5 Jahren die meisten ScareWare (nutzlose AntiVir und Mallware scanner) her.

    Aber super Einblick in die Thematik und interessant zu sehen was NetSpark dazu geschrieben hat. Deren Reaktionen sind fast baugleich mit solche, die von herstellern von ScareWare immer kommt. Tja, wie gut das es Wireshark gibt.

    #BookMarked

  6. zu: Mobiwol

    Hallo Mike, wie ist denn die Geschichte mit den Israelies weitergegangen. Bist du veklagt worden? Lebst Du noch?

    • Von den Israelis habe ich außer heißer Luft nichts weiter gehört. Trotz Warnung an Google ist Mobiwol weiterhin im Store verfügbar und erfreut sich an manipulierten Bewertungen.

  7. Ein wunderbar informativer und objektiver Blog.

    In meinen Augen sind die Vorwürfe an Ihre Person, respektive Blog völlig haltlos und sollen Sie wohl nur mundtot machen. Persönlich wäre ich wohl ein wenig abweisender der Firma gegenüber gewesen, nachdem sie die von Ihnen eingeforderten Informationen, die Sie ja dazu nutzen wollten Ihre Fakten noch einmal zu überprüfen, verwehrt haben.

    Damit hat diese Firma eindeutig signalisiert, dass sie an einer Klärung in Wirklichkeit gar nicht interessiert ist, sondern nur daran, dass Sie den Mund halten.

    Die Titulierung Mogelpackung trifft hier wohl völlig zu recht zu, ja sie umschreibt das ganze noch viel zu nett. Falls es zu einem Rechtsstreit kommen sollte, würde ich mich freuen, hier bald einen Spende-Button vorzufinden, damit Sie weiter möglichst unbeeinflusst und unabhängig bleiben können.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.