1. Datensammelwut
Die meisten Apps aus dem Google Play Store beinhalten Software-Bausteine von Drittanbietern, die dem Nutzer Werbung einblenden oder seine Aktivität auf Schritt und Tritt verfolgen. Als Nutzer hat man allerdings keinen Einblick in die App bzw. sieht ihr von »außen« nicht an, wie sehr die Werbe- und Trackingbausteine die Sicherheit und den Datenschutz gefährden. Wir sitzen vor einer Blackbox und müssen uns auf das Wohlwollen der Entwickler verlassen bzw. insgeheim hoffen, dass diese nicht zu viele Werbenetzwerke integrieren und auf übermäßiges Tracking verzichten.
Dank Projekten wie Exodus Privacy können wir auch ohne aufwendige Analysen etwas Licht ins Dunkle bringen und herausfinden, ob eine App Software-Bausteine von Drittanbietern integriert und um welche es sich handelt. Wer sich einmal die Mühe macht und stichprobenartig seine Apps durchgeht, wird schnell feststellen: Viele Apps (insbesondere Spiele, Shopping-, Fitness- und Dating-Apps) sind mit Trackern und Werbung geradezu vollgestopft.
Eine mögliche Lösung für dieses Dilemmas: Man verzichtet auf den Download von Apps aus dem Google Play Store und bezieht seine Apps ausschließlich aus dem F-Droid Store. Die Besonderheit besteht darin, dass in F-Droid ausschließlich quelloffene Apps angeboten werden, die ohne Tracking und Werbung auskommen. Allerdings lässt sich dieser gutgemeinte Ratschlag in der Praxis kaum umsetzen – viele Nutzer sind noch immer auf Apps aus dem Play Store angewiesen bzw. finden keine brauchbare Alternative im F-Droid Store.
Zu Recht fragen sich daher viele Nutzer, wie sie diesen unkontrollierten Datenabfluss in den Griff bekommen können, ohne dabei auf einen Großteil ihrer Apps verzichten zu müssen. Der vorliegende Beitrag gibt eine Antwort auf diese Frage und stellt mit AdAway eine Lösung vor, die es auch einem Durchschnittsnutzer erlaubt, der Auslieferung von (schädlicher) Werbung und dem Abfluss von persönlichen Daten an zweifelhafte Drittanbieter einen Riegel vorzuschieben.
2. AdAway
AdAway ist ein quelloffener Werbe- bzw. Trackingblocker für Android, der ursprünglich von Dominik Schürmann entwickelt wurde – aktuell wird AdAway von Bruce Bujon entwickelt. Auf Basis von Filterlisten werden Verbindungen zu Werbe- und Trackingnetzwerken auf die lokale Geräte-IP-Adresse umgeleitet. Diese Umleitung verhindert das Nachladen der Werbung bzw. die Übermittlung von (sensiblen) Daten an Drittanbieter wie Tracking- und Marketing-Anbieter.
Im Play Store lässt sich AdAway übrigens nicht finden, da Google (funktionierende) Werbeblocker nicht zulässt – diese verstoßen schlicht gegen das Geschäftsmodell von Google. Oder anders formuliert: Eine App, die eure Privatsphäre und Sicherheit effektiv schützt, indem sie das Nachladen (schadhafter) Werbung verhindert und den Abfluss personenbezogener Daten unterbindet, wird von Google nicht toleriert.
Mit der Nutzung von AdAway gehen diverse Vorzüge einher:
- Schutz der Privatsphäre: Ein großer Nachteil der überwiegend proprietären Apps, die sich im Google Play Store befinden, ist die mit ihrer Proprietät verbundene Intransparenz der Datenverarbeitung. Denn bei diesen proprietären Apps wissen wir nicht und können es auch oftmals nicht überprüfen, was sie eigentlich (ohne unser Wissen) so anstellen. Wenn wir es mit AdAway allerdings schaffen, einen Großteil der (App-)Verbindungen zu Trackern und Werbenetzwerken zu unterbinden, dann kann sich dies positiv auf unsere Privatsphäre auswirken.
- Reduktion Datenverbrauch: Das Öffnen, Verbinden und Schließen von (App-)Verbindungen zu Servern im Internet bedeutet zwangsläufig, dass Daten versendet und empfangen werden. Während dies im heimischen WLAN aufgrund einer Flatrate für die meisten vermutlich zu verschmerzen ist, zeichnet sich bei der Nutzung der mobilen Daten oftmals ein anderes Bild. AdAway blockiert das Nachladen von Werbung, Tracking- und Analysediensten. Dadurch wird wertvolle Bandbreite gespart und euer mobiler Datentarif wird nicht unnötig belastet.
- Schnelleres Gerät: Die Darstellung von Werbung, die Ausführung von nachgeladenem Tracking- und Analysecode bzw. im Grunde jeder (unnötige) Verbindungsaufbau kostet CPU-Leistung. Werden diese Ressourcen jedoch nicht nachgeladen bzw. durch AdAway blockiert, wird nicht nur euer Akku länger durchhalten, sondern euer Gerät wird auch schneller auf eure Eingaben reagieren.
AdAway blockiert Werbung und Tracker übrigens nicht nur im Browser, sondern App-übergreifend – also in allen Apps, die ihr auf dem Gerät installiert habt.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Funktionsweise: Lokales VPN
AdAway bedient sich eines kleinen »Taschenspielertricks«, um uns effektiv vor Werbung und Tracking zu schützen. Die App erzeugt lokal auf dem Gerät eine VPN-Schnittstelle, durch die alle ankommenden und ausgehenden Datenpakete geschleust werden. Der Trick besteht demnach darin, jeglichen Datenverkehr durch das von AdAway erzeugte VPN zu schleusen – nur so bekommt die App Einblick in den ein- und ausgehenden Datenverkehr und ihr letztendlich dann die Möglichkeit, ungewollte Datenflüsse zu unterbinden. Dieser Vorgang benötigt keine Root-Rechte – ihr könnt AdAway somit auf jedem herkömmlichen Android-Gerät (ab 5.x) nutzen.
2.2 Konzept | Technischer Hintergrund
Am Beispiel von In-App-Werbung möchte ich kurz erläutern, wie AdAway technisch funktioniert. Angenommen, ein App-Entwickler hat in seiner App ein Werbemodul integriert. Bei jedem Start der App oder auch während der Laufzeit kontaktiert die App bzw. das integrierte Modul die Adresse:
werbung.server1.de
Dieser Domainname muss allerdings zunächst in eine IP-Adresse übersetzt werden, damit die Werbung anschließend von dort nachgeladen werden kann. Dieser Service wird vom Domain Name System (DNS) erledigt – einer der wichtigsten Dienste im Internet, der für ebendiese Übersetzung zuständig ist. Das Prinzip dahinter kennt jeder: Ihr gebt im Browser eine URI ein (also den Domainnamen), dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen lassen sich eben leichter merken als IP-Adressen. In eurem Router sind daher üblicherweise DNS-Server von eurem Provider hinterlegt oder ihr habt manuell eigene eingetragen, die dann anschließend die Adresse »werbung.server1.de« in eine IP-Adresse übersetzen.
Dieses DNS-Prinzip macht sich AdAway nun zunutze. In seinem Speicher verwaltet AdAway eine Liste mit Domainnamen, die entweder Werbung ausliefern, den Nutzer tracken oder sonst wie eine negative Auswirkung auf Sicherheit und Privatsphäre haben können. Habt ihr AdAway installiert, wird die DNS-Abfrage zunächst mit der intern hinterlegten Liste abgeglichen. Befindet sich die Adresse
werbung.server1.de
in der Liste bzw. kommt es zu einem Treffer, wird die IP-Adresse nicht wie üblich aufgelöst, sondern euer Gerät bzw. die App erhält sinngemäß die Antwort: »Nicht erreichbar« – die Übersetzung in die korrekte IP-Adresse wird von AdAway also unterdrückt. Die Folge: Die Werbung kann nicht von der eigentlichen Quelle bzw. IP-Adresse nachgeladen werden. Anstatt der Werbung sieht der Nutzer einen Platzhalter bzw. einfach nichts. Ein einfaches Prinzip, das die Werbung noch vor der Auslieferung – ja sogar noch vor der Übersetzung in die IP-Adresse – blockiert:
2.3 Installation
Die Installation von AdAway erfolgt ganz bequem über den F-Droid Store – dort verstößt die App nicht gegen fragwürdige Geschäftsmodelle, die sich (wie Google) über die Daten der Nutzer finanzieren. Mit einem Tipp auf Installieren ist die Installation von AdAway fix erledigt:
3. Konfiguration
Die Konfiguration von AdAway ist binnen weniger Minuten erledigt. Bereits im Auslieferungszustand werden viele Werbe- und Trackingdomains blockiert. Durch das Hinzufügen von weiteren Filterlisten können wir das Ergebnis noch einmal verbessern.
3.1 Initialer Start
Unmittelbar nach dem Start wird euch AdAway zunächst vor die Wahl stellen, mit welcher Methode ihr Werbung und Co. blockieren wollt. Nachfolgend entscheiden wir uns für die VPN-basierte Variante, da die meisten Nutzer kein gerootetes Gerät einsetzen. Während der Inbetriebnahme muss die Verbindungsanfrage für das VPN mit OK bestätigt werden. Zum Abschluss der Einrichtung müsst ihr euch noch entscheiden, ob ihr etwaige Fehler in der App an den Entwickler (via Sentry) melden wollt. Standardmäßig ist das Häkchen nicht gesetzt:
Nach der Inbetriebnahme wird AdAway die mitgelieferten Filterlisten automatisch aktualisieren und ist direkt einsatzbereit.
3.2 Einstellungen
Über den Hamburger-Menüpunkt Einstellungen könnt ihr diverse Optionen von AdAway konfigurieren. Unter anderem lässt sich über Automatische Updates festlegen, wie oft die Filterlisten aktualisiert werden. Bisher werden Werbung/Tracker zwar noch vornehmlich über IPv4-Adressen ausgeliefert, aber es kann nicht schaden, den Schalter IPv6 zu aktivieren:
3.3 Filterlisten hinzufügen
Über den Hauptscreen könnt ihr mit einem Fingertipp auf den mittleren Bereich (Quellen) weitere Filterlisten hinzufügen:
Standardmäßig sind in AdAway drei Filterlisten aktiv. Über das Plus-Zeichen könnt ihr noch weitere Listen hinzufügen, die nicht in AdAway enthalten sind. Mein Vorschlag wäre, zu den bereits bestehenden Listen, noch folgende hinzuzufügen:
Die mitgelieferte StevenBlack Unfified hosts könnt ihr deaktivieren, da alle Domains (inkl. weitere) bereits in StevenBlack Complete enthalten sind.
Ihr könnt natürlich auch noch weitere Filterlisten aktivieren. Mögliche Überschneidungen werden automatisch von AdAway entfernt – doppelte Einträge wären für die Abarbeitung der Filterlisten nämlich zu ineffizient. Nach dem Hinzufügen der Filterlisten wird AdAway diese zunächst einmal von den Quellen nachladen und zu einer großen Liste zusammenfassen – ihr müsst euch also einen Augenblick gedulden.
Durch die Aktivierung der Filterlisten kann es zum sogenannten »Overblocking« kommen. Das bedeutet: Es werden fälschlicherweise Domains gefiltert, die für die Funktionalität einer App/Website erforderlich sind. Ihr müsst dann im Einzelfall entscheiden, welche Domain(s) ihr in AdAway freigebt bzw. auf die Positivliste setzt. Weitere Informationen zu diesem Thema findet ihr unter Ziffer 4.2.
Die Konfiguration von AdAway ist nun abgeschlossen bzw. könnt ihr diese (weiter) an eure Bedürfnisse anpassen.
4. AdAway in Aktion
Bereits nach der initialen Inbetriebnahme ist AdAway einsatzbereit. Erkennen könnt ihr dies am Schlüsselsymbol in der Statusleiste oder wenn ihr die Schnellstart-Einstellungen öffnet. Dort wird euch dann die Benachrichtigung Ad-blocker-VPN aktiv eingeblendet. Nachfolgend können wir ebenfalls ablesen, dass AdAway über 400.000 Domains blockiert:
4.1 Blockierte Domains
Wie bereits angedeutet kann das Phänomen des Overblockings eintreten, was unter Umständen dazu führen kann, dass eine App/Website bzw. bestimmte Funktion nicht mehr korrekt funktioniert. Persönlich konnte ich das bisher nicht beobachten – allerdings bin ich diesbezüglich auch nicht der geeignete Maßstab, da ich gezielt auf Dienste von Google, Facebook und Co. verzichte.
Sollte eine App/Website also nicht wie gewohnt funktioniert, solltet ihr zunächst über den Menüpunkt DNS-Abfrage-Protokoll anzeigen die Berichtsfunktion aufrufen. Aktiviert dann die Aufzeichnung und startet anschließend jene App, die nicht korrekt funktioniert. Anschließend öffnet ihr erneut die Berichtsfunktion. Alle protokollierten DNS-Anfragen werden euch dann aufgelistet. Im nachfolgenden Beispiel habe ich den DB-Navigator der Deutschen Bahn gestartet, der bekanntlich einige (illegale) Tracker integriert hat. Diese werden alle zuverlässig von AdAway bzw. den hinterlegten Filterlisten blockiert. Nachfolgend erlaube ich beispielhaft die Tracking-Domain »firebase-settings.crashlytics.com«, indem ich auf das Häkchen in der Mitte tippe. Diese Auswahl wird sich AdAway anschließend merken und die Domain auf die Positivliste setzen bzw. nicht mehr filtern:
4.2 Blockiert, gestattet und umgeleitet
Über den Hauptscreen könnt ihr mit einem Fingertipp auf den mittleren Bereich (Gestattet) eigene Domains hinterlegen, die anschließend von der Filterung ausgeschlossen werden. Am unteren Displayrand könnt ihr zwischen verschiedenen Ansichten wechseln:
- Blockiert: Zu den bereits bestehenden Domains könnt ihr weitere hinzufügen, die AdAway blockieren soll. Das ist gewissermaßen eine Ergänzung zu den bereits bestehenden Filterlisten, die ihr selbst beeinflussen könnt.
- Gestattet: Wie bereits aufgezeigt, kann es unter Umständen zum Overblocking-Effekt kommen. Falls dies eintritt, könnt ihr eine Domain über die Positivliste wieder erreichbar machen. Die Positivliste gilt immer vor den Filterlisten – die Domain ist also wieder erreichbar, wenngleich sie in einer der Filterlisten enthalten ist.
- Umgeleitet: Bei Bedarf könnt ihr für bestimmte Domains IP-Umleitungen aktivieren. Die Domain »facebook.com« könntet ihr bspw. auf die IP-Adresse 130.211.198.204 (disney.com) zeigen lassen. Ruft ihr die Domain »facebook.com« anschließend im Browser auf, werdet ihr auf disney.com umgeleitet.
5. Alternativen
Neben AdAway existieren noch weitere Lösungen/Apps, mit denen ihr das Tracking bzw. die Einblendung von Werbung innerhalb von Android-Apps unterbinden könnt. Nachfolgend habe ich verschiedene Alternativen zusammengefasst.
Hinweis
Der einfachste Weg, um auf Android Werbung und Tracker systemweit (in allen Apps) auf Eis zu legen, ist das Blockieren über einen DNS-Anbieter. Im Beitrag »Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen« wird die Umsetzung ausführlich beschrieben. Diese Variante ist insbesondere für Anfänger eine einfache/bequeme Lösung. Für mehr Kontrolle – bspw. welche Domains blockiert werden und welche nicht – kommt man um die Installation einer App oder Netzwerklösung allerdings nicht umhin.5.1 Zu Hause
Wenn ihr Zuhause mit eurem WLAN verbunden seid, existieren unterschiedliche Varianten:
- Weitere Apps: Alternativen zu AdAway sind bspw. RethinkDNS oder personalDNSfilter – diese sind allerdings komplexer in der Bedienung und damit eher weniger für Einsteiger geeignet. Oftmals ist es allerdings reine Geschmackssache bzw. eine besondere Funktion, die entscheidet, welche dieser Apps man im Alltag benutzt. Die Funktionsweise ist bei allen ähnlich.
- Pi-hole [geräteübergreifend]: Mit dem Pi-hole lassen sich Tracker und Werbung bereits auf DNS-Ebene filtern. DNS-Anfragen an Werbe- und Trackingdomains werden dann nicht wie üblich in die dazu passende IP-Adresse übersetzt und nachgeladen, sondern die Anfragen laufen praktisch »ins Leere«. Positiv: Mit einem Pi-hole lassen sich Werbeeinblendungen und Datensammler auf allen Geräten filtern, die den Pi-hole zur Namensauflösung nutzen. Um auch unterwegs bzw. im mobilen Netzwerk von der Filterfunktion des Pi-holes zu profitieren, kann es sinnvoll sein, einen VPN-Tunnel in das (private) Netzwerk aufzubauen, in dem der Pi-hole erreichbar ist. Einen solchen VPN-Tunnel könnt ihr bspw. über eure FRITZ!Box oder den PiVPN realisieren.
- OpenWrt – Adblock-Addon [geräteübergreifend]: Wer einen OpenWrt-Router einsetzt, der kann sich das Adblock-Addon installieren. Damit werden Werbung und Tracker bereits auf DNS-Ebene gefiltert – wie beim Pi-Hole für alle Geräte in einem Netzwerk.
5.2 Unterwegs bzw. im Mobilfunknetz
Sobald ihr unterwegs seid bzw. in das Mobilfunknetz eingebucht seid, ändern sich die Voraussetzungen je nach Lösung ein wenig:
- Weitere Apps: Alternativen wie RethinkDNS oder personalDNSfilter funktionieren ebenso wie AdAway auch im Mobilfunknetz bzw. unterwegs. Durch die Belegung der VPN-Schnittstelle ist der Aufbau einer weiteren VPN-Verbindung allerdings nicht möglich.
- Pi-hole: Der Pi-hole steht bei euch im internen Netzwerk und lässt sich von »außen« nicht ohne weiteres erreichen. Ihr müsst zunächst einen VPN-Tunnel aufbauen, um euch gegen Tracking und Werbung innerhalb von Apps schützen zu können. Einen solchen VPN-Tunnel könnt ihr bspw. über eure FRITZ!Box oder den PiVPN realisieren. Nachteil: Ihr müsst stets eine VPN-Verbindung aufbauen, sobald ihr euch in das mobile Netz vom Provider einbucht – wer das vergisst, der ist dem Tracking ganz schnell ausgeliefert.
Insbesondere für den Durchschnittsnutzer, der die initiale Inbetriebnahme nicht scheut, stellt AdAway insgesamt eine hervorragende Lösung dar. Dieses vornehmlich deshalb, weil sich die App auch ohne viel technisches Verständnis einfach in Betrieb nehmen lässt und zuverlässig schützt – der Nutzer muss nur darauf achten, dass das AdAway-VPN aktiv ist und die Filterfunktion damit gewährleistet ist. Gut zu wissen: Nach einem Neustart des Geräts initiiert AdAway den VPN-Tunnel selbstständig – ihr müsst also nichts weiter tun.
Weitere Empfehlungen
Weitere Lösungen/Empfehlungen wie NetGuard findet ihr in der Empfehlungsecke in der Rubrik Werbe- und Trackingblocker.6. Fazit
Im Google Play Store befindet sich ein ganzes Arsenal an »Pseudo-Security-Apps« wie Virenscanner, die den Nutzer in falsche Sicherheit wiegen. AdAway hingegen kann die Sicherheit und Privatsphäre tatsächlich wirksam erhöhen. Nach der Installation bzw. Inbetriebnahme von AdAway wird nicht nur euer Akku länger durchhalten, sondern ihr bleibt in Zukunft auch von Werbeeinblendungen verschont und (fast) niemand wird euch mehr auf Schritt und Tritt verfolgen.
Bildquellen:
AdAway: Icon by Alin Ţoţea-Radu
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
AdAway: Werbe- und Trackingblocker – Take back control! Teil6
Blokada: Tracking und Werbung unter Android unterbinden
Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen
AdGuard Pro: Tracking und Werbung unter iOS unterbinden
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.