1. Kein Android ohne Firewall
Firewalls für Android eignen sich hervorragend, um Apps oder Systemkomponenten zu blockieren, die absolut nichts im Internet verloren haben. Eben mal »nach Hause telefonieren« – nicht mit uns! Im Artikel DroidWall Android Firewall – Datenschutz für Android Teil4 habe ich bereits DroidWall vorgestellt. Leider wurde die App-Entwicklung von DroidWall in der Vergangenheit eingestellt. Avast hat die Rechte im Dezember 2011 erworben und verwendet den Quellcode jetzt wohl in avast! Mobile Security.
Update
19.08.2014: Wer die Herrschaft und Kontrolle über sein Android-Smartphone anstrebt, dem kann ich die Beiträge von »Your phone – Your data« ans Herz legen. Im vierten Teil der Artikelserie findet ihr ebenfalls eine ausführliche Beschreibung zu AFWall+.Unter dem Namen AFWall+ hat ukanth (XDA Senior Member) die Funktionalität von DroidWall nachgebildet und sogar noch um ein weitere Funktionen ergänzt. Derzeit liegt AFWall+ in der Version 1.3.1.1 vor und lässt sich aus dem Google Play Store oder F-Droid Store herunterladen. Das Projekt wird von ukanth als Open-Source betrieben – ein Unterschied zu DroidWall.
2. AFWall+
Vor der Installation von AFWall+ muss euer Gerät gerootet sein. Ansonsten können die erforderlichen Systemeingriffe nicht erfolgen und die Firewall bleibt funktionslos.
Ebenso wie DroidWall dient AFWall+ als Frontend für iptables. Auf Wunsch blockiert ihr damit einzelnen Apps den Zugriff auf das Datennetzwerk (2G/3G und/oder Wi-Fi). Werfen wir zunächst einen Blick auf die Funktionen, die schon von DroidWall bekannt sein sollten.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Gewohnter Funktionsumfang
Angelehnt an DroidWall stellt auch AFWall+ zwei verschiedene Arbeitsmodi zur Verfügung. Im »White-List-Modus« wird lediglich selektierten Apps der Verbindungsaufbau nach außen erlaubt. Umgekehrt dürfen im »Black-List-Modus« ausgewählte Apps keine Verbindung initiieren.
Ich bleibe bei meiner Empfehlung aus dem vorhergehenden Beitrag und schlage euch den »White-List-Modus« vor. Es erscheint logischer Häkchen bei Anwendungen zu setzen, die auch tatsächlich eine Verbindung aufbauen dürfen.
Ein erster Start der App führt zu keiner großen Überraschung. Die GUI ist nahezu identisch zu DroidWall. Auf den ersten Blick wurde eine dritte Spalte ergänzt und das Optionsmenü ist nach oben rechts gewandert.
2.2 Optionsmenü
Wie eben dargestellt befindet sich das Optionsmenü mit zwei Schaltern jetzt am oberen Bildschirmrand. Dahinter verbergen sich folgende Möglichkeiten:
Abgesehen von den kosmetischen Veränderungen an den Icons, hat sich auch hier wenig verändert. Frei nach dem Motto:
Never change a running firewall…
Unter »Preferences« wurden ein paar zusätzliche Funktionen ergänzt.
Interessant ist die Funktion »Disable 3G rules on Wired USB«. Dahinter verbirgt sich ein Verbesserung bzw. Fix für ein altes DroidWall Problem. Sobald man ein USB-Kabel als Verbindungsbrücke zum surfen angeschlossen hat wurden die 3G-Regelsätze automatisch aktiv bzw. alle WiFi-Regelsätze ignoriert. Oder anders formuliert: Den 3G-Regelsätzen wurde eine höhere Priorität eingeräumt. Hat das Häkchen für eine App bei 3G gefehlt, konnte das per USB angeschlossene Gerät keine Verbindung initiieren – auch wenn das WiFi Häkchen gesetzt war.
Der Grund: Einige Hersteller nutzten das USB-Interface intern als mobiles Interface. Beim Anschluss des USB-Kabels ging DroidWall also davon aus, dass die 2G/3G Verbindungen über das USB-Interface (=mobiles Interface) abgebildet werden. Unter Android hat das USB-Interface allerdings eine höhere Priorität, wenn eine Verbindung initiiert werden soll, als das WiFi-Interface. Letztendlich führte dieses Kuddelmuddel (USB-Interface = mobiles Interface) zu einer Blockade von Apps, denen der Zugriff auf das Datennetz per WiFi, generell eigentlich erlaubt war.
3. Neue Funktionen
AFWall+ setzt bisher alle Funktionen von DroidWall um. Aber bietet es auch neue Funktionen? Zu erwähnen sind hier zunächst zwei Verbesserungen, die der Entwickler von DroidWall bis zuletzt nicht umgesetzt hat:
- Dangerous file permissions on droidwall.sh
- Und schon bekannt: Application silently applies rules for 3G network to a wired USB connection
Werfen wir nun einen Blick auf neue Funktionen. Die Liste kann übrigens unvollständig sein, da sie aus dem November 2012 stammt. Auf der ToDo-Liste von AFWall+ stehen noch einige Verbesserungen, die ukanth in der Zukunft umsetzen möchte.
- In der Hauptansicht ist eine weitere Spalte hinzugekommen: Sofern ich richtig informiert bin, lässt sich damit Einfluss auf den Datenzugriff von Apps in »fremden« Netzen nehmen. Also immer dann wenn ihr euch beispielsweise im Ausland aufhaltet und dann Roaming verwendet wird.
4. Fazit
The king is dead, long live the new king.
Ganz klar: Ihr könnt zu AFWall+ wechseln. Es deckt alle bekannten Funktionen von DroidWall ab und ergänzt diese. Bald werden vermutlich weitere Funktionen hinzukommen. Die Community ist aktiv und das Projekt steht als Open-Source zur Verfügung. Beste Voraussetzungen für eine aktive Weiterentwicklung.
Beim Wechsel von DroidWall zu AFWall+ solltet ihr allerdings Folgendes beachten:
- DroidWall deaktivieren
- Anschließend deinstallieren
- AFWall+ in der neuesten Version installieren
- Regelsätze neu definieren
- AFWall+ aktiveren bzw. die Firewall
Bildquellen:
Firewall: Nemo, Creative Commons CC0
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
F-Droid und AFWall+ – Android ohne Google?! Teil4
AFWall+: Digitaler Türvorsteher – Take back control! Teil4
AFWall+: Wie ich persönlich die Android-Firewall nutze
DroidWall Android Firewall – Datenschutz für Android Teil4
VeraCrypt: Daten auf USB-Stick sicher verschlüsseln
11 Ergänzungen zu “AFWall+ Die Alternative zu DroidWall”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Danke für diesen Artikel!
Als Smartphone-Neuling konnte ich deine Hinweise sehr gut gebrauchen. Auch die Artikelserie ‘Datenschutz für Android’ war für mich sehr hilfreich :) Da ich auf meinem Huawei G330 noch keine Custom Roms drauf bekomme, also auch kein PDroid, kann ich zumindest mit AFWall+ schonmal das senden der Daten verhindern :)
Sehr gut finde ich auch den Hinweis auf die ClosedSource Problematik. Für mich ist die Transparenz gerade bei solch vertraulichen Dingen ein absolutes muss, deshalb gibt es eigentlich keine Alternative zu OpenSource.
Ich hatte bereits droidwall getestet und es lief unter ICS gut aber unter JB hatte ich ständig internet-Verbindungs-Probleme. Dieses Problem hatten auch andere Nutzer wie ich in einem Forum gelesen hatte. Scheint wohl darin zu liegen, dass es nicht geupdated wurde. Ich werd dann mal AFWall testen und hoffe das diese neuere Firewall stabil läuft.
Leider dasselbe Problem wie mit Droidwall, scheint wohl nicht richtig mit meiner Rom kompatibel zu sein. Hab Slim Bean drauf. Dann muss ich wohl zu Pdroid greifen.
Die letzten Tage hat AFWall jetzt doch problemlos funktioniert. Ich hatte schon mal Cyanogenmod getestet, trotzdem danke für die Info.
Eigentlich ist ne Firewall praktischer als eine Berechtigungsapp, wenn man da einer APP keine Internetverbindung gewährt, kann sie ja auch gar keine Informationen versenden, das muss man bei Pdroid alles separat blocken.
Naja aber es gibt hin und wieder Apps die brauchen Internet Zugriff aber doch bitte nicht meine ID/IMEI/Ort/etc.
Am besten in dem Punkt war mal LBE aber das ist inzwischen zu einem Bloatware-Monster heran gewachsen! :( Außerdem auch nicht wirklich vertrauenswürdig.
Die beste Lösung erscheint mir der Mod vom Cyanogenmod direkt unter den Apps einfach die Berechtigung entziehen.
So ganz einfach ist das Konfigurieren von AFWall nicht. Ich hatte es gestern testweise installiert. Auch von den System Anwendungen habe ich nicht alles einfach freigegeben, denn z. B. das Album oder Systemteile die ich nicht verwende müssen nicht ins Netz. So weit so gut (dachte ich). Als ich dann Google+ verwenden wollte hab ich dumm aus der Wäsche geguckt, denn eine Aktualisierung war nicht möglich. Da ich in der S-Bahn unterwegs war hab ich mir erst mal nichts dabei gedacht. Als es aber über Stunden nicht ging hab ich mal Twitter ausprobiert und hatte da das selbe Problem. Also in der Firewall nachgesehen = beide Apps sind für alle Netze incl. VPN freigegeben. Was das Ganze vollständig unverständlich machte ist, dass Mail und Browser fehlerfrei funktionierten. Nachdem ich AFWall deaktiviert hatte gings dann wieder. Hier fehlt eindeutig eine Benachrichtigung die einem anzeigt, welche App versucht eine blockiere Verbindung aufzubauen, denn aus dem Log bin ich auch nicht schlau geworden. Wenn ich gezwungen bin, dass System vollständig freizugeben, dann braucht es gar nicht erst blockiert zu werden. Sinnvoll wäre hier vielleicht eine Neuling und Expertenfunktion.
Kann man die Firewall auch aus anderer Quelle als dem Play Store beziehen ?
Denn ich habe keine Gapps auf dem Gerät.
Klar. Zum Beispiel über den F-Droid Store: AFWall+
Mal ne Frage,
schützt AFWall+ auch vor Zugriffen von Außen, z.B. in öffentlichen WLANs?
Nein. AFWall+ unterbindet Apps lediglich den Zugriff auf’s Internet – Jedenfalls über das normale Nutzerinterface.
Über Custom-Scripts lassen sich Incoming-Regeln definieren. Mit der Chain (Kette) INPUT lassen sich dann auch Verbindungen von außen verhindern.
AFWall+ verwende ich schon eine Weile auf verschiedenen Tel-Geräten. Ich bin sehr zufrieden.
Nun habe ich mir ein Tablet zugelegt und mit CM12 einen zusätzlichen Benutzer eingerichtet. Wenn ich auf den zusätzlichen (eingeschränkten) User wechsle und per Thetering über das Handy online gehen will, klappt das nicht. (Mit dem Owner = Root komme ich problemlos online) Die Multiuser Option habe ich in AFWall+ aktiviert. Welche Einstellung kann ich übersehen haben.