1. Eine Reise geht zu Ende
Mit jedem Teil der Artikelserie »Android unter Kontrolle« haben wir uns näher an unser Ziel herangetastet, die größtmögliche Herrschaft und Kontrolle über unsere Daten zu erlangen – wohlgemerkt auf nicht gerooteten Geräten, was den Handlungsspielraum systembedingt einschränkt. Neben dem F-Droid Store übernimmt insbesondere die im vierten Teil vorgestellte NetGuard Firewall eine Schlüsselfunktion bei der Erreichung unseres hehren Ziels.
Kein anderes mobile Betriebssystem ist derart auf das Erfassen und Weiterleiten eurer (personenbezogenen) Daten getrimmt, wie Android. Selbst nachdem wir mit NetGuard ausgehende Verbindungen unter Kontrolle haben, bleiben noch immer kleine »Lücken«, die zumeist nur über die Geräteeinstellungen geschlossen werden können.
Mit dem vorliegenden Beitrag möchten wir euch Vorschläge und Tipps mit auf den Weg geben, die sich positiv auf eure Sicherheit und Privatsphäre auswirken können. Gemeinsam mit den vorherigen Beiträgen seid ihr dann mit dem entsprechenden Rüstzeug ausgestattet, mit dem ihr auch in Zukunft (höchstwahrscheinlich) die Herrschaft und Kontrolle über euer Android-Gerät bzw. eure Daten behalten könnt.
- Your Phone Your Data (light) – Android unter Kontrolle Teil1
- Die Update-Problematik bei Android – Android unter Kontrolle Teil2
- F-Droid und App-Alternativen – Android unter Kontrolle Teil3
- NetGuard Firewall – Android unter Kontrolle Teil4
- Konfigurationsempfehlungen – Android unter Kontrolle Teil5
Hinweis
Die im vorliegenden Beitrag vorgestellten Funktionen und Einstellungen könnt ihr nicht auf jedem Android-Gerät durchführen oder diese sind hinter einem anderen Menü »versteckt«. Mitunter kann es also vorkommen, dass ihr etwas suchen müsst oder die Funktion auf eurem Gerät nicht verfügbar ist.Im Fokus der Artikelserie »Android unter Kontrolle« stehen insbesondere Nutzer, die ihr Gerät nicht rooten können oder wollen. Wir haben im vorliegenden Beitrag dennoch ein paar Tipps ergänzt, mit dem sich für Root-User weitere Handlungsmöglichkeiten eröffnen.
2. Standort / Ortungsmöglichkeiten
Im Rahmen der Positionsermittlung können Smartphone-Anbieter bzw. Apps euren Standort relativ genau bestimmen. Dies geschieht über das WLAN, die Mobilfunkmasten oder die GPS-Funktion eures Geräts und zwar mit einer Genauigkeit von bis zu 5 Metern. Mithin stehen den Datensammlern prinzipiell zwei Techniken zur Verfügung, um die genaue Position eures Smartphones zu ermitteln.
Die Ortung mittels GPS ist die offensichtlichere Variante. Der Nachteil für die Smartphone-Hersteller bzw. App-Anbieter ist hierbei jedoch, dass die GPS-Ortung nicht in geschlossenen Räumen funktioniert. Aus diesem Grund wird die WLAN/Mobilfunkmast basierte Ortung von diesen Protagonisten präferiert. Denn diese ermöglicht ihnen eine Positionsbestimmung, die auch in geschlossenen Räumen funktioniert. Diese Bestimmung erfolgt relativ einfach mittels der vom Smartphone übermittelten WLAN- und Mobilfunk-Informationen. Wie durch die Medien bekannt wurde, haben diverse Unternehmen über die Zeit gigantische Datenbanken aufgebaut, in denen die genaue Position von Mobilfunkmasten und WLAN-Hotspots vermerkt sind. Hierdurch sind sie in der Lage, die mit dem Smartphone gesammelten Informationen mit denen aus den Datenbanken abzugleichen, wodurch die jeweiligen Anbieter sofort Kenntnis über den Standort des Smartphones erhalten können.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Einfluss auf das Tracking nehmen
Ihr könnt in gewissem Maße selber entscheiden, ob ihr »getrackt« werden wollt. Entscheidet ihr euch gegen eine solche »Standortbestimmung« könnt ihr dieser Entscheidung durch System-Einstellungen eures Androiden Nachdruck verleihen. Hierzu solltet ihr wie folgt vorgehen:
- Einstellungen → Standort → (Standort kurz aktivieren) → Modus antippen → »Nur Gerät – GPS zur Standortbestimmung nutzen« selektieren.
- Weiterhin sammelt Android auch dann eure Ortungsdaten per WLAN, wenn ihr euer WLAN eigentlich ausgeschaltet habt. Auch diese Funktion könnt ihr deaktivieren.
- Bis Android 6: Einstellungen → WLAN → Erweitert → »Scannern immer verfügbar: Aus« Häkchen entfernen.
- Ab Android 6: Die Funktion ist unter »Standort« zu finden und nennt sich »WLAN-Suche«. Zum Deaktivieren klickt ihr einfach auf die 3 Punkte, selektiert dort »Suche« und entfernt anschließend das Häkchen bei »WLAN-Suche«.
2.2 WLAN-Tracking
Weiterhin gilt es einen neuen Trend zu berücksichtigen, der auch vor deutschen Städten keinen Halt macht: Das sogennante WLAN-Tracking. Anbei ein paar Vorschläge, wie ihr euch davor schützen könnt:
- Wenn ihr außer Haus geht, solltet ihr eure WiFi-Schnittstelle manuell deaktivieren.
- WiFi-Randomizer oder andere Schutzmechanismen gegen das WLAN-Tracking sind leider nur bedingt dazu geeignet, um Schutz zu bieten. Besser ist es noch immer, die WiFi-Schnittstelle zu deaktivieren. Das gilt auch für iOS-Geräte.
- Wer die manuelle Deaktivierung der WiFi-Schnittstelle gerne mal vergisst, der kann sich folgende zwei Helfer-Apps mal genauer ansehen: WiFi Automatic und Smarter Wi-Fi Manager – beide aus dem F-Droid Store. Beide arbeiten etwas anders, sind aber einen Blick wert.
Anbei noch ein paar Einstellungsempfehlungen für die eben genannten Apps:
- WiFi Automatic: Entfernt das Häkchen bei »Schalte WLAN aus… wenn kein Netzwerk in Reichweite«. Im Stadtzentrum sind immer WLAN-Netzwerke in Reichweite und eure WiFi-Schnittstelle würde nie abgeschaltet werden. Weiterhin solltet ihr euch überlegen, ob das WLAN aktiviert wird, wenn ihr das Gerät entsperrt und auch nach wie vielen Minuten das WLAN deaktiviert wird, sobald das Display aus ist.
- Smarter Wi-Fi Manager: Beim ersten Start der App solltet ihr euch für den »Location Management Type«→ TOWERS entscheiden. Das bedeutet dann:
Use tower-based location to determine when Wi-Fi shoud be enabled. This is the default mechanism SWM uses, but may lead to Wi-Fi being enabled over a larger area, depending on the density of cellular towers in your area.
Ihr solltet also ausprobieren, welche App für eure Umgebung und Ansprüche besser geeignet ist.
Update
20.03.2018: Es gibt eine elegante Lösung für das WLAN-Tracking Problem. Mit Android-Boardmitteln lässt sich das WLAN ganz einfach automatisch deaktivieren.3. Schnittstellen (Bluetooth / NFC)
Moderne Rechner und auch Smartphones sind mit einer Vielzahl an Schnittstellen / Sensoren wie Wi-Fi, Bluetooth, Kamera, Mikrofon, NFC usw. ausgestattet. Insbesondere die nicht verwendeten Schnittstellen sollten, da sie durchaus weitere Angriffsvektoren darstellen, nur dann aktiv sein, wenn ihr sie wirklich benötigt. Für die meisten Android-Geräte bedeutet das: Generell solltet ihr die Wi-Fi-, Bluetooth- und auch NFC-Schnittstelle nur bei Bedarf aktivieren und bei längerer Nichtbenutzung das Smartphone in den Flugmodus versetzen.
4. WLAN und Mobilfunknetze
Sobald sich euer Gerät in das Netz eures Mobilfunkanbieters einbucht oder mit einem »fremden« WLAN-Netz verbindet, gilt es ein paar Dinge hinsichtlich der Privatsphäre und auch der Sicherheit zu beachten.
4.1 DNS-Server
Um Webseiten oder Dienste (E-Mail Server, Kalender etc.) zu erreichen, für die ihr nur einen Domainnamen habt, findet in der Praxis eine Auflösung dieses Domainnamens in eine (numerische) IP-Adresse statt. So wird bspw. der Domainname »www.kuketz-blog.de« in die IP-Adresse 46.38.242.112 übersetzt. Dafür zuständig ist das DNS-Protokoll, das ähnlich wie eine Telefonauskunft funktioniert. Um die »Telefonauskunft« bzgl. der entsprechenden Adresse zu ermöglichen, existieren weltweit tausende DNS-Server bzw. Nameserver, die meist nur eine Aufgabe haben: Auflösen von Domainnamen in die dazugehörige IP-Adressen. Üblicherweise finden solche Namensauflösungen bzw. DNS-Abfragen über das UDP-Protokoll auf Port 53 oder abgesichert via DNSSEC über das TCP-Protokoll statt.
Auch wenn DNS-Anfragen zunächst als eine harmlose Adress-Umwandlung wahrgenommen werden, sollte man sich darüber im Klaren sein, dass man bei jeder Kommunikation mit einem DNS-Server mannigfaltige Informationen von sich übermittelt. So wird bei jedem Kontakt des DNS-Servers bspw. immer die (eigene) IP-Adresse inklusive der zu besuchenden Webseite bzw. dem zu besuchenden Webdienst an den DNS-Server transferiert und vielfach von diesem auch abgespeichert. Durch die Auswertung dieser gespeicherten Informationen wäre ein DNS-Serverbetreiber theoretisch in der Lage, euer komplettes Internetnutzungsverhalten feingranular nachzuvollziehen.
IT-Konzerne wie Google betreiben oftmals ihre eigenen DNS-Server. Im Falle von Google laufen die Haupt-DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4. Falls ihr euch mit eurem eigenen oder mit einem fremden WLAN verbinden wollt empfiehlt es sich, die DNS-Einstellungen eures Smartphones zu kontrollieren. Zumeist sind standardmäßig die Google DNS-Server eingestellt. Dies solltet ihr vermeiden, indem ihr lieber einen von euch selber ausgewählten DNS-Server einstellt:
- Einstellungen → WLAN → Ein langer Fingertipp auf eure aktive WLAN-Verbindung → Netzwerk ändern.
- Setzt das Häkchen bei »Erweiterte Optionen einblenden« und selektiert bei IP-Einstellungen anschließend »Statisch«.
- Scrollt nach ganz unten, bis ihr auf die beiden Einstellungen »DNS 1« und »DNS 2« trefft.
- Tragt bei DNS 1 und DNS 2 jeweils einen neuen DNS-Server ein. Anbei ein paar Vorschläge für freie und unzensierte DNS-Server ohne Protokollierung.
- Alternativ könnt ihr natürlich auch die IP-Adresse eures Routers als DNS-Server eintragen. Ihr müsst dann allerdings auf eurem Router die entsprechenden DNS-Server konfigurieren. Im Normalfall werden euch nämlich die DNS-Server von eurem Netzbetreiber automatisch zugewiesen.
Hinweis
Um herauszufinden, ob die eingestellten DNS-Server auch tatsächlich genutzt werden eignet sich bspw. der DNS-Leak Test.Eine Sonderstellung nehmen die DNS-Server vom Mobilfunkprovider ein. Diese könnt ihr mit herkömmlichen Mitteln nicht einfach über ein Menü für das 3G/4G Datennetzwerk ändern, sondern es sind spezielle Apps wie bspw. DNS Changer oder Engelsiz erforderlich. Allerdings haben alle genannten Tools einen entscheidenden Nachteil: Sie initiieren einen lokalen VPN-Tunnel, um Einfluss auf die DNS-Server der Mobilfunkverbindung zu nehmen – noch dazu sind sie nicht quelloffen. Der Aufbau eines lokalen VPN-Tunnels kollidiert allerdings mit NetGuard, unserer Firewall, die ebenfalls einen lokalen VPN-Tunnel erzeugt und für unsere Artikelserie unerlässlich ist. Zu unserer Überraschung hat NetGuard allerdings selbst eine Funktion integriert, um die DNS-Server für das WiFi- und Mobilfunknetzwerk zu überschreiben:
- Innerhalb von NetGuard müsst ihr die »Einstellungen→ Erweiterte Optionen« aufrufen.
- Dort könnt ihr unter »VPN-DNS« jeweils zwei DNS-Server eintragen, die anschließend zur Namensauflösung genutzt werden sollen. Anbei ein paar Vorschläge für freie und unzensierte DNS-Server ohne Protokollierung.
Hinweis
Für gerootete Geräte existiert eine (einfache) Lösung, mit der ihr die DNS-Server der Mobilfunkanbieter bei Bedarf permanent umgehen könnt: Android: DNS-Server abfragen.4.2 VPN
Wer kennt das nicht: Man ist mit seinem Smartphone in einem fremden WiFi-Netzwerk eingeloggt (bspw. Kaffee, Hotel oder Flughafen) und fühlt sich irgendwie »unsicher« und beobachtet. Wird mein Surfverhalten gerade aufgezeichnet? Werden Benutzernamen und Passwörter mitgeschnitten?
Da der Internetverkehr seit den letzten Jahren vermehrt über TLS verschlüsselt wird, ist die Bedrohungslage vielleicht nicht mehr ganz so heikel wie früher. Doch dabei vergisst man allzu gerne neue »Sicherheitstechniken« wie TLS-Interception bzw. TLS-Middleboxen oder die Aufzeichnung des Surfverhaltens durch die Analyse der DNS-Anfragen. Kurz: Es gibt noch immer gute Gründe, fremden WiFi-Netzwerken nicht zu trauen. Schützen kann man sich, indem man eine VPN-Verbindung zu einem VPN-Server aufbaut und jegliche Daten im Tunnel »verschwinden«. Neugierige Hoteliers sehen dann nichts anderes als einen verschlüsselten Datenstrom zwischen zwei IP-Adressen – eurem mobilen Endgerät und der VPN-Gegenstelle.
Allerdings stoßen wir an dieser Stelle erneut auf ein Hindernis: NetGuard. Aktuell ist uns leider kein praktikabler Weg bekannt, mit dem wir NetGuard mit einem weiteren, nicht lokalen VPN kombinieren können. Sofern sich das ändert, werden wir den Beitrag entsprechend anpassen.
Hinweis
Für all diejenigen, die NetGuard nicht nutzen oder eine andere Firewall-Lösung wie AFWall+ einsetzen, möchten wir unsere Ausführungen dennoch fortführen.Damit all eure Daten »sicher« und vor neugierigen Blicken geschützt in einem VPN-Tunnel verschwinden, sind verschiedene Varianten denkbar. Die wohl einfachste Variante ist es, wenn ihr euch einen seriösen VPN-Dienstleister sucht, der bspw. nicht mit »100%iger Anonymität« beim Surfen wirbt. Anonymität beim Surfen erreicht man nicht, nur weil der Netzwerkverkehr über einen VPN-Provider getunnelt wird und dadurch die IP-Adresse »ausgetauscht« wird. Dieses Werbeversprechen zählt zur Kategorie moderne Internet-Märchen.
Fortgeschrittene Anwender werden vermutlich eine Lösung präferieren, bei dem sie keinem VPN-Anbieter vertrauen müssen, sondern selbst eine VPN-Gegenstelle bzw. Server betreiben. Möglich ist das bspw. über die weit verbreitete FRITZ!Box oder dem Raspberry Pi Projekt PiVPN. Eine detaillierte Anleitung zur Inbetriebnahme eines solchen PiVPN findet ihr hier: PiVPN: Raspberry Pi mit OpenVPN – Raspberry Pi Teil3.
5. Displaysperre
An der Displaysperre scheiden sich auf Android die Geister. Einerseits soll sie Schutz bieten, andererseits hat es Google bisher nicht geschafft die Displaysperre vom Entschlüsselungspasswort (bei aktiver Geräteverschlüsselung) zu trennen. Das bedeutet: Das Entsperren (des Displays) und das Entschlüsseln (des Geräts) während dem Bootvorgang (bis Android 6) erfolgen mit demselben PIN oder Passwort. Ab Android 7 entfällt aufgrund von Direct Boot die Eingabe eines Passworts / PINs werden dem Bootvorgang – aber auch hier ist es ähnlich: Sowohl Displaysperre, als auch Entschlüsselungspasswort sind zunächst identisch.
Warum dies ein Dilemma sein kann, wollen wir euch kurz aufzeigen:
- PIN: Eine PIN besteht meist auf 4-6 Zahlen und ist schnell eingegeben. Allerdings bietet ein so kurzer PIN, der nur aus Zahlen [0-9] besteht kaum Schutz vor einem Angreifer, der physischen Zugriff auf euer Gerät hat. Ein PIN eignet sich demnach (höchstens) als Displaysperre, nicht aber als Passwort für die Geräteverschlüsselung.
- Passwort: Ein Passwort hingegen darf aus Zahlen, Buchstaben und auch Sonderzeichen bestehen. Wir können also aus einem relativ großen Zeichenraum unser Passwort bestimmen bzw. am besten (zufällig) generieren lassen. Allerdings wäre ein langes und komplexes Passwort für den täglichen Gebrauch eher ungeeignet. Wer möchte schon ein mindestens 12-stelliges Passwort, das zufällig generiert wurde und aus Zahlen, Buchstaben und auch Sonderzeichen besteht, mehrmals täglich zum Entsperren von seinem Gerät eingeben?
Für die Praxis bedeutet das, ihr müsst euch zwischen einer PIN und einem Passwort entscheiden – wir gehen nämlich davon aus, dass ihr euer Smartphone verschlüsseln wollt. PIN oder Passwort? Wir raten euch zu einer PIN, weil ein komplexes Passwort für den täglichen Gebrauch bzw. zum Entsperren des Displays tatsächlich einfach unpraktisch ist. Gleichzeitig möchten wir allerdings erwähnen, dass sensible Daten wie ein privater (PGP-)Schlüssel nicht auf dem Smartphone abgelegt werden sollten. Ihr solltet euch nämlich immer vor Augen führen, dass euch eine PIN zwar (zunächst) schützt, es einem Angreifer mit (Rechen-)Aufwand dennoch gelingen wird, den Schutz zu umgehen. Daher unser Rat: Sensible Vorgänge wie Online-Banking, die Ablage von privaten Schlüsseln oder der Austausch sensibler Informationen sollten nicht über ein Smartphone erfolgen. Ihr solltet euch auf das Wesentliche reduzieren und bspw. eure Apps nach Möglichkeit so einstellen, dass nicht die gesamten Chatverläufe aus dem vergangenen Jahr einsehbar sind. Messenger wie Conversations und Signal bieten dafür eine »automatische Nachrichtenlöschung« an, falls Nachrichten älter als eine festgelegte Zeit sind oder eine Höchstzahl überschreiten.
Solltet ihr euer Smartphone verlieren oder es geklaut werden, dann ist es eine Frage der Zeit (sofern es jemand drauf anlegt), die Displaysperre zu umgehen. Android hat (abgesehen von Custom-ROM Modifikationen) keinen brauchbaren Brute-Force Schutz bei der Displaysperre integriert – abgesehen von einer 30-Sekunden Verzögerung nach 5 Fehlversuchen. Übt euch also schon vor einem möglichen Verlust in Schadensbegrenzung – wählt eine »ausreichend« lange PIN, speichert so wenig wie möglich sensible Daten und stellt eure Apps (nach Möglichkeit) so ein, dass der Angreifer im Ernstfall nicht jedes Detail über euch erfahren kann:
- Einstellungen → Sicherheit → Displaysperre.
- Wählt dort »PIN« und vergebt eine mindestens achtstellige PIN. Je nach Sicherheitsbedarf bzw. eurem individuellen Risikomanagement sind natürlich auch längere PINs oder sogar ein Passwort denkbar.
- Nachdem ihr die PIN festgelegt habt, solltet ihr das Systemicon (ganz rechts) in der Zeile »Displaysperre« antippen. Dort solltet ihr die Zeit für das »automatische Sperren« nicht höher als 30 Sekunden setzen.
Diese Maßnahme allein ist für jeden (Android-)Durchschnittsnutzer schonmal ein »großer« Schritt zu mehr Sicherheit. Für Nutzer mit besonderen Sicherheitsansprüchen hingegen gilt: Idealerweise werden wenig oder keine sensiblen Daten auf dem Smartphone aufbewahrt.
Hinweis
Von der Entsperrung via Fingerabdruck oder Face Unlock solltet ihr Abstand nehmen. Jemand kann euch bspw. per Gewalt dazu bringen, das Gerät mit dem Fingerabdruck zu Entsperren oder bastelt sich den Fingerabdruck einfach nach. Im Falle von Face Unlock genügt teilweise schon ein ausgedrucktes Foto, um den »Schutzmechanismus« zu umgehen. Biometrische Sicherheitssysteme auf Smartphones sind entweder (technisch) nicht ausgereift, oder offenbaren offensichtliche Schwächen. Von der Entsperrung via Entsperrmuster (Pattern) solltet ihr ebenfalls absehen. Verglichen mit einem ausreichend langen PIN/Passwort leiden Entsperrmuster bspw. an wenig Kombinationsmöglichkeiten und sind oftmals wenig komplex.6. Geräteverschlüsselung
Die Vollverschlüsselung eines Smartphones soll Angreifern nach einem Diebstahl den Zugriff auf die Daten des Geräts erschweren. Spätestens seit Android 6 verpflichtet Google die Geräte-Hersteller, die Geräteverschlüsselung ab Werk aus zu aktivieren. Das gilt allerdings nur für Neu-Geräte und nicht für Geräte, die via OTA-Update auf Android 6 aktualisiert wurden – hier müsst ihr noch selbst aktiv werden und die Geräteverschlüsselung aktivieren.
In der Vergangenheit hatte Android schon mehrfach mit Problemen bei der Geräteverschlüsselung zu kämpfen. Wir erinnern uns bspw. an die Qualcomm-Chips, bei dem der Master-Key extrahiert werden konnte, was einen Brute-Force-Angriff extrem begünstigte. Auch die Verwendung einer sogenannten Full-Disk Encryption (FDE) auf Basis von dm-crypt (Android 6) ist nicht optimal, da ein Smartphone einfach kein PC ist. Nach der einmaligen Eingabe des Passworts für die Geräteverschlüsselung während des Boot-Vorgangs, verbleiben die kryptografischen Schlüssel praktisch dauerhaft im RAM – das Gerät wird ja eigentlich nie ausgeschaltet.
Mit Android 7 hat Google dann einen anderen Weg eingeschlagen und unterstützt die File-Based Encryption (FBE) in Kombination mit Direct Boot. Sofern es App-Entwickler verstehen die zwei unterschiedlichen »Encryption Contexts« (Credential encrypted storage, Device encrypted storage) von Android N zu nutzen, lassen sich die (Nutzer-)Daten bei aktiver Geräteverschlüsselung besser schützen. Bei Bedarf ist es nun endlich auch möglich den Entsperrcode für das Display unabhängig vom Entschlüsselungspasswort zu setzen.
Aber schieben wir die technischen Details und Änderungen die Android bei jeder Version durchläuft mal zur Seite und reduzieren die Sicherheit der Geräteverschlüsselung auf eine simple Gegebenheit:
Die Geräteverschlüsselung bzw. der Schutz den sie bietet, ist nur so gut, wie das verwendete Passwort / PIN.
Das bedeutet: Der Sinn und insbesondere die Sicherheit der Geräteverschlüsselung steht und fällt mit Qualität des verwendeten Passworts / PINs. Dieses insbesondere deshalb, weil Google noch immer keinen (softwareseitigen) Brute-Force-Schutz integriert hat, der das Gerät bspw. nach der dritten Fehleingabe einfach herunterfährt. Wir müssen uns daher vor Augen führen, dass unsere (mindestens) achstellige PIN die Hürde darstellt, die ein Angreifer (bei einem eingeschalteten Gerät) überwinden muss. Im schlechtesten Fall benötigt ein Angreifer, der die PIN mittels Brute-Force-Angriff »erraten« möchte mindestens 100.000.000 Versuche. Im Mittel also um die 50.000.000 Versuche. Berücksichtigen wir die 30-Sekunden Verzögerung nach 5 Fehlversuchen, so ergibt sich im Mittel der folgende Zeitaufwand: 50000000 / 5 = 10000000 Timeouts * 30 Sekunden = 300000000 Sekunden:
- Minuten: 5000000
- Stunden: 83333,33333
- Tage: 3472,222222222222
- Wochen: 496,03175
- Jahre: 9,51294
Bei einem PIN mit 6 Stellen bräuchte ein Angreifer im Mittel hingegen nur 34 Tage, bei einer vierstelligen PIN gut 8 Stunden. Rein rechnerisch betrachtet stellt die Verwendung einer achtstelligen PIN auch einen versierten Angreifer vor ein Problem – außer natürlich, er kann sich eine Schwachstelle zu Nutze machen und den Vorgang beschleunigen. Unsere Überlegung klammert Geheimdienste und andere Organe mit entsprechenden finanziellen Mitteln und Manpower natürlich aus. Es wäre utopisch zu glauben, dass ein achtstelliger PIN jeden Angreifer aufhalten würde – dem ist nicht so.
6.1 Aktivieren der Geräteverschlüsselung
Falls die Geräteverschlüsselung bei euch noch nicht aktiv sein sollte, empfehlen wir euch diese unter Einstellungen aktivieren:
- Sicherheit → Smartphone verschlüsseln.
- Beachtet bitte die Hinweise auf dem Bildschirm, bevor ihr die Verschlüsselung ausführt.
- Ab Android 7 solltet ihr nach erfolgreicher Verschlüsselung unter »Sicherheit -> Verschlüsselungspasswort ändern« ein sicheres Passwort für den Entschlüsselungsvorgang beim Gerätestart festlegen. Damit entkoppelt ihr das Passwort für die Geräteverschlüsselung vom PIN der Displaysperre.
Anschließend werden alle (Benutzer-)Daten des internen Gerätespeichers verschlüsselt. Zu beachten ist, dass bisher nur der interne Gerätespeicher verschlüsselt wird, Daten auf einer eventuell vorhandenen externen (SD-)Speicherkarte oder Daten die in der Cloud gespeichert werden jedoch nicht. Ihr könnt euch überlegen, ob ihr die eventuell vorhandene (SD-)Speicherkarte ebenfalls verschlüsselt. Hierbei solltet ihr bedenken:
- Aufgrund der Verschlüsselung lässt sich die (SD-)Speicherkarte nicht mehr entnehmen und einfach am PC benutzen.
- Wollt ihr euer Smartphone zurücksetzen, dann solltet ihr zuvor nicht vergessen, die SD-Karte wieder zu entschlüsseln. Andernfalls könnt ihr auf die Daten später nicht mehr zugreifen und müsst die SD-Karte neu formatieren.
Hinweis
Vor der Aktivierung der Geräteverschlüsselung solltet ihr eure Daten (regelmäßig) sichern. Falls der (Verschlüsselungs-)Vorgang abbricht oder ihr euch nicht mehr an die PIN/Passwort erinnert, ist die Verschlüsselung nur mit einem Zurücksetzen des Geräts rückgängig zu machen – und dabei gehen alle Daten auf dem internen Speicher verloren.6.2 Was müsste Google tun?
Nach unserer Auffassung wäre es sinnvoll, sowohl für die Displaysperre, als auch die Geräteverschlüsselung ein eigenständiges Passwort vergeben zu können (Android 6) / müssen (Android 7). In Kombination mit einem (softwareseitigen) Brute-Force-Schutz, der das Android-Gerät bspw. nach drei Fehleingaben automatisch herunterfährt, wären die Daten der Nutzer besser geschützt. Das Szenario setzt natürlich voraus, dass das Passwort für die Geräteverschlüsselung während dem Boot-Vorgang eingegeben werden muss und entsprechend »sicher« sein sollte.
Was Google nicht schafft, erledigt auf Android 6 die App SnooperStopper:
- Trennung von PIN/Passwort der Displaysperre und Geräteverschlüsselung.
- Erlaubt das Setzen eines »stärkeren« Passworts für die Geräteverschlüsselung und einer kürzeren PIN für die Displaysperre.
- Nach X-Fehleingaben (Standard 3) der PIN für die Displaysperre wird das Gerät neu gestartet.
Der einzige Wermutstropen: SnooperStopper benötigt Root-Rechte und ist damit nur einem kleinen Kreis von Nutzern vorbehalten.
Ab Android 7 sollten Root-User hingegen die App WrongPinShutdown in Erwägung ziehen, die Folgendes macht:
- Nach X-Fehleingaben (Standard 3) der PIN für die Displaysperre wird das Gerät neu gestartet.
Hinweis
Dem Pixel 2 hat Google übrigens ein Hardware Security Modul spendiert, das sowohl gegen eine ganze Reihe von hardwarenahen Angriffen, aber auch softwareseitigen Angriffen besser schützen soll.7. Fazit
Liegt euch eure informationelle Selbstbestimmung am Herzen, solltet ihr gerade in der Welt der Smartphones immer einen Blick hinter die komplexen technischen Kulissen werfen. Möglichkeiten sich vor einem ungewollten Informationsabfluss zu schützen, sind grundsätzlich vorhanden. Jedoch sind diese oftmals so »versteckt«, dass man von diesen Informationen nichts erfährt oder diese nur mühsam aktivieren kann.
Welchen Weg Google in Zukunft mit Android einschlägt, weiß nur der Konzern selbst. Wir können deshalb auch im Moment selber nicht abschätzen, wie lange unsere Artikelserie »Android unter Kontrolle« Bestand haben wird und ob die für unser Projekt essentiellen Tools wie NetGuard auch weiterhin Schutz vor dem ungewollten Abfluss von Informationen bieten.
Rückblickend ziehen wir eine positive Bilanz und glauben euch einen praktikablen Weg aufgezeigt zu haben, mit dem ihr die Herrschaft und Kontrolle über euer Android-Gerät bzw. eure Daten auch in Zukunft behalten könnt. Das funktioniert natürlich nur dann, wenn ihr bereit seid viel Geduld und die Bereitschaft sich ein Stück weit von der eigenen Bequemlichkeit – und natürlich auch von der Indoktrination der Hersteller, zu verabschieden.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Android-Systemeinstellungen & Google-Fallstricke – Take back control! Teil8
Android: 5 Tipps für mehr Online-Privatsphäre und -Sicherheit
Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützt
Sicheres Passwort wählen: Der Zufall entscheidet
Datenschutzfreundliche Apps und Dienste – Android ohne Google?! Teil7
20 Ergänzungen zu “Konfigurationsempfehlungen – Android unter Kontrolle Teil5”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Sehr schöner Artikel, Mike! Da es leider sehr viel Aufwand ist sein Smartphone privatsphärenwahrend zu betreiben, habe ich mich schweren Herzens gegen die weitere Verwendung eines Smartphones entschieden und trenne alle Funktionen die mir das Smartphone bietet in einzelne Geräte, die nicht mit dem Internet verbunden sind. Zur Zeit sind das Dumb Phone (Handy), MP3-Player und elektronisches Wörterbuch.
Meine Frage nun: Warum empfiehlst du alternative kostenlose DNS-Anbieter gengenüber dem bezahlten Internet-Provider DNS-Service?
Der einzige für mich erkennbare Vorteil der alternativen DNS-Anbieter ist, dass sie Verschlüsselungs- und Verifizierungstechniken wie DNSCrypt und DNSSEC anbieten. Der Internet-Provider kann auch anhand der IP-Adressen herausfinden welche Webseiten ich besucht habe, da macht doch der DNS-Log auch keinen Unterschied mehr?
Meiner Meinung nach haben die alternativen DNS-Anbieter aber folgende Nachteile: Zum einen sind sie entweder auf Spenden angewiesen oder verwerten die Benutzerdaten, da sie kostenlos für den Benutzer sind. Zum anderen muss man ihnen vertrauen, dass sie wirklich nicht loggen, wenn sie dies behaupten. Des Weiteren sind die Server nicht so stabil und nicht immer online. Zu guter Letzt, selbst wenn sie nicht loggen, kann es das Datencenter in dem die Server gehostet sind. Finde es komisch, dass dns.watch hauptsächlich von einem Datencenter finanziert wird…
DNS-Servern vom Verein Digitalcourage oder dem CCC vertraue ich persönlich weit mehr, als den (oftmals) zensierten und loggenden DNS-Servern der Internet-Provider. Und auch was die Verfügbarkeit angeht, konnte ich bisher keine Einschränkungen beobachten. Deshalb vergibt man auch immer zwei DNS-Server. Einen Primären und Sekundären als Backup.
Mike, aber der Internet-Provider sieht doch die IP-Adressen der Webseiten, die man besucht. Da der Internet-Provider sowieso einen DNS-Server betreibt, könnte er die IP-Adressen aufgelösen und wüsste welche Webseiten man besucht. Außerdem verrät die Server Name Indication (SNI) im TLS-Handshake den Hostnamen der Webseite die man besucht.
Quellen:
https://security.stackexchange.com/questions/92532/what-can-my-isp-see-in-their-log-files-if-i-use-google-dns#92553
https://stackoverflow.com/questions/35548618/tls-session-and-dnscrypt/35549682#35549682
Klar der ISP könnte den Traffic bzw. Teile des Headers mitschneiden und so herausfinden, wo ihr surft – bei unverschlüsseltem Traffic sogar auch die jeweiligen Unterseiten. Dazu müsst ihr nicht seinen DNS-Server nutzen, das habe ich nie bestritten. Die Frage ist nur: Machen die ISPs das und wenn ja, welche?
Davor schützen kann man sich bspw. mit Tor-Browser.
Das ist aber nicht das Thema hier, daher möchte ich an dieser Stelle die Diskussion dazu beenden.
Ein Punkt hier ist ja auch die mögliche Zensierung durch den DNS des ISP.
[Hinweis zum DNS-Thema: Weitere Kommentare werden dazu nicht zugelassen, das ist nicht der Kern dieses Beitrags]
Hallo Mike,
wieder ein exzellenter Artikel. Vielen Dank dafür.
Grüße
Man kann bei NetGuard bequem unter ‚Einstellungen‘ > ‚Erweiterte Optionen‘ bei ‚VPN-DNS‘ andere DNS-Server eintragen. Die IP-Adressen gelten dann sowohl für das WLAN als auch für mobile Verbindungen.
Testweise habe ich da mal unbelegte Adressen aus dem lokalen LAN eingetragen und siehe da, weder der Browser, F-Droid noch Play Store etc. konnten sich verbinden.
Als DNS-Server-Test war für mich statt https://www.dnsleaktest.com eher folgende Seite aussagekräftiger, da dort nicht nur der erste, sondern alle beide DNS-Server erkannt wurden.
Ebenfalls empfehlenswert:
DNSSEC Validation & Algorithm Test
PS: Vielen Dank für die tolle Artikel-Serie!
Danke für den Hinweis. Die Einstellung in NetGuard war mir bisher nicht geläufig. Ich werde das prüfen und gegebenfalls den Artikel updaten.
Vielen Dank für diesen Artikel. Ich finde das auch sehr lobenswert, dass du bei den Einstellmöglichkeiten die unterschiedlichen Android-Versionen differenziert betrachtest. Schließlich ist Android 6 am weitesten verbreitet und auch 5.0/5.1 hat immer noch mehr Nutzer als 7.0/7.1. Viele Nutzer werden nunmal auf ihren alten Versionen sitzenbleiben, weil sie nicht updaten können. Mich würde auch allgemein interessieren, was du Usern rätst, die Sicherheitslücken wie KRACK oder BlueBorne nicht mehr schließen können bzw. nicht mehr updaten wollen, weil sie nicht auf Xprivacy (nur bis Android 6) verzichten wollen. Im Moment glaube ich einfach, dass die Wahrscheinlichkeit, dass ungeschlossene Sicherheitslöcher von einem Angreifer ausgenutzt werden können, ziemlich gering ist, sofern man Firewall, Adblocker, Xprivacy etc. korrekt eingerichtet hat und allgemein nicht jede x-beliebige App nutzt.
Das ist ein reines Abwägen von Risiken. Empfehlenswert ist es immer die aktuellen (Sicherheits-)Updates einzuspielen. Das wird auch im zweiten Teil der Serie nochmal explizit aufgegriffen. Die Empfehlung lautet daher: Supportet der Hersteller das Gerät nicht mehr, sollte man die Installation eines Cusom-ROMs, wie LineageOS, in Erwägung ziehen. Und beim Neukauf auf die Updatepolitik achten – all das wurde aber bereits in Teil 2 angesprochen.
Ich stand vor Kurzem vor genau diesem Problem: Gerät auf 6.0 aktualisiert, und XPrivacy hat nur noch Stress gemacht (auf einem anderen Gerät mit 6.0 läuft es hingegen einwandfrei). Habe daher kurzerhand XPrivacy deinstalliert (hatte ohnehin keine Wahl), und verwende stattdessen den bei LOS/CM integrierten PrivacyGuard. Ist nicht ganz so granular wie XPrivacy – dafür aber für „Otto Normalverbraucher“ auch weit übersichtlicher. Und mein LOS hat, wenn auch 6.0, den aktuellen Sicherheits-Patch – da glücklicherweise der Entwickler dieser inoffiziellen ROM recht aktiv ist. Schließlich ist das Gerät (LG Optimus P880) Baujahr 2013, da kann man nichts offizielles mehr für erwarten. LOS 14 hat sich dennoch bereits angekündigt :)
zu 2.1 – WLAN-Suche ab Android 6:
Wenn man die Einstellung nicht findet, weil der Hersteller diesen Punkt versteckt ist die Suchfunktion der Einstellungen zu empfehlen (Lupensymbol oben rechts):
Die „WLAN-Suche“ ist schnell gefunden, indem in das Suchfeld die beiden Buchstaben „su“ eingetippt werden, um die Ergebnisliste auf wenige Treffer (meist 3) einzugrenzen.
„Fußläufig“ kann es komplizierter sein, manche Hersteller verstecken diesen Punkt gerne an einem anderen Ort wie z.B.:
Einstellungen -> WLAN –> WLAN deaktivieren/ausschalten
Dann erscheint anstelle der erkannten WLANs ein Text mit „WLAN aktivieren, um verfügbare Netze …“
Im letzen Satz ist das Wort „Sucheinstellungen“ in blauer Farbe und antippbar, wo man die Einstellungen abändern kann.
Hallo,
zwei Hinweise meinerseits dazu:
1. PIN Schutz nachrüsten über
WrongPinShutdown
funktioniert auf meinem Lollipop problemlos
2. Verschlüsslungspasswort vom PIN trennen
snooperstopper
funktioniert auf meinem Lolipop problemlos, jedoch nicht mehr bei Android 7.
Android 7 als AOSP kann das von Haus aus, allerdings wurde es zumindest bei Samsung verstümmelt oder unerklärlicherweise entfernt.
siehe entschluesselungspasswort-getrennt-von-lockscreen-passwort
zu 1. Kannte ich bisher nicht, habe ich ergänzt.
zu 2. Auf meinem Testgerät funktioniert es auf Android 7. Ich habe das jetzt aber zurückgezogen bzw. im Text angepasst, da ich per E-Mail vielfach die Rückmeldung bekam, dass es auf Android 7 nicht (korrekt) funktioniert.
Danke dir!
Für das Setzen des Verschlüsselungspassworts kann alternativ cryptfs aus fdroid oder alternativ das Terminal herangezogen werden
Lieber Mike, wie sieht die PIN/Verschlüsslungsthematik denn mit einem 6×6 Pattern aus?
Kein Pin
Kein Passwort
Pattern (6×6)
Viele Grüße aus Berlin
Irrelevant, da bei aktiver Verschlüsselung auf Android 6 nur PIN oder Passwort möglich sind. Ab Android 7 ist dann auch ein Entsperrmuster zugelassen. Das Problem: Diese sind meist wenig komplex, also vergleichbar mit einem Passwort der Kategorie „1234567“ oder „p@$$w0rd“.
„Von der Entsperrung via Entsperrmuster (Pattern) solltet ihr ebenfalls absehen. Verglichen mit einem ausreichend langen PIN/Passwort leiden Entsperrmuster bspw. an wenig Kombinationsmöglichkeiten und sind oftmals wenig komplex“
Eine 6×6 Pattern ersetzt definitiv einen vergleichbares Passwort, dessen Länge so Lang wäre, dass ein alltäglicher gebraucht gar nicht realisierbar wäre.
In Ihrem Beispiel gehen Sie von einem 3×3 Pattern aus, dass das Schrott ist, ist wohl klar :-)
Meine Frage: was genau spricht denn gegen ein 6×6 Pattern?
Meiner Auffassung nach sicherer als ein seeeehr langer Pin oder ein seeeehr langes Passwort. Des weiteren lassen sich Pattern viel einfacher merken…
Ja, das stimmt. Das Beispiel bezieht sich auf ein 3×3 Pattern. Bei einem 6×6 Pattern sind die Kombinationsmöglichkeiten weit höher.
Gegen ein 6×6 Pattern spricht: Es muss eben ausreichend komplex sein bzw. nicht einem einfachen Muster folgen und auch »zufällig« sein. Dem Problem der Zufälligkeit begegnen wir aber natürlich auch bei Passwörtern und PINs.
Hallo,
bei der Suche nach Einrichtungstipps mit der Zielsetzung, die Kontrolle über meine Daten zu behalten, für mein Android-Handy (mein erstes) bin ich auf diesen Blog gestoßen und habe damit begonnen, die diversen Tipps in die Praxis umzusetzen. Das klappt ganz gut mit den Anleitungen (gewisse Verzögerungen sind auf meinen Einarbeitungsprozess mit dem neuen Betriebssystem zurückzuführen). Da das Handy neu ist und mir die dazu nötigen Kenntnisse fehlen, sehe ich zunächst von einem herstellerunabhängigen ROM ab; insofern ist diese Serie genau das, was ich für den Einstieg brauche.
Nicht nur dafür, sondern auch für die weiteren Informationen meinen herzlichen Dank.