1. Ein alter Bekannter
XPrivacy sollte vielen von euch ein Begriff sein. Es wird von Marcel Bokhorst (M66B) seit Juni 2013 für die Android-Gemeinde als Open Source Projekt entwickelt. Mit Hilfe des Tools könnt ihr Apps und dessen Services an der Sammlung und Weitergabe eurer sensiblen Informationen hindern. Im Oktober 2015 hat Marcel »NetGuard« veröffentlicht. Eine Android Firewall, die ohne Root-Rechte auskommt und den Internetverkehr von ausgewählten Apps blockieren kann.
In der Vergangenheit hatte ich bereits über eine Firewall (NoRoot Firewall) für die Android-Plattform berichtet, die ohne Root-Rechte auskommen. Seitdem sind weitere Firewall-Apps im Play Store erschienen, die auf einem ähnlichen Prinzip aufbauen. Leider ist keine der dort angebotenen Apps wirklich empfehlenswert. Denn gerade an Software die für mehr Sicherheit und auch Datenschutz sorgen soll, stelle ich hohe Anforderungen. Ist die App bspw. nicht quelloffen, so ist das ein klares Ausschlusskriterium.
NetGuard hingegen ist eine Firewall, die ohne Root-Rechte auskommt und der Quellcode bei GitHub von jedem einsehbar ist.
2. NetGuard
Update
05.11.2017: Zu NetGuard ist im Rahmen der Serie »Android unter Kontrolle« ein aktualisierter und umfangreicher Beitrag erschienen: NetGuard Firewall – Android unter Kontrolle Teil4Das Prinzip von NetGuard ähnelt anderen NoRoot-Firewalls. Auf dem Gerät wird lokal eine VPN-Schnittstelle erzeugt, durch die alle ankommenden und ausgehenden Datenpakete geschleust werden. Anhand der UID werden die Pakete anschließend einer App zugeordnet und entsprechend den Einstellungen in NetGuard entweder blockiert oder durchgelassen. Dazu solltet ihr wissen: Jeder Android-App wird vom System eine eindeutige ID (UID) zugewiesen und anschließend als separater Prozess ausgeführt.
Dieses Filterprinzip lässt leider keine fein-granulare Überwachung des Datenverkehrs zu. Eine adressbasierte Filterung nach IP-Adresse oder Port ist somit nicht möglich. Ihr könnt einer App den Internet-Zugriff also entweder erlauben oder komplett verbieten. Das vollständige Blockieren des Internetverkehrs von Apps kann folgende positive Auswirkungen haben:
- Reduzierter Datenverbrauch
- Gesteigerte Akkuleistung
- Verbesserung der Privatsphäre
Des Weiteren sind folgende Sonderfunktionen integriert:
- Erlaubter Internetverkehr für eine App, wenn das Gerät entsperrt ist
- Verhindern einer Datenverbindung bei Roaming
- Blockieren von System Apps
- Ihr könnt den Datenverkehr pro Netzwerkschnittstelle (WLAN, mobiles Netz, Roaming) komplett verbieten
Ihr bekommt NetGuard entweder im Google Play Store, bei F-Droid oder direkt auf der GitHub-Seite.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3. Fazit
Für alle Anwender, für die das Rooten des Geräts nicht in Frage kommt oder eine unüberwindbare Hürde darstellt, existiert nun endlich eine vernünftige Alternative. Es macht nämlich durchaus Sinn den Datenverkehr von Apps komplett zu verbieten – denn Android ist eine einzige Spionageplattform, die sich durch NetGuard wenigstens ein wenig bändigen lässt. Einziger und auch sehr bitterer Wermutstropfen: NetGuard funktioniert erst ab Android 5.0 (Lollipop). Eine Vielzahl von Anwendern kommt leider also erst nach einem möglichen Update auf Android 5.x in den Genuss der Firewall.
Wer tatsächlich wieder die Herrschaft und Kontrolle über seine Daten zurückerlangen möchte, dem kann ich nur zum wiederholten Mal das Projekt »Your phone – Your data« empfehlen – alles andere sind faule Kompromisse. ;-)
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
NetGuard Firewall – Android unter Kontrolle Teil4
NetGuard: Datenverkehr von Android-Apps filtern – Privatsphäre schützen
Magisk: Bei der Macht von Root – Take back control! Teil3
F-Droid und App-Alternativen – Android unter Kontrolle Teil3
Android Firewall ohne Root • NoRoot Firewall
15 Ergänzungen zu “NetGuard: Android Firewall ohne Root-Rechte”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Hi Mike,
danke für den Tipp mit Netguard. Habe die App ausprobiert und so einige Apps vom Internetzugriff komplett abgeschnitten. Dabei ist mir bei der Kontrolle des Netzverkehrs, den Netguard auch bietet, aufgefallen, dass manche App trotzdem eine Internetverbindung auftaucht. Zum Beispiel der Google Account Manager und das Google-Dienste Framework. Hast du evtl. eine Erklärung dafür?
Wenn Manage Sytem Application eingeschalet wird, denn können auch Google Account Manager & Co am Internetverkeher gehindert werden.
Das habe ich gemacht. Trotzdem sehe ich in der Ansicht der Netzzugriffe, die Netguard bietet (Netzwerkgeschwindigkeit und Top-Anwendungen zeigen), dass Google Account Manager und andere System-Apps, die ich eigentlich vom Netz abgeschnitten habe, immer wieder aufs Netz zugreifen. Oder sind das nur die Versuche, die hier angezeigt werden?
Hallo, dass der Herr Bockhorst auch an die Leute gedacht hat, die sich nicht trauen Ihr Smartpohne zu Rooten. Mit dem „SRT AppGuard“ kann man ja auch die Rechte einstellen (Natrülich wird die einzelne App quasi umgeschrieben) auf diesem Blog gab es ja schon einen Artikel dazu:
https://www.kuketz-blog.de/srt-appguard-datenschutz-fuer-android-teil5/
Kann man diesen SRT AppGuard denn zusätzlich zu NetGuard empfeheln ()für Leute die nicht Rooten möchten, oder nicht?
Leider absolut nicht empfehlenswert. Gerade bei Sicherheitssoftware sollte man sich von Closed Source fernhalten. Ich würde zumindest keiner Closed Source Firewall meinen Internetverkehr anvertrauen. Negativbeispiele hatte wir auch schon auf dem Blog:
Android: CM Security Update Schwachstelle
Die Entwickler kommen aus China – noch mehr Vertrauensbonus. ;-)
Von solcher »Malware« solltet ihr besser die Finger lassen. Insbesondere dann, wenn mit NetGuard eine Open-Source Alternative zur Verfügung steht.
Netguard ist sehr sehr empfehlenswert.
Läuft bei mir ohne Probleme auf einem S5.
Es ist eine Freeware. Der Autor hätte gern eine Spende von 4€.
Für diese App sollte man ruhig grosszügiger sein.
Kleine Korrektur. Bei Netguard handelt es sich um Open-Source. Jeder kann den Quellcode einsehen, daran mitwirken und die App auch selbst kompilieren. Die Lizenz ist: GNU General Public License version 3
Klar ist: Solche Apps sollten unterstützt werden. Damit Marcel keine »Zusatzkosten« hat bietet sich eine Spende per Überweisung an. Alle Infos dazu findet ihr auf der offiziellen Netguard-Seite: https://www.netguard.me/
…die Kompatibilitätseinschränkung Android 5+ hat mir dann doch hart den Abend versaut. ;)
Was für eine Alternative würdet ihr am ehesten für 4.4.2 (kein root) empfehlen?
Netguard funktioniert ab Android 4.0 steht im playstore in der längeren Beschreibung unten
Inwieweit ist denn Open Source eine Hilfe, wenn man die App aus dem Play-Store runterlädt? Man hat doch gar keine Möglichkeit zu beurteilen, ob die App im Store aus dem Source Code erstellt wurde.
Machen wir uns nichts vor, die meisten Android User werden wohl kaum auf GitHub gehen und sich ihre Apps selbst kompilieren. Von daher finde ich es gut, wenn NetGuard auch im Google Play-Store zu finden ist.
Und falls du der Quelle im Play-Store nicht traust, bist du frei die App selbst aus den Quellen zu kompilieren.
Ich nutze seit längerem „Firewall ohne Root“ in Kombination mit AFWall+ (normale Apps erhalten per AFWall+ nur Zugriff bei Nutzung per VPN)
Auf einem Android-5+-Gerät mußte allerdings die Beta-Version nutzen, da nur diese nicht regelmäßig beendet wurde(Ausnahme unter Standby wurde bereits hinzugefügt).
Kurzer Test mit Netguard überzeugte mich vor einiger Zeit nicht, da es schlichtweg abstürzte(Java-Exception o.s.ä), desweiteren störte mich für den Test, daß die wirklich interessanten Optionen nur in der Pro-Version verfügbar sind. Jedenfalls ließ ich es zwar erstmal installaliert, aber nicht aktiv.
Mit dem letzten Update wurde hier allerdings regelmäßig die weiterhin genutzte Beta-Version von „Firewall ohne Root“ beendet, was mich zum Deinstallieren zwang.
Test für mich also leider erstmal beendet. Könntest Du evtl. einen Test der Beta-Version von Firewall ohne Root durchführen? Die App listet sich übrigens auch selbst und versucht laut eigenem Log auch Verbindungen …
Es ist keine gute Idee zwei Firewalls laufen zu lassen. Das dabei Probleme auftreten, kann ich mir gut vorstellen. Die AFWall+ reicht vollkommen.
Einen Test von der »Firewall ohne Root« gibt es übrigens bereits.
Meine Empfehlung:
– Alle die ihr Android Gerät gerootet haben sollten die AFWall+ verwenden
– Alle ohne Root können auf die hier vorgestellte NetGuard Firewall zurückgreifen
– Alle restlichen Firewall-Apps im Google Play Store sind nach meinem Wissen nicht quelloffen – würde ich mir persönlich nicht installieren
Naja, leider kann nicht jede der beiden umfassend das, was ich wünsche, perfekt ist es auch im Zusammenspiel noch nicht.
bezüglich:
„Einen Test von der »Firewall ohne Root« gibt es übrigens bereits.“
Das ist aber die imho ältere Version, die andere trägt einen Beta-Schriftzug im Symbol – ja sicher gilt dafür auch Deine abschließende Empfhelung, was die Nicht-Installation betrifft.
AFWall+ läßt scih sicher an alles anpassen, aber dann leider nicht mit Unterstützung durch das GUI. Geld dafür habe ich ausgeben, meine, nach ausgiebigem Test war es das wert. Ebenso für Xprivacy. Netguard bekommt sicher auch nochmal eine Chance, aber primär wollte ich das in Zukunft per „richtigem“ VPN über einen Heimrechner lösen.
Parallel zur normalen Version von Netguard liegt auf dem Server mit den Sourcen doch noch ein anderer Zweig „netguard-openvpn“ – weißt Du dazu evtl. Näheres?
Durch die Pro-Version, die man nur mithilfe des Google-Play Stores freischalten kann, kann man einzelne Apps die Internetverbindungen zu bestimmten Ip-Adressen reglementieren.