NetGuard Firewall – Android unter Kontrolle Teil4

1. Türvorsteher für AppsNetGuard

Im dritten Teil unserer Artikelserie »Android unter Kontrolle« haben wir euch den F-Droid Store vorgestellt, der insbesondere dem kritischen Anwender eine Alternative zu den »datenhungrigen« Apps aus dem Play Store bietet. Wer es schafft seine Bequemlichkeit zu überwinden, der findet für viele bekannte Apps Alternativen, die den »Originalen« in nichts nachstehen.

Wer für seine »Lieblingsapp« aus dem Google Play Store allerdings keine Alternative findet, der wird nicht umhinkommen, einen Teil seiner Apps weiterhin aus dem Play Store zu beziehen. Da mit den Apps aus dem Play Store vielfach auch ein »Kontrollverlust« einhergeht, wollen wir euch im vorliegenden Beitrag aufzeigen, wie ihr diesen minimieren könnt.

Nach unserer Auffassung ist die selbstbestimmte Nutzung eines Android-Smartphones nur mit Hilfe einer Firewall möglich. Vor 10-20 Jahren sollten uns Firewalls primär vor den »Gefahren« von außen schützen. Dieser primäre Einsatzzweck von Firewalls hat sich jedoch zunehmend gewandelt. Firewalls auf Client-Systemen dienen nunmehr vermehrt der Überwachung und Kontrolle ausgehender Datenverbindungen.

Im vorliegenden Beitrag wollen wir euch daher die Android-Firewall NetGuard vorstellen, die ohne Root-Rechte auskommt und in der Lage ist, den unkontrollierten Abfluss von Informationen unseres Android-Systems und insbesondere der Apps aus dem Google Play Store zu minimieren.

Dieser Beitrag ist Teil einer Artikelserie:

2. NetGuard

Der Entwickler hinter NetGuard ist kein Unbekannter in der Android-Szene. Marcel Bokhorst hat bis vor zwei Jahren den »Privacy Manager« XPrivacy entwickelt. Seit Oktober 2015 entwickelt Marcel nun die quelloffene Android-Firewall NetGuard, die für unser Projekt einen essentiellen Bestandteil darstellt. Denn die App erlaubt auch ohne Root-Rechte, wie sie bspw. für die Firewall AFWall+ notwendig sind, die Überwachung und Kontrolle ausgehender (App-)Datenverbindungen. Es ist uns nämlich nach wie vor ein großes Anliegen, dass auch Nutzer von nicht gerooteten Geräten in gewisser Weise die »Herrschaft und Kontrolle« über die eigenen Daten und die Datenflüsse zurückerlangen.

Da wir unser Gerät nicht rooten wollen / können, schränkt dies unsere Handlungsmöglichkeiten naturgemäß ein. Denn wir müssen uns im Rahmen der u.a. von Google festgelegten »Spielregeln« bewegen. Damit wir nun den externen Datenverkehr von unserem System und den darauf installierten Apps auch auf nicht gerooteten Geräten kontrollieren können, müssen wir zu einem kleinen »Taschenspielertrick« greifen. NetGuard erzeugt lokal auf dem Gerät eine VPN-Schnittstelle, durch die alle ankommenden und ausgehenden Datenpakete geschleust werden. Anhand der eindeutigen App-UID werden die (Netzwerk-)Pakete anschließend einer App zugeordnet und entsprechend den Einstellungen in NetGuard entweder blockiert, durchgelassen oder zusätzlich gefiltert. Der Trick besteht demnach darin, jeglichen Datenverkehr durch das von NetGuard erzeugte VPN zu schleusen – nur so bekommt die App Einblick in den ein- und ausgehenden Datenverkehr und ihr letztendlich dann die Möglichkeit, ungewollte Datenflüsse zu unterbinden.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Vorteile der Nutzung

Auch wenn es viele Leser vermutlich schon erahnen, möchten wir kurz die Vorteile aufzeigen, die mit einer korrekt eingestellten NetGuard-Firewall einhergehen. Wenn ihr Apps den Zugriff auf das Internet komplett oder partiell verbietet, dann kann dies eine positive Ausstrahlwirkung in unterschiedliche Bereiche entfalten:

  • Reduzierter Datenverbrauch: Das Öffnen, Verbinden und Schließen von (App-)Verbindungen zu Servern im Internet bedeutet zwangsläufig, dass Daten versendet und empfangen werden. Während dies im heimischen WLAN aufgrund einer Flatrate für die meisten vermutlich zu verschmerzen ist, zeichnet sich bei der Nutzung der mobilen Daten oftmals ein anderes Bild. Die wenigsten Nutzer leisten sich heute eine mobile Flatrate, die nicht nach wenigen GB gedrosselt wird. Wenn wir aber mit NetGuard ausgehende (App-)Verbindungen blockieren bzw. filtern, so wirkt sich dies insgesamt positiv auf den Datenverbrauch aus – wer will seine mobilen Daten schon der Einblendung von Werbung oder der Nachverfolgung durch Tracker »opfern«?
  • Gesteigerte Akkulaufzeit: Das ständige Auf- und Abbauen von Netzwerkverbindungen erzeugt Prozessorlast, die über die Zeit den Akku leert. Wenn wir die ständige und oftmals auch unnötige Kommunikation von Apps mit Hilfe von NetGuard einschränken, kann dies einen positiven Effekt auf die Laufzeit einer Akkuladung haben – wer verzichtet schon freiwillig auf 1 bis 2 Stunden längere Laufzeiten bei seinem Smartphone?
  • Verbesserung der Privatsphäre: Ein großer Nachteil der überwiegend proprietären Apps, die sich im Google Play Store befinden, ist die mit ihrer Proprietät verbundene Intransparenz der Datenverarbeitung. Denn bei diesen proprietären Apps wissen wir nicht und können es auch oftmals nicht überprüfen, was sie eigentlich (ohne unser Wissen) so anstellen. Eine weitere Problematik von proprietären Apps ist die oftmals schwer überprüfbare »Überwachung« des Nutzers durch Tracker- und Werbemodule. Wenn wir es mit NetGuard allerdings schaffen, einen Großteil der (App-)Verbindungen zu Trackern und Werbenetzwerken zu unterbinden, dann kann sich dies positiv auf unsere Privatsphäre auswirken.

2.2 Unterschiedliche Versionen

NetGuard ist nicht gleich NetGuard – es existieren unterschiedliche Versionen, die sich in ihrem Funktionsumfang erheblich unterscheiden. Für unser Projekt »Android unter Kontrolle« nutzen wir eine Version, die sich weder über den Google Play Store, noch einem anderen Store beziehen lässt – sozusagen eine »Special Edition«, die aufgrund einer zusätzlichen Ad-Blocking Funktion nicht im Play Store angeboten werden darf. Die Unterschiede auf einen Blick:

  • Basis-Version: In der Basis-Version, die im Play Store angeboten wird, lassen sich keine Werbung oder Tracker blockieren – dies verstößt nämlich gegen das Geschäftsmodell von Google. Die Basis-Version implementiert daher »nur« die Firewall-Funktionalität.
  • Pro-Version: In der Basis-Version ist NetGuard für unsere Bedürfnisse nicht ausreichend, erst die Pro-Version schaltet jene Funktionen frei, die für unser Projekt essentiell sind. NetGuard bietet unterschiedliche Pro-Funktionen an, die ihr als In-App-Kauf entweder einzeln erwerben könnt oder als Gesamtpaket. Zu den Pro-Funktionen zählen unter anderem die Protokollierung des Netzwerkverkehrs und die feingranulare Filterung von Verbindungen auf IP-Adressebene.
  • Ad-Blocking-Version: Für unser Projekt beziehen wir NetGuard allerdings nicht aus dem Play Store und nutzen auch nicht die In-App-Kauffunktion. Wir laden NetGuard (stable) direkt von der GitHub-Seite als fertig kompiliertes APK herunter – Alternativ besteht auch die Möglichkeit, NetGuard über F-Droid zu beziehen. Im Gegensatz zur Play-Store-Version können wir damit zusätzlich Werbung und Tracker über Filterlisten blockieren – eine Funktion, die Google natürlich nicht gerne sieht, weil darüber auch von Google ausgelieferte Werbung blockiert werden kann.

Im letzten Teil der Serie haben wir euch noch darauf hingewiesen, dass wir den Google Play Store für den Erwerb einer Pro-Lizenz für die NetGuard-Firewall benötigen. Das hat sich nun geändert. Wir benötigen den Google Play Store nicht mehr für die Freischaltung der Pro-Funktionen, wie ich auf Nachfrage bei Marcel erfahren habe:

If you purchases one or more pro features through the Play store, they will be connected to your Google account. As developer I have no control over Google purchases at all.

You can acquire a pro license by donating. This license is not connected to your Google account, but connected to your device. If you don’t donate the minimum, I will general allow multiple licences for multiple devices. See here for the donation options: https://www.netguard.me/. If you donate by using PayPal, you’ll get sent activation instructions automatically, else please contact me after donating.

Das bedeutet: Wenn ihr nicht gerade das Minimum von 5€ spendet, könnt ihr die Pro-Funktionen für mehrere Geräte (über dieses Formular -> NetGuard donation) freischalten – und zwar unabhängig vom Play Store. Wenn ihr also vollständig auf den Play Store verzichten möchtet / könnt, ist dieser Weg für euch sicherlich die empfehlenswerte Variante.

Hinweis

Die Ad-Blocking-Version mit allen Pro-Funktionen könnt ihr übrigens auch dann herunterladen und nutzen, wenn ihr die Lizenz(en) über In-App-Käufe (Google Play Store) freigeschaltet habt. Der Lizenz-Check erfolgt dann allerdings über den Play Store, weshalb ihr bestimmte Verbindungen nicht blockieren solltet.

3. NetGuard-Konfiguration

Nachdem ihr die aktuelle (stable) Version von NetGuard über die GitHub-Seite heruntergeladen und installiert habt, solltet ihr alle Pro-Funktionen über eine Spende (PayPal, Bitcoin oder Banküberweisung) an Marcel freischalten. Alternativ könnt ihr auch eure bestehende Lizenz nutzen, die ihr über den Play Store erworben habt. Ihr könnt die Ad-Blocking-Version also auch dann herunterladen und installieren, wenn ihr eure Lizenz bzw. Pro-Funktionen über In-App-Käufe freigeschaltet habt.

NetGuard vollständig zu überblicken und alle Funktionen zu beherrschen, stellt zunächst eine nicht zu unterschätzende Herausforderung dar. Vermutlich werden wir es in unserer Darstellung nicht schaffen, alle potenziell aufkommenden Fragen abschließend zu beantworten bzw. euch eine vollständige Anleitung über die Bedienung dieser komplexen App an die Hand zu geben. In unserer Ausführung werden wir auf die wichtigsten Funktionen eingehen und die elementaren Einstellungen von NetGuard besprechen.

Hinweis

Bevor ihr eure Fragen per E-Mail oder Kommentarfunktion stellt, solltet ihr einen Blick in die Frequently Asked Questions (FAQ) werfen, die Marcel ständig aktualisiert. Aus unserer Sicht werden dort eine Vielzahl von Fragen beantwortet, auf die ihr bei der Nutzung und den Umgang mit NetGuard stoßen werdet.

3.1 Die ersten Einstellungen

Bevor wir NetGuard starten, aktivieren wir zunächst ein paar Optionen und ändern die Standardkonfiguration. In der Standardkonfiguration ist der Internet-Zugriff zunächst für alle Apps erlaubt und auch sonst wird keine zusätzlich (Paket-)Filterung vorgenommen. Würden wir NetGuard in seiner Standardkonfiguration belassen, würden wir auf eine Menge sinnvoller Optionen verzichten, die uns bei der Überwachung und Kontrolle ausgehender (App-)Datenverbindungen unterstützen. Wie bereits dargestellt werden wir nur jene Einstellungen ansprechen, die nach unserer Auffassung essentiell sind. Ihr könnt diese Einstellungen als Vorlage nehmen oder individuell ganz eigene benutzen.

Über die drei Punkte erreichen wir die Einstellungen. Dort selektieren wir zunächst die »Standardeinstellungen« und aktivieren folgende Häkchen:

Standardeinstellungen

Mit diesen Einstellungen entscheiden wir uns für den White-List-Ansatz. Dabei wird zunächst der gesamte Datenverkehr blockiert, sowohl im WLAN als auch im Mobilfunknetz. Demzufolge dürfen alle Apps, bei denen der Zugriff nicht erlaubt ist, auch nicht nach »außen« kommunizieren. Dieser Ansatz erfordert Disziplin und kann anfangs frustrierend sein, da zunächst alle Verbindungen blockiert werden.

Anschließend öffnen wir die »erweiterten Optionen« und aktivieren folgende Häkchen:

Erweiterte Optionen

Durch die Aktivierung der Optionen können wir System-Apps ebenfalls kontrollieren, den Internetzugriff von Apps protokollieren, erhalten eine Benachrichtigung, wenn Apps versuchen (neue) Verbindungen herzustellen und ganz wichtig: Wir können den Datenverkehr von Apps filtern.

Wenn wir das Optionsmenü wieder verlassen, lässt NetGuard (im White-List-Modus) standardmäßig folgende vier Verbindungen zu:

  • Google Backup Transport: Dieser Service ermöglicht es, eure Daten aus Android-Apps (inklusive Einstellungen) auf Google-Servern zu sichern. Wenn ihr euer Gerät bspw. auf Werkeinstellungen zurücksetzt, können die App-Daten darüber wiederhergestellt werden.
  • Google Play-Dienste: Die Google Play-Dienste sind unter anderem für die Nutzung des Google Play Stores erforderlich. Aber auch Push-Nachrichten von Apps werden über diese Systemkomponente abgebildet, weshalb der Zugriff standardmäßig erlaubt ist.
  • NetGuard: Die NetGuard-Firewall hat eine integrierte Update-Check-Funktion (lässt sich deaktivieren). Zweimal pro Tag wird auf GitHub nach einer neuen Version gesucht und diese nach Freigabe durch den Nutzer heruntergeladen und installiert.
  • root: Der »Root-Service« wird unter anderem für die Auflösung von DNS-Namen benötigt. Würde man ihn blockieren, so würde Android bzw. Apps, nach dem Ablauf des DNS-Caches, keine weiteren Verbindungen initiieren können.

3.2 Ad- und Tracker-Blocking

Google verbietet im Play Store das Bereitstellen von Apps, die dazu »missbraucht« werden könnten, innerhalb Chromes oder anderer Google-Komponenten / -Services Werbung zu blockieren. Das ist auch der Grund, weshalb die Ad-Blocking-Funktion in der Play-Store-Version von NetGuard nicht integriert ist und wir uns die App direkt über GitHub / F-Droid herunterladen.

Das Blockieren von Werbung und Trackern funktioniert nach einem Prinzip, das wir bereits beim Pi-Hole kennengelernt haben. Auf Basis einer Liste werden Verbindungen zu Servern, die Werbung oder ähnliches ausliefern, auf DNS-Ebene blockiert. Nutzt ihr die Ad-Blocking-Funktion, so wird bspw. die Adresse »werbung.server1.de« mit der internen Liste abgeglichen. Kommt es zu einem Treffer, wird anstatt der Werbung nichts ausgeliefert – die Übersetzung in die korrekte IP-Adresse wird also von NetGuard unterdrückt. Die Folge: Die Werbung kann nicht von der eigentlichen Quelle bzw. IP-Adresse nachgeladen werden. Anstatt der Werbung sieht der Nutzer einen Platzhalter bzw. einfach nichts. Ein einfaches Prinzip, das die Werbung noch vor der Auslieferung – ja sogar noch vor der Übersetzung in die IP-Adresse – blockiert.

Voraussetzung für das Blockieren von Werbung und Trackern innerhalb Apps ist die Option »Datenverkehr filtern«, die wir bereits aktiviert haben. Über das Optionsmenü rufen wir den Unterpunkt »Sicherung« auf und tippen dort auf »Hosts-Datei herunterladen«. NetGuard wird anschließend eine vorkonfigurierte Liste mit knapp 50.000 Einträgen herunterladen, die auf StevenBlack Hosts-Liste basiert.

AdBlocking

Um die Funktion des AdBlockers zu prüfen, ruft ihr anschließend die Testseite https://www.netguard.me/test auf:

AdBlock Test

Ab sofort werden Werbung und Tracker beim Surfen oder auch innerhalb Apps gefiltert / blockiert. Das funktioniert aber natürlich nur dann, wenn sich der Werbe- bzw. Trackinganbieter in der Liste befindet und die Auflösung des Servers via DNS erfolgt (also bspw. nicht über fixe IP-Adressen).

Hinweis

Nach der Aktivierung bzw. dem Herunterladen der Liste kann es aufgrund des Android-DNS-Caches bis zu 10 Minuten dauern, bis Werbung und Tracker blockiert werden.

3.3 Umgang mit Ad-Block-Listen

Anbei ein paar zusätzliche Informationen bzw. Tipps im Umgang mit Ad-Block-Listen:

  • NetGuard verarbeitet Standard-Listen im TXT-Format. Bitte verwendet keine Listen in anderen Formaten wie bspw. RAW (*.bin Dateien)
  • Für NetGuard macht es vom Akkuverbrauch als auch von der Performance keinen Unterschied, ob man Blocklisten mit wenigen oder vielen Einträgen verwendet. Alle Domains werden nach dem Einlesen in einer Hash-Table abgelegt
  • Als Blocklisten empfehle ich entweder die StevenBlack-Hostfile oder die EnergizedProtection-Liste »Blu Go«
  • Es ist nicht möglich, für einzelne Apps eine Ausnahme zu erstellen. Wird eine Domain geblockt, dann gilt das für alle Apps. Ein Ausweg ist nur die Blockliste zu bearbeiten bzw. eine andere zu wählen
  • Innerhalb von NetGuard könnt ihr sehen, wenn eine Werbe- bzw. Trackingdomain blockiert wird. Das funktioniert über Pünktchen -> Protokoll anzeigen. Haltet dort Ausschau nach Verbindungen mit dem Typ qtype 1 und qtype 28
  • Die Ad-Block-Liste aktualisiert sich leider nicht automatisch, dies müsst ihr hin und wieder manuell anstoßen.

Und noch eine Anmerkung von Marcel Bokhorst (Entwickler von NetGuard):

A block list is always a best effort because marketing companies obviously do not contribute to it.

This means that block lists are not perfect and can block addresses that shouldn’t be blocked. Larger hosts files will result in a higher risk of falsely blocked addresses and are therefore not necessarily better, on the contrary.

Steven Black’s host file is IMHO a good compromise between several factors and therefore this is used as default for NetGuard. False blocks are rare with the hosts file, but occasionally happen.

4. NetGuard-Regelsätze

Nach einer Erstinstallation von NetGuard steht ihr vor der Herausforderung, zu entscheiden, welche Apps tatsächlich Internetzugriff benötigen bzw. bekommen sollten. Weiterhin gilt es vermeintliche Abhängigkeiten von Apps zu ihren »Helper-Apps« aufzulösen, um diesen gegebenenfalls auch den Zugriff nach »außen« zu erlauben. Bei der Gestattung und dem Vergeben von Zugriffsberechtigungen können wir euch nur ans Herz legen, eher einen harten, strengen Kurs einzuschlagen. Ihr solltet deshalb nur den Apps Internetzugriff gestatten, wenn dieses auch wirklich notwendig ist – zum Beispiel dem Update-Service eures Android-Systems.

Ihr werdet schnell feststellen, dass einige Apps nur dann korrekt funktionieren, wenn die entsprechenden »Helper-Apps« ebenfalls Zugriff auf das Internet bekommen. Erfahrungsgemäß werdet ihr insbesondere bei Apps mit Video- oder Audioinhalten auf erste Schwierigkeiten stoßen, da einige Android-Apps hierfür die Systemkomponente »Medienserver« benötigen. Erst nachdem dieser Helper-App ebenfalls der Internetzugriff erlaubt ist, kann die Darstellung bzw. Wiedergabe von Video- und Audioinhalten gelingen. Da wir die Funktion »bei Internetzugriff benachrichtigen« innerhalb NetGuards aktiviert haben, sollte euch die Identifikation von Helper-Apps einfacher fallen.

Wir sind leider nicht dazu in der Lage, jede individuelle (Android-)Konfiguration abzubilden. Daher beschränken wir uns auf die Darstellung von drei unterschiedlichen Grundkonfigurationen, die häufig anzutreffen sind. Diese könnt ihr dann individuell erweitern bzw. jenen (Helper-)Apps / Systemapps den Zugriff auf das Internet erteilen, die auch tatsächlich benötigt werden.

NetGuard arbeitet mit verschiedenen Symbolen. Deren Verständnis ist für die nachstehende Konfiguration der Regelsätze wichtig. Tippt oben rechts auf die drei Punkte und wählt den Punkt »Legende«. Macht euch zunächst kurz mit den Symbolen vertraut.

Legende

4.1 Mit Google Play Store / Play-Diensten

Sofern ihr weiterhin den Google Play Store nutzen möchtet, müsst ihr folgenden (System-)Apps den Zugriff auf das Internet erlauben:

  • Google Play Store
  • Google Play-Dienste
  • Download-Manager

Wenn ihr dem »Google Play Store« den Zugriff gestattet, werdet ihr feststellen, dass NetGuard automatisch weiteren (Helper-)Apps den Zugang erlaubt. Ausgehend von den vier Regelsätzen, die NetGuard (im White-List-Modus) automatisch erlaubt, ergibt sich die folgende Grundkonfiguration:

Play Store

4.2 Google minimal inklusive F-Droid

Eingehende Benachrichtigungen von Apps werden häufig über den Push-Service (FCM) ausgeliefert. Wer dies für seine Apps benötigt, der sollte zumindest den Google Play-Diensten den Zugriff zum Internet gestatten, sich aber gleichzeitig vor Augen führen, welche Daten Google über euch und euer System darüber erfassen kann. Da die Google Play-Dienste in der NetGuard-Standardkonfiguration bereits freigeschaltet sind, müssen wir eigentlich nichts weiter tun – auch nicht dem Service »Google Backup Transport« den Zugriff auf das Internet entziehen. Aufgrund von Abhängigkeiten würden wir mit einer Sperrung auch den Google Play-Diensten den Zugriff auf das Internet entziehen.

Möchten wir Apps über den alternativen App-Store F-Droid installieren, müssen wir folgende (System-)Apps zusätzlich freigeben:

  • Download-Manager
  • F-Droid

Wenn ihr also weiterhin Push-Nachrichten via Play-Dienste empfangen wollt und Apps über F-Droid beziehen wollt, ergibt sich die folgende Grundkonfiguration:

Play-Dienste

4.3 Kein Google inklusive F-Droid

Die von uns favorisierte Variante sieht vor, (fast) jegliche Verbindungen zur »Datenkrake« Google zu kappen. Es ist nämlich wirklich erschreckend, welche Daten Google von euch / uns sammelt. Der Captive Portal Check wird von NetGuard allerdings nicht unterbunden – diesen müsst ihr manuell deaktivieren.

Ausgehend von den automatisch vergebenen Regelsätzen von NetGuard, müssen wir für unser drastisches Vorgehen folgenden zwei Apps den Zugriff auf das Internet entziehen:

  • Google Backup Transport
  • Google Play-Dienste

Möchten wir Apps über den alternativen App-Store F-Droid installieren, müssen wir folgende (System-)Apps zusätzlich  freigeben:

  • Download-Manager
  • F-Droid

Wer Google also komplett den Rücken kehren möchte / kann und seine Apps ausschließlich aus dem F-Droid Store bezieht, für den ergibt sich die folgende Grundkonfiguration:

F-Droid

Hinweis

An dieser Stelle müssen wir allerdings erneut darauf hinweisen, dass ihr (System-)Updates regelmäßig einspielen solltet. Es kann daher notwendig sein, dass ihr, insbesondere auf Google-Geräten, bestimmte Verbindungen zu Google freigeben müsst, um zeitnah Updates für euer System zu erhalten. In diesem Zusammenhang möchten wir nochmal auf die Update-Problematik bei Android hinweisen. Wir sollten bei unserem Vorhaben nämlich nicht aus den Augen verlieren, dass ein aktuelles Gerät mindestens genauso wichtig ist, wie etwas mehr Kontrolle und Privatsphäre.

Zusätzlich sollte unter Einstellungen -> Erweiterte Optionen der NetGuard-Verbindungstest angepasst werden. Standardmäßig prüft NetGuard auf eine bestehende Internetverbindung über die Adresse www.google.com:

Validate at: www.google.com

Passt dies auf eine Adresse an (bspw. eigener Server, E-Mail-Provider etc.), die wenig bis gar keine Ausfälle zu verzeichnen hat bzw. immer gut erreichbar ist.

5. NetGuard in Aktion

Ausgehend von diesen drei Grundkonfigurationen könnt ihr anschließend euren Apps bzw. weiteren (System-)Services den Zugriff auf das Internet gestatten und via NetGuard filtern. An einem Beispiel möchten wir euch kurz demonstrieren, wie ihr mit NetGuard ungewollte (App-)Verbindungen gezielt unterbinden bzw. filtern könnt. Die Filterung dieser ungewollten Verbindungen wirkt sich positiv auf die eingangs dargestellten Punkte aus:

  • Reduzierter Datenverbrauch
  • Gesteigerte Akkulaufzeit
  • Verbesserung der Privatsphäre

Nochmal zur Erinnerung: Ein großer Teil der überwiegend proprietären Apps, die sich im Google Play Store befinden, ist mit Tracker- und Werbemodulen geradezu zugepflastert – das zeigt die lesenswerte Analyse »Was hat es mit den Modulen in Android Apps auf sich?«. Wer sich und seine Privatsphäre (einigermaßen) vor diesen Drittanbietern schützen möchte, der hat im Grunde drei Optionen:

  • Verzicht: Vollständiger Verzicht auf die Apps, die im Google Play Store angeboten werden. Dies ist für viele Nutzer wenig praktikabel und dennoch möchten wir euch nochmal dazu anregen, einen Großteil eurer Apps ausschließlich aus dem F-Droid Store zu beziehen. Wie ihr die F-Droid App bedient und welche App-Alternativen es gibt, haben wir euch bereits im Beitrag »F-Droid und App-Alternativen – Android unter Kontrolle Teil3« aufgezeigt.
  • Freikaufen: Viele App-Entwickler bieten über Pro-Versionen oder via In-App-Käufe die Möglichkeit, Werbung und Tracker nach Erwerb einer Lizenz oder Ahnlichem, zu deaktivieren. Das halten wir für eine unterstützenswerte Variante, um die App-Entwicklung zu honorieren. Wie die Erfahrung zeigt, kann man sich von Werbung bzw. insbesondere Trackern häufig nicht vollständig »freikaufen« – wer bspw. die BILD-App bezahlt, erhält dafür keine Werbe- oder Trackingfreie App. Trotz dieser Ungewissheit möchten wir euch dazu ermutigen, Apps, die euch gefallen, entsprechend zu honorieren – falls euch die Möglichkeit dazu angeboten wird. Ob sich die App-Entwickler anschließend an ihr Versprechen halten, könnt ihr mit NetGuard kontrollieren.
  • Gegenwehr: Wer aus privaten oder beruflichen Gründen auf diverse Play-Store-Apps nicht verzichten kann / will und auch die Entwickler der App keine Möglichkeit anbieten, um das Tracking und die Werbeeinblendung zu reduzieren, der sollte Gegenmaßnahmen gegen die unliebsamen Drittanbieter ergreifen. Mit NetGuard habt ihr das entsprechende Werkzeug zur Hand. Über die integrierte Ad- und Tracking-Blockierfunktion könnt ihr einen Großteil der Drittanbieter bereits zuverlässig »ausschalten«. Wir zeigen euch im Folgenden noch eine zusätzliche Möglichkeit, um den Datenverkehr von Apps über NetGuard zu filtern.

Hinweis

Wer sich einmal einen Eindruck davon verschaffen möchte, was sich so manche in den Stores angebotene Apps hinter unserem »Rücken« erlauben, der kann gerne mal einen Blick auf Mikes App-Rezensionen auf mobilsicher.de werfen. Während herkömmliche App-Rezensionen meist Funktionalität oder Nutzen einer App beleuchten, liegt der Fokus bei den von Mike veröffentlichten Rezensionen bewusst darauf aufzuzeigen, was sich bei einer App-Nutzung, unsichtbar, im Hintergrund des Smartphones so alles abspielt.

5.1 Wetter-App filtern

Nachdem ihr euch für eine Grundkonfiguration entschieden habt, könnt ihr NetGuard zum ersten Mal über den Schalter aktivieren:

Aktivierung

Anschließend werden euch zwei Hinweisfenster eingeblendet, die ihr beide bestätigen solltet und damit die Erlaubnis erteilt, dass NetGuard ein lokales VPN erzeugt, über das im Anschluss sämtliche (App-)Verbindungen fließen.

In unserem Beispiel haben wir eine Wetter-App gewählt, der wir im ersten Schritt den Zugang zum Internet erlauben. Anschließend starten wir die App und bekommen von NetGuard die ersten Hinweise, dass die App »Internetzugriff« versucht hat:

Internetzugriff

Nachdem wir uns das aktuelle Wetter angeschaut haben, wechseln wir zu NetGuard, tippen dort auf die App und scrollen zu »Zugriffsversuche«. Unter Zugriffsversuche werden alle ausgehenden Verbindungsversuche der App protokolliert – auch jene, die bereits über die Werbe- bzw. Trackingliste blockiert werden. Das ist etwas ungünstig, weil wir nicht wissen, welche Drittanbieter bereits von der Liste erfasst werden und welche wir zusätzlich blockieren sollten. Wenn ihr einen Drittanbieter identifiziert habt, könnt ihr einer App folgendermaßen die Datenübertragung verbieten bzw. filtern:

Tippt für eine Sekunde mit dem Finger auf die gewünschte Verbindung. Anschließend erscheint ein Pop-Up bei dem ihr »Sperren« selektiert:

Zugriff sperren

Im vorliegenden Beispiel haben wir alle Verbindungen manuell deaktiviert, die zur Funktionserbringung der App – also der Darstellung der Wetterdaten – nicht notwendig sind:

Zugriffversuche

Beim Filtern von Verbindungen stellt sich selbstverständlich die Frage, welche (App-)Verbindungen sind notwendig und welche können via NetGuard gefiltert werden. Insbesondere für ungeübte NetGuard-Nutzer ist diese Frage nicht einfach zu beantworten, denn jede App ist individuell. Werfen wir doch einfach mal einen Blick auf die Drittanbieter, die wir im Beispiel gesperrt haben und zur Einblendung der Wetter-Informationen nicht benötigt werden:

  • facebook.com: Das soziale Netzwerk wird in die meisten Apps integriert. Wer allerdings kein Facebook benutzt oder gar die Wetterinformationen auf Facebook mit seinen »Freunden« teilen möchte, der kann die Verbindung getrost filtern.
  • matchinguu.com: »Master of mobile marketing«. Also entweder Tracking, Werbung oder beides – können wir filtern.
  • adjust.com: »The Mobile Measurement Company«. Auch hier entweder Tracking, Werbung oder beides – auch diese Verbindung können wir filtern.
  • tiqcdn.com: »Tealium is an American company that sells enterprise tag management and marketing software« – auch diese Verbindung können wir filtern.
  • iaom.de: »Das Skalierbare Zentrale Messsystem (SZM) dient der Ermittlung statistischer Kennwerte zur Nutzung einer Internetseite sowie zur Ermittlung von anonymen Nutzungsprofilen« – also ein Tracker, den wir filtern können.
  • gstatic.com / googleapis.com: Beide Adressen gehören zu Google. App-Entwickler binden häufig Bibliotheken oder Skripte ein, die bei Google gehostet werden. In unserem Beispiel funktioniert die Wetter-App auch ohne den Zugriff auf diese Ressourcen.

Das Beispiel demonstriert, wie Nutzer im Hintergrund getrackt und ausgemessen werden, obwohl sie nur aktuelle Wetterinformationen haben möchten. Das dies auch ganz ohne Tracking geht, zeigt die App vom Deutschen Wetterdienst (DWD).

Bei der Filterung von (App-)Verbindungen können wir euch abschließend nur ans Herz legen, eher einen harten, strengen Kurs einzuschlagen. Es wird kein Weg daran vorbei führen, dass ihr euch mit den Verbindungsversuchen einer App auseinandersetzt und analysiert, welche Drittanbieter eingebunden sind.

5.2 Zusätzliche Werbefilterung (Google Ads)

Über die in NetGuard integrierte Filterliste (StevenBlack Hosts-Liste) wird ein Großteil der Werbung und Tracker bereits herausgefiltert. Wem das nicht genug ist, kann die Filterliste entweder selbständig erweitern / pflegen oder mit etwas Bastelarbeit verschiedene Listen (bspw. Pi-Hole als Vorbild) aggregieren und zu einer großen zusammenfügen.

Es gibt allerdings noch einen weiteren Weg, um (Google-) In-App-Werbung mit Hilfe von NetGuard zu filtern, den wir euch kurz vorstellen möchten. Unter »erweiterte Optionen« haben wir die dafür notwendigen Häkchen (Internetzugriff protokollieren und Datenverkehr filtern) bereits aktiviert. Was ihr jetzt noch tun müsst, ist Folgendes:

  • Ermöglicht Apps, die ihr aus dem Google Play Store heruntergeladen habt, den Zugriff auf das Internet und benutzt sie für eine Weile.
  • Während der App-Nutzung werdet ihr feststellen, dass diverse Verbindungen zu Werbe- und Trackinganbietern protokolliert werden.
  • Was viele nicht wissen: Die meiste (In-App-) Werbung bei (Stock-) Android-Systemen wird über Google Doubleclick ausgeliefert – genauer gesagt über die Adresse »googleads.g.doubleclick.net/443«. Diese Adresse wird innerhalb NetGuards allerdings nicht bei den Apps selbst erfasst, sondern bei den Google Play-Diensten.
  • Innerhalb von NetGuard sucht ihr den Eintrag Google Play-Dienste und öffnet die protokollierten Zugriffsversuche. Auf die Verbindung »T4/T6 googleads.g.doubleclick.net/443« tippt ihr für eine Sekunde mit dem Finger und lasst den Eintrag wieder los. Es erscheint dann ein Pop-Up bei dem ihr »Sperren« selektiert.
  • Findet ihr den Eintrag »T4/T6 googleads.g.doubleclick.net/443« nicht, dann nutzt ihr entweder keine Apps, die Werbung über Google Doubleclick ausliefern, oder habt die App(s) noch nicht lange genug benutzt.

Nach diesem kleinen Eingriff wird keine (In-App-) Werbung mehr über Google Doubleclick ausgeliefert.

Hinweis

Dieser Eingriff ist natürlich nur dann notwendig, wenn ihr den Google Play-Diensten den Zugriff auf das Internet erlaubt habt und euch gegen die Verwendung der NetGuard-Ad-Blocking Funktion entschieden habt. Wer sich vollständig von Google »losgesagt« hat und damit die Google-Dienste via NetGuard blockiert hat, der wird diesen Vorgang ebenfalls nicht durchführen müssen.

6. Das Problem mit dem zusätzlichen VPN

Der Preis den ihr für NetGuard bezahlt: Die VPN-Schnittstelle des Androiden ist dauerhaft belegt und keine weiteren VPN-Verbindungen (bspw. Firmennetzwerk oder nach Hause) möglich. Dennoch kommt häufig die Frage auf, ob es denn nicht dennoch möglich ist, ein weiteres VPN zu schalten. Die Kurzantwort: Theoretisch schon, in der Praxis nicht.

Dazu die FAQ von NetGuard – (2) Can I use another VPN application while using NetGuard?:

If the VPN application is using the VPN service, then no, because NetGuard needs to use this service. Android allows only one application at a time to use this service.

NetGuard is a firewall application, so there is no intention to add VPN support. However, NetGuard supports a SOCKS5 proxy to chain VPN applications.

Leider gibt es keine mir bekannte VPN-App, die einen SOCKS5-Proxy unterstützt. Bevor der systemeigene Android VPN-Dienst existierte, unterstützten nahezu alle VPN-Anwendungen einen SOCKS5-Proxy – heute leider nicht mehr. Alle VPN-Apps nutzen den VPN-Service von Android und unterliegen damit der Beschränkung, die nur Google aufheben könnte.

Man kann NetGuard allerdings mit dem Tor-Netzwerk kombinieren. Wie sinnvoll das im Einzelfall ist, muss jeder für sich selbst entscheiden. Generell ist davon eher abzuraten. Dennoch möchte ich kurz aufzeigen, wie der Datenfluss in Kombination mit einem SOCKS5-Proxy aussieht:

Datensendende App-> Android VPN-Dienst -> NetGuard -> SOCKS5-Proxy -> Internet

Ohne den SOCKS5-Proxy ist der Datenfluss wie folgt:

Datensendende App-> Android VPN-Dienst -> NetGuard -> Internet

7. Fazit

NetGuard ist ein überaus mächtiges Werkzeug, um den ungewollten Abfluss von Informationen von unserem Smartphone zu verhindern / reduzieren. Uns war es deshalb ein besonderes Anliegen, die Firewall ausführlich vorzustellen. Es sollte nämlich durch unsere vorstehenden Ausführungen deutlich werden, dass App-Anbieter oftmals vollkommen intransparent Tracker- und Werbemodule integrieren, die sensible Daten von unserem Gerät erfassen und (ungewollt) übermitteln.

Mit NetGuard könnt ihr (System-)Apps den Zugang auf das Internet nun komplett verbieten oder so feingranular steuern, dass nur jene Verbindungen aufgebaut werden, die zur Funktionserbringung der App benötigt werden. Unliebsame Drittanbieter bleiben so außen vor.

Im letzten Teil der Artikelserie »Android unter Kontrolle« werden wir auf Android-Systemeinstellungen wie die Geräteverschlüsselung eingehen und aufzeigen, welche Einstellungen ihr zur Steigerung eurer eigenen Sicherheit und Privatsphäre vornehmen solltet.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

48 Ergänzungen zu “NetGuard Firewall – Android unter Kontrolle Teil4”

  1. Comment Avatar Rolf sagt:

    Im Moment bin ich hin und her gerissen was das Thema Netguard angeht.
    Seit einiger Zeit läuft bei mir zu Hause ein Pi-Hole und mein Android verbindet sich mit OpenVPN zum Pi-Hole. Dadurch besteht auch unterwegs zumindest ein Grundschutz.

    Allerdings bauen trotzdem immer wieder Apps Internetverbindungen auf, die eigentlich im Internet nichts zu suchen haben. Mit Netguard könnte ich diese weiter eingrenzen, allerdings würde ich die Filterfunktion von Pi-Hole unterwegs verlieren, da OpenVPN und Netguard nicht parallel genutzt werden kann.

    Also Pi-Hole oder Netguard?

    • Comment Avatar Mike Kuketz sagt:

      Aus den FAQ:
      NetGuard is a firewall application, so there is no intention to add VPN support. However, NetGuard supports a SOCKS5 proxy to chain VPN applications.

      Vielleicht also als Bastellösung möglich.

    • Comment Avatar Peter sagt:

      Zu Hause im WLAN eindeutig Pi Hole und für die Mobilverbindungen NetGuard.
      Ich habe diese Config schon lange im Einsatz, allerdings bis vor Kurzem die ‚Firewall ohne Root‘ statt Netguard.

  2. Comment Avatar thomas sagt:

    Wer auf einige Apps aus den PlayStore NICHT verzichten möchte, der kann auch den yalp-Store aus F-Droid nutzen.

    Damit lassen sich alle Playstore Apps installieren. Leider ist das eine rechtliche Grauzone.

  3. Comment Avatar Stephan sagt:

    Wie sieht es denn mit Updates aus. Benachrichtigt NetGuard, wenn es eine neue Version gibt? Oder muss man regelmäßig die Seite aufsuchen um das selbst heraus zu finden?

  4. Comment Avatar Sebastian sagt:

    Wie sicher sind denn die Downloads der APKs direkt von der Github Seite? Ich habe leider keine Checksum oder ähnliches gefunden, um zu überprüfen ob die Datei nicht manipuliert worden ist.
    Oder ist so etwas bei Github eher unwahrscheinlich?

    Gerade bei so machtvoller Software wie Netguard möchte ich doch ungern manipulierte APKs auf mein Handy laden.

  5. Comment Avatar Sato sagt:

    Ich habe mir die Pro-Version schon vor 2 Monaten zugelegt aber doch bei Seite gelegt, da die Einstellungen zu kompliziert erschienen. Daher bedanke ich mich fuer diese Anleitung.
    Jedoch finde ich im Menu »Hosts-Datei herunterladen« nicht. Wie erhalte ich die Hosts ?

    Unter „Sicherung“ gibt es nur Einstellungen import und export als Auswahl…..

  6. Comment Avatar Rolf sagt:

    Ich habe mich nun doch für NetGuard und gegen PiHole über OpenVPN entschieden. NetGuard bietet ja auch den DNS-Filter (wenn auch mit nur einer Liste) aber dafür noch deutlich mehr andere Features.

    Was mich im Artikel ein wenig wundert: Warum wird bei 5.1 ein Blacklisting-Ansatz verwendet? (Oder verstehe ich den Abschnitt falsch?) Ich habe es gerade mit einer anderen Wetter-App ausprobiert:

    1.) Netguard aktivieren und alle Verbindungen blockieren
    2.) WetterApp starten -> versucht einen Internetaufbau, bekommt aber keine Verbindung
    3.) Netguard-Benachrichtigung öffnen und bei den Zugriffsversuchen heraussuchen, welcher Aufruf „sinnvoll“ erscheint. In diesem Fall: api-app.wetter(whatever).de/443. Damit bleibt ioam, facebook, amazon-adsystem und was sich sonst noch alles in der App tummelt gesperrt.

    Für wetter(whatever).de und die o2-App hat dies sehr gut funktioniert. Und es bleibt der Whitlisting-Vorteil. Es können keine Verbindungen durchrutschen.

    Noch eine Kleinigkeit bei der ich mir allerdings nicht sicher bin:

    Unter Zugriffsversuche werden alle ausgehenden Verbindungsversuche der App protokolliert – auch jene, die bereits über die Werbe- bzw. Trackingliste blockiert werden. Das ist etwas ungünstig, weil wir nicht wissen, welche Drittanbieter bereits von der Liste erfasst werden und welche wir zusätzlich blockieren sollten

    Die Liste der Zugriffsversuche zeigt orange und grüne Einträge an. Sind nicht die Einträge in orange, die gesperrten Zugriffsversuche? Ich sehe zumindest bei vielen Apps (z.B. Amazon), obwohl diese einen „Vollzugriff“ haben, gefilterte Einträge. Und diese habe ich nicht manuell eingetragen.

    • Comment Avatar Mike Kuketz sagt:

      Was mich im Artikel ein wenig wundert: Warum wird bei 5.1 ein Blacklisting-Ansatz verwendet? (Oder verstehe ich den Abschnitt falsch?)

      Ja ist der Blacklist-Ansatz. Ich wollte den auch mal aufzeigen. Jetzt im Nachhinein finde ich aber, dass der Whitelist-Ansatz auch hier dargestellt werden sollte. Ändere ich vielleicht noch.

      Die Liste der Zugriffsversuche zeigt orange und grüne Einträge an. Sind nicht die Einträge in orange, die gesperrten Zugriffsversuche? Ich sehe zumindest bei vielen Apps (z.B. Amazon), obwohl diese einen „Vollzugriff“ haben, gefilterte Einträge. Und diese habe ich nicht manuell eingetragen.

      Rot/Orange sind gesperrte Zugriffe. Man sieht aber nicht, ob die durch die Filterliste gesperrt wurden.

  7. Comment Avatar Icke sagt:

    Danke für den tollen Beitrag, gleich in die Tat umgesetzt.Alles läuft prima ohne Probleme.
    Da ich auf den Google-Account und Playstore verzichte nutze ich zum Download von apk.-Dateien: „de.uptodown.com“ als Playstoreersatz.

  8. Comment Avatar Izzy sagt:

    Wer die Github Version und automatische Updates möchte, kann NetGuard auch mit dem F-Droid Client aus meinem Repo beziehen. Wer dem Link mit dem Web-Browser folgt bekommt dort auch angezeigt:

    * welche Bibliotheken/Module die App verwendet
    * das Scan-Ergebnis von VirusTotal

    Beides jeweils per APK Datei. Die „üblichen Verdächtigen“ (AntiFeatures) sieht man übrigens auch mit dem F-Droid Client selbst.

    Kurzer aktueller Hinweis: Aufgrund von Inkompatibilitäten kann mein Repo derzeit nicht mit der aktuellsten F-Droid Client Version (1.* – also diesem kunterbunten Teil, das fast wie der Playstore aussieht) genutzt werden. An der Behebung des Problems wird natürlich bereits gearbeitet.

  9. Comment Avatar Tilo sagt:

    Hallo,

    wollte NetGuard gerade wie im Artikel beschrieben einrichten, aber die Punkte „Internetzugriff protokollieren“ und „Bei Internetzugriff benachrichtigen“ sind bei mir auagegraut und mit „Diese Funktion ist in dieser Android Version nicht verfügbar“ markiert. Außerdem sind unter „Pro-Funktionen“ die Punkte „Protokoll des blockierten Verkehrs anzeigen“ und „Netzwerkverkehr filtern“ mit Nicht verfügbar markiert.

    Ich habe ein Nexus 5X mit CopperheadOS (Android 8.0.0) und habe es mit der 2.146 stable und der 2.148 probiert, beide über die Github Seite.

  10. Comment Avatar Steinar sagt:

    Ganz toller Beitrag und super App. Habe sie gleich gekauft und nun in Verwendung.
    Die Möglichkeiten, die einem geboten werden sind wirklich umfangreich. Für jeden der sich mit dem Thema Datenschutz beschäftigt und gerne kontrolliert, was auf dem Smartphone passiert, nur zu empfehlen.

    Danke auch für die vielen anderen tollen und informativen Beiträge auf diesem Blog.

  11. Comment Avatar Robert sagt:

    Hallo,

    du hast vor ein paar Wochen die Firewall AFWALL+ für Android hier vorgestellt. Diese hab ich bei mir installiert und läuft auch ganz gut (außer die Costum-Skripts) Welche Firewall würdest du jetzt empfehlen? Netguard oder afwall+ für ein gerootetes Android-Handy?

    • Comment Avatar Mike Kuketz sagt:

      Beide sind empfehlenswert. Es hängt individuell vom Nutzer ab. Bei NetGuard lässt sich einiges mehr über die GUI beeinflussen. Bei AFWall+ gibt es die Custom Scripts Option. Anfängern und Fortgeschrittenen würde ich NetGuard empfehlen. Den Nerds und Profis wohl AFWall+.

  12. Comment Avatar Anonymous sagt:

    Habe über Spende ein Upgrade auf die Pro-Version erhalten, dazu ist die aktuelle github-Version notwendig.

    Um alle Funktionen vollumfänglich zu erfassen dauert es noch ein wenig, bin sehr begeistert über den Funktionsumfang von Netguard. Genau das richtige für Leute, die ihr Smartphone aus vielerlei Gründen nicht rooten können/ wollen.

    Fazit: Absolute Kaufempfehlung!

    Großes DANKE an alle Beteiligten.

  13. Comment Avatar Micha sagt:

    Hallo zusammen,
    Zunächst vielen!! Dank für die Infos hier, auf mobilsicher und auch bei Izzy!

    Ein Hinweis: NetGuard sollte beim Doze-Modus von Android ausgenommen werden (siehe FAQ). „Make sure you have put NetGuard on the doze exception list (Android 6 Marshmallow or later) and that Android allows NetGuard to use the internet in the background “

    Ich habe einige Fragen zur Version und Funktion, versuche mich möglichst kurz zu halten:

    Situation: Galaxy A3 2017, bislang ohne Sim und ohne jemals Internet genutzt zu haben. Hersteller-Android 6, Android 7 steht laut web-Quellen aber schon zur Verfügung

    Fragen zur Version von NetGuard:

    Vermeidung von AdMob und Bankdatenweitergabe:
    1) Ist die Nutzung von Version 2.44 (letzte apk in F-Droid mit Stand von 2016 -> Hat laut xda-Kommentaren von Juli 2016 kein AdMob (ab 2.45 drin) und sendet keine Analysedaten Heim (war bis 2.43 der Fall)) auf Android 6 bzw. evtl. sogar 7 empfehlenswert? Hier wäre garantiert, dass nicht durch ein Update AdMob oder ähnliches plötzlich doch wieder aktiv ist. Man könnte sich auf die „F-Droid-geprüfte“ alt-Version verlassen. Auch müsste man nicht mit persönlichen Daten eine Spende machen. Falls dies nicht empfehlenswert ist, welchen Weg der Spende für die aktuelle Pro-Version empfehlt Ihr? (Bitcoin und Paypal habe ich bislang noch nie genutzt. Spenden mit persönlichen Daten…naja, meine Bankdaten würde ich i.d.R. einem APP-Anbieter nicht geben sogar Karten für Play-Store im Einzelhandel sind z.B. anonym – was für mich aber nicht in Frage kommt, da ich ja ohne Google sein will)

    2) Marcel hat beim Post zur neuesten Beta angekündigt, dass NetGuard nicht mehr mit XPosed funktioniert und er evtl. die Weiterentwicklung einstellt: https://forum.xda-developers.com/showpost.php?p=74401658&postcount=5633 -> Ist die Funktionsfähigkeit von NetGuard im Falle fehlender Weiterentwicklung so gut implementiert, dass man es weiterhin nutzen würde?

    3) Marcel erwähnt „Sentry“, was ist eure Meinung zur Nutzung dieses nicht weiterentwickelten Tools? https://forum.xda-developers.com/showpost.php?p=74401658&postcount=5633

    • Comment Avatar Mike Kuketz sagt:

      1.) Nein. Alt und nicht supportet. Bitte immer die aktuelle Version nutzen. – Welche Spendenvariante du bevorzugst können und wollen wir dir nicht vorschreiben / empfehlen. ;-)
      2.) NetGuard funktioniert gut. Aber es wäre ein Rückschlag, wenn Marcel die Entwicklung einstellt. Wir hoffen es nicht. Dass NetGuard nicht mehr mit XPosed funktioniert ist aus meiner Sicht kein Beinbruch.
      3.) NetGuard arbeitet auf Basis eines lokalen VPNs. Sentry nicht, was es aus unserer Sicht nicht empfehlenwert macht. Alle (App-)Daten werden an einen Anbieter gesendet und erst dort gefiltert.

  14. Comment Avatar Anonymous sagt:

    Hallo,
    Die Beschreibung der verschiedenen Appvarianten spezifiziert nicht, ob die Github-Version auch AdMob enthält.

    Sprich kann man die Githubversion unter Verzicht auf die Pro-Funktionen ohne AdMob und ohne sofort anfallende Kosten antesten?

  15. Comment Avatar Anonymous sagt:

    Was hat es mit folgendem Kommentarabschnitt auf sich:

    „Welcher Durchschnittsanwender ahnt nach Installation und Inbetriebnahme, dass es da noch ein „predefined rules set“ gibt, das über die Oberfläche nicht einsehbar/veränderbar ist? Wo findet sich eine Beschreibung für Laien, diese Regeln mit Bordmitteln zu bearbeiten? Eine Firewall, die mehr oder weniger heimlich manche Verbindungen doch erlaubt, obwohl in der Oberfläche „alles blockiert“ angezeigt [wird]“

    1. Kennt jemand die beschriebene Eigenschaft – was und warum passiert das?
    2. Ist das kritisch? Welcher Art sind die Internetverbindungen?
    3. Und wie kann ich das verhindern? – Gibt es da eine Anleitung?

    Eine entsprechende Einschätzung durch den Kommentator oder Herrn Kuketz würde mir sehr helfen. Der obiger Kommentar ist wichtig für die Meinungsbildung; Er erschüttert jedoch deutlich mein Vertrauen in die Software.

    Vielen Dank im Voraus!

    • Comment Avatar Mike Kuketz sagt:

      Es handelt sich um den Captive Portal Check, der lässt sich auf Non-Root nicht unterbinden bzw. sinnvoll umleiten.

      Ich erinnere nochmal an eines der Ziele der Serie:

      Eine größtmögliche Kontrolle über die eigenen Daten

      Volle bzw. mehr Kontrolle gibt es nur mit gerooteten Geräten und Custom-ROMs.

  16. Comment Avatar Anonymous sagt:

    Hallo, meine Frage wäre:
    Ist das auf F-Droid angebotene DNS66 in seiner Funktion mit NetGuard vergleichbar?

  17. Comment Avatar Pax sagt:

    Besten Dank für die Anleitung Herr Kuketz!

    Gibt es eine Möglichkeit global oder lokal zu blockieren? Ich möchte z.B. Google-Verbindungen von WhatsApp blockieren (z.B. android.clients.google.com), aber dann habe ich das Problem, dass plötzlich youtube.de im Browser blockiert wird, weil die Regeln global angewendet werden. Vielleicht liegt es auch an meiner Android Version 4.4.3 ?

    Gruß Pax

    • Comment Avatar Mike Kuketz sagt:

      NetGuard ist ab Android 5.1 freigegeben.

    • Comment Avatar Jedermann sagt:

      Gibt es eine Möglichkeit global oder lokal zu blockieren?

      Die Bezeichnungen global und lokal passen nicht ganz, die Problembeschreibung klingt nach Konfigurationsfehler bzw. nicht zusammen hängenden Effekten.

      Blockaden sind möglich
      – per Schnittstelle (WLAN, WAN/mobiles Internet, LAN, Tethering)
      – per App (in der normalen Ansicht)
      – per Domainname (Filterung aktivieren, zu filternde Domains in der hosts.txt eintragen)

      Vielleicht liegt es auch an meiner Android Version 4.4.3 ?

      Bis Version 2.143 bzw. 2.145 läuft NetGuard auch unter Kitkat, einfach im Web suchen.

  18. Comment Avatar Udo sagt:

    Hallo,
    unter Miui ist AfWall+ leider nicht wirklich brauchbar. Weiß jemand ob das bei NetGuard anders ist? Bei Miui ist ja die Sicherheitsapp vorhanden und da mir Miui so ganz gut gefällt, würde ich sehr gerne NetGuard zusätzlich anwenden.

  19. Comment Avatar Anonymous sagt:

    Herzlichen Dank. Seit dem neuen Handy ohne root funzt AfWall nicht mehr, nun endlich eine Alternative.

    Das Einrichten verläuft tatsächlich mühsam, auch wenn der Artikel es einfacher macht.

    Man ist erstaunt was alles so aufgerufen wird, so baut WhatsApp ne Verbindung zum ungarischen und japanischen Amt für Innovation und Technologie raus (zumindest laut der IP).

    Probleme habe ich bisher nur bei Signal. Da werden teilweise Bilder/Videos SEHR langsam oder gar nicht gesendet. Obwohl Signal vollen Zugriff hat. Da muss etwas anderes dahinter stecken. Habe gerade den Medienspeicher freigegeben, scheint jetzt besser zu sein.

    So, nun Geld überweisen und die Pro kaufen damit ich einzelne Verbindungen blockieren kann. Imho ein MUSS. Und Menschen für gute Arbeit bezahlen sollte man auch ;-)

  20. Comment Avatar Mario sagt:

    Hallo,

    Ersteinmal Sehr Toller Blog.

    Ich habe leider das Problem bei Netguard das nichts Protokolliert wird weder unter den einzelnen Apps noch noch unter Protokoll Anzeigen .

    Pro Version von Marcel und Github.

    Das Gerät ist ein Samsung S8+

    Habe alles so gemacht wie hier Beschrieben und auch Deinstallieren und neu Installieren brachte keinen Erfolg.

    Sonst Funktioniert alles auch der Test https://www.netguard.me/test ist Positiv und Werbung wird auch in Apps blockiert aber es will mir einfach nichts Protokollieren .

    Vielleicht hat jemand einen Tipp.

    Danke

    Gruß

    • Comment Avatar Steve sagt:

      Bei Samsung-Geräten muss der „Energie-sparen“-Modus aus sein, dann funktioniert es mit dem Protokollieren! Steht auch auf der Github-Seite.

      Problem geklärt, danke!

  21. Comment Avatar Jedermann sagt:

    Vielleicht ist dieser Artikel genau zum richtigen Zeitpunkt erschienen, um zu verdeutlichen, wie sich Sicherheitssoftware in kurzer Zeit wandeln kann: Die Änderungen bei NetGuard in den letzten zwei Wochen und vor allem die Begründungen dazu empfinde ich schon als Hammer. Hier noch mal herausgegriffen:

    NetGuard 2.140 vom 22.10.2017 ist die letzte Version , in der man die Netguard-App selbst vom Internet-Zugriff blockieren konnte.

    NetGuard 2.145 vom 27.10.2017 ist die letzte Version, die unter Android 4 (Kitkat) läuft.

    NetGuard 2.147 vom 28.10.2017 ist die letzte Version, die läuft, wenn man (ehemals) Xposed installiert hat.

    NetGuard 2.148 vom 04.11.2017 ist die letzte Version, die unter Android 5.0 läuft (seither nur ab 5.1).

    NetGuard 2.156 vom 09.11.2017 ist die letzte Version, die sich selbst in der Liste anzeigt (wenngleich immer für den Internetzugriff freigegeben)

    Und bitte jetzt mal vergleichen, was von den vielen Änderungen im September/Oktober noch für Laien im Changelog auffindbar ist: https://github.com/M66B/NetGuard/releases

    Ich kann nur empfehlen, immer zumindest auch die letzten Dutzend Seiten von https://forum.xda-developers.com/android/apps-games/app-netguard-root-firewall-t3233012 zu lesen, bevor man NetGuard aktualisiert. Die Einschätzung des Entwicklers, was richtig, gut und erforderlich ist, auf die die Anwender angewiesen sind, deckt sich zu häufig nicht mit meiner Einschätzung.

  22. Comment Avatar Janilis sagt:

    Danke für die Erläuterungen zu Netguard. Hat sehr geholfen und der Akku im Note 8 hält auf Anhieb länger. Habe bis vor kurzem mit dem Note 2 und XPrivacy gearbeitet und habe mich sehr über das Auffinden von Netguard gefreut und diese Anleitung hier hat sehr geholfen. Habe auch gespendet und von Github geladen funzt super.

  23. Comment Avatar UfO sagt:

    Vielen Dank für den Artikel!
    Habe mir gleich die App besorgt, gespendet und inzwischen alles halbwegs konfiguriert.
    Bin bis jetzt begeistert!

  24. Comment Avatar Anonymous sagt:

    Hallo Mike Kuketz,
    auch von mir vielen Dank für den Artikel und die enthaltenen Informationen.
    Da der Artikel vom 02.11.2017 stammt würde mich eine Einschätzung zu den letzten Versionen von NetGuard interessieren. Insbesondere geht es um die „Kontaktaufnahme“ zu Google seit Version 2.156
    https://forum.xda-developers.com/showpost.php?p=74456670&postcount=5726

    • Comment Avatar Mike Kuketz sagt:

      Die Frage habe ich in einem anderen Kontext schonmal beantwortet, hier also nochmal:

      Es handelt sich um den Captive Portal Check, der lässt sich auf Non-Root nicht unterbinden bzw. sinnvoll umleiten.

      Ich erinnere nochmal an eines der Ziele der Serie:

      Eine größtmögliche Kontrolle über die eigenen Daten

      Volle bzw. mehr Kontrolle gibt es nur mit gerooteten Geräten und Custom-ROMs.

  25. Comment Avatar Micha sagt:

    Hallo zusammen,
    heute wurde bekannt, dass Google die Standortdaten von Android (ohne GPS) seit Januar 2017 sammelt. Dies soll angeblich aber noch im November aufhören. (Quellen z.B.: https://www.golem.de/news/android-google-bekommt-standortdaten-auch-ohne-gps-aktivierung-1711-131269.html

    Weiß hier jemand, ob wir das in NetGuard unterbinden können?

    Viele Grüße und Danke

    • Comment Avatar Mike Kuketz sagt:

      Ich habe mich diesbezüglich schon auf dem Microblog geäußert: Android: Google sammelt Standortdaten trotz Widerspruch

      Dieser Übermittlung lässt sich nur dann entkommen, wenn die Ziffer 4.3 umgesetzt ist.

      • Comment Avatar Micha sagt:

        Danke für die Antwort und den Hinweis auf den Microblog, die Unterscheidung zum eigentlichen Blog habe ich vorher nicht beachtet und nur den Blog auf Neuigkeiten gecheckt.

        Da ich aktuell kein Root machen will (auch weil ich dann eine Root-Datei von zweifelhaften Entwicklern/unbekannten Personen nutzen müsste), Wäre mein Ansatz der aus 4.3.
        Der Verlinkte Microblog zusammen mit der Antwort hier ist für mich leider nicht eindeutig:
        Microblog-Aussage: „Dagegen hilft nur ein Custom-ROM…“
        Hier: „Dieser Übermittlung lässt sich nur entkommen [mit 4.3]“

        -> Falls ich das falsch verstehe, bitte gerne darauf hinweisen, aber der Microblog besagt, dass 4.3 eben nicht ausreicht (für die Cell IDs)? -> Dass die weiteren Aspekte wie Captive Portal Check usw. durch 4.3 nicht abgedeckt werden ist mir klar.

        Bezüglich 4.3: Die Apps Backup-Transport und Google-Dienste habe ich auf meinem Gerät deaktiviert, somit nehme ich an, dass dies mindestens so gut ist, wie das Blockieren. Das in den aktuellen Berichten genannte Firebase ist ja anscheinend Teil des Systems, zumindest finde ich keine eigenständige „Firebase-App“.

        ->Ist dieses Firebase somit Teil von Google-Dienste oder noch tiefer im System und somit nicht durch meine Lösung deaktivierbar?

        -> Vorschlag/Anregung: Vielleicht kann man die Cell-ID-Sammlung und die 2016 festgestellte Metadatensammlung irgendwie mit NetGuard verhindern – z.B. indem man wie bei der Werbung entsprechende Google-Server in der Werbe-Blacklist hinzufügt? Falls das geht, würde mich eine kurze Anleitung sehr freuen.

        Grüße und Danke für diesen Blog!

        • Comment Avatar Mike Kuketz sagt:

          Die Aussage auf dem Microblog war eher pauschal und vielleicht auch etwas zu knapp. Ich bin einfach davon ausgegangen, dass die wenigsten Leute den Netzwerkverkehr durch eine Firewall reglementieren.

          Mit NetGuard lässt sich diese Datenerhebung im Grunde unterbinden. Dazu müsste man aber wissen, welche Adresse genau angefunkt wird und welche App oder Systemservice auf Android dafür zuständig sein soll. Das geht aus dem Artikel leider nicht hervor.

          Was ich vermute:
          – Wenn ihr es wie in 4.3 darstellt macht, werden die Infos nicht übermittelt, weil dann die relevanten Apps / Services blockiert sein sollten.
          – Es kann aber nicht schaden, herauszufinden, an welche Adresse Google diese Daten übermittelt, um dann die Gegenstelle in die Adblocking-Liste hinzufügt

          Ohne weitere Angaben von den Entdeckern dieser Datenübertragung wissen wir nur: Die »Wanze« steckt irgendwo in den GAPPS.

          Eine weitere Diskussion führt allerdings am Thema vorbei. Dazu bräuchten wir weitere Infos. Und nein, ich habe aktuell nicht die Zeit, mich durch die Kommunikation der GAPPS zu Google zu wühlen und das herauszufischen. ;-)

  26. Comment Avatar Anonymous sagt:

    Unter ‚Einstellungen‘ > ‚Erweiterte Optionen‘ tauchen zwei Einträge mit ‚VPN-DNS‚ auf.

    Wenn ich eine mobile Datenverbindung habe, stehen dort bei mir 139.7.30.126 und 139.7.30.125 (beides sind Vodafone DNS).
    Wenn ich über WLAN surfe ist die erste eine 192.168.er-Adresse und führt zur Fritz-Box, die zweite lautet 8.8.4.4 und führt damit zum Google Public DNS!

    Sehe ich das richtig, dass ich nur in beiden Verbindungsmodi (mobil+WLAN) die Einträge ändern brauche, und schon laufen sämtliche DNS-Abfragen z.B. über unzensierte und freie DNS-Server ohne Protokollierung vom Chaos Computer Club oder Digitalcourage?

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.