Jaký firewall na bonzující androidy

android leax

Jaký firewall na bonzující androidy
« kdy: 26. 11. 2017, 21:43:44 »
Poradíte, jak nastavit android, aby neodesílal gps data, i když jsem to zakázal? Omlouvám se za jednoduchá dotaz, mám od včera android telefon a předtím jsem se o dotykové a android mobily nezajímal.

Jaký firewall do androidu, které podobné práskání a volání domů odchytí? Slyšel jsem názory android odboráníků, že prý antiviry pro android "z podstaty" nemohou fungovat (jako že asi běží v sandboxu, tak buď ve svém sandboxu vir neuvidí (dle mého úsudku např že kalkulačka odesílá telefonní čísla), nebo pokud vir napáchá globální škody jako např. že komunikace na nějaké servery bude evidentně podvržená, tak s tím stejně nic neudělá ), zajímalo by mě to, jestli se to týká i firewallů.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jaký firewall na bonzující androidy
« Odpověď #1 kdy: 26. 11. 2017, 22:20:39 »
Pokud to nemat rootnute, tak asi zadny. S rootem mozna neco k mani je.

aaaa

Re:Jaký firewall na bonzující androidy
« Odpověď #2 kdy: 26. 11. 2017, 23:01:24 »
Teoria: Android neodosiela GPS data, ide o nazvy zakladnovych stanic. Je to podla vyjadreni Googlu nechcena sucast Cloud Messaging, takze na zablokovanie by si musel blokovat Google Play services.

Prax: blokovanie Google Play services znamena, ze vela aplikacii prestane fungovat. Na blokaciu mozes tuto aplikaciu uplne zakazat (https://www.androidpit.com/google-play-services-what-is-it-and-what-is-it-for), zablokovat jej ciel na routeri alebo ked mas roota, tak jej obmedzit pristup priamo z mobilu.

Na blokaciu asi treba blokovat pristupy na porty 5228-5230 a komunikaciu na AS15169. Pozor, AS15169 je Google, takze nejaku zakladnu komunikaciu asi chces selektivne povolit. (https://firebase.google.com/docs/cloud-messaging/concept-options)

Jenda

Re:Jaký firewall na bonzující androidy
« Odpověď #3 kdy: 27. 11. 2017, 00:17:53 »
Flashnout tam čistý Android (LineageOS) bez Google Apps/Play. Pokud to LineageOS nepodporuje, tak okamžitě vrátit.

iiiiiiiiiiiiiiii

Re:Jaký firewall na bonzující androidy
« Odpověď #4 kdy: 27. 11. 2017, 12:44:46 »
Rootnuty mobil, idealne Lineage a AFWall+ a riadit sa radami vyssie.
V menu su uvedene samotne sluzby, takze staci kliknut na ano/nie/len na wifi. Tiez je tam white/blacklist.


Re:Jaký firewall na bonzující androidy
« Odpověď #5 kdy: 27. 11. 2017, 21:57:41 »
Poradíte, jak nastavit android, aby neodesílal gps data, i když jsem to zakázal? Omlouvám se za jednoduchá dotaz, mám od včera android telefon a předtím jsem se o dotykové a android mobily nezajímal.

Jaký firewall do androidu, které podobné práskání a volání domů odchytí? Slyšel jsem názory android odboráníků, že prý antiviry pro android "z podstaty" nemohou fungovat (jako že asi běží v sandboxu, tak buď ve svém sandboxu vir neuvidí (dle mého úsudku např že kalkulačka odesílá telefonní čísla), nebo pokud vir napáchá globální škody jako např. že komunikace na nějaké servery bude evidentně podvržená, tak s tím stejně nic neudělá ), zajímalo by mě to, jestli se to týká i firewallů.

Vůbec hlavní je, říct si, jakou úroveň ochrany soukromí očekáváte. Protože daleko bezprostřednější nebezpečí pro nás všechny je to, že naši polohu zná, a daleko přesněji, telefonní operátor. Ten už pak může data poskytnout buďto (zjednodušeně) státu, kde mohou uniknout skrz nezodpovědné lidi, nebo uniknout přímo od operátora.

Zneužití pro cílení reklamy není milé, ale je možné, že Vám zacílení reklamy bude vadit méně, než zmíněná rizika.

Osobně, ale to hovořím opravdu jen za sebe, mi zas až tolik cílená reklama nevadí a jsem rád, že se to řeší. Zneužití operátorem / státem / jejich zaměstnanci mě určitě trápí víc.

====

Zpět k Vašemu dotazu. Bez rootnutí žádný firewall nebude fungovat. S rootnutým telefonem to fungovat může, ale budete stát de facto před rozhodnutím, jestli na firewallu vypnete internet úplně, nebo povolíte jen určité adresy, nebo internet úplně povolíte. Firewall nedokáže vidět do dat a filtrovat jen informace o poloze. Nevíme, jakým formátem ta data odesílají, ani žádné další detaily. Patrně komunikace bude probíhat pod SSL, takže i když do dat uvidíte, tak už do zašifrovaných.

První zmíněná varianta je totožná s vypnutím datových přenosů (v telefonu, či rovnou u operátora).
Druhá varianta je možná, povolíte si jen adresy, kam chodíte (v praxi to nefunguje moc dobře, budete neustále aktualizovat nastavení firewallu).
Třetí varianta je akceptovat zmíněná rizika.

Re:Jaký firewall na bonzující androidy
« Odpověď #6 kdy: 27. 11. 2017, 22:00:48 »
Rootnuty mobil, idealne Lineage a AFWall+ a riadit sa radami vyssie.
V menu su uvedene samotne sluzby, takze staci kliknut na ano/nie/len na wifi. Tiez je tam white/blacklist.

Máte ověřeno, že problém Androidu nepřevzal i LineageOS?
AFWall, nejsem si jistý, neřeší jen data z aplikací, ale systému nenechává dveře otevřené?

To nepíši jako jízlivost, chci se dozvědět, jak to je, nemám energii to dohledávat či testovat.

txt

Re:Jaký firewall na bonzující androidy
« Odpověď #7 kdy: 27. 11. 2017, 22:26:57 »
Používá někdo na Androidu iptables? Než pracně konfigurovat neznámá řešení, raději použiju něco osvědčeného.

Re:Jaký firewall na bonzující androidy
« Odpověď #8 kdy: 28. 11. 2017, 07:11:57 »
Používá někdo na Androidu iptables? Než pracně konfigurovat neznámá řešení, raději použiju něco osvědčeného.

AFWall používá iptables; nic Vám nebrání je použít taky.
Zmíněný LineageOS má iptables zakompilované, pokud vím (opravte mě, kdo znáte z praxe).

Bude ale potřeba filtrovat hlavně NEW spojení směrem ven; to docela úspěšně používám na serverech (tam vím, jaká nová spojení potřebují otevírat), ale na koncovém zařízení to bude pro Vás opravdu zábavička :).

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Jaký firewall na bonzující androidy
« Odpověď #9 kdy: 28. 11. 2017, 08:39:33 »

Vůbec hlavní je, říct si, jakou úroveň ochrany soukromí očekáváte. Protože daleko bezprostřednější nebezpečí pro nás všechny je to, že naši polohu zná, a daleko přesněji, telefonní operátor. Ten už pak může data poskytnout buďto (zjednodušeně) státu, kde mohou uniknout skrz nezodpovědné lidi, nebo uniknout přímo od operátora.


Nejen, že operátor ty data zná, on je dokonce používá, analyzuje, pracuje s nimi, prodává je, staví na nich služby (zdravím všechny tři naše milé operátory).

Zatím to je v plenkách, ale to co jednotliví operátoři chystají je na zvracení, klasifikace uživatelů podle síťových dat a vzdálených serverů (v TCP/IP) jim není cizí. Schovávají do za síťovou analytiku a snaží se tím obejít Zákon na ochranu osobních údajů, sic pro marketing použijí jen to co mají, analyzují naprosto vše.

Hmmm

Re:Jaký firewall na bonzující androidy
« Odpověď #10 kdy: 28. 11. 2017, 09:06:01 »
Flashnout tam čistý Android (LineageOS) bez Google Apps/Play. Pokud to LineageOS nepodporuje, tak okamžitě vrátit.
To nic neriesi. Bez Google Apps/Play bude dost obmedzeny. A stahovat si appky z 3rd party... no diky.

Bamby

Re:Jaký firewall na bonzující androidy
« Odpověď #11 kdy: 28. 11. 2017, 14:03:54 »
Netguard no root required firewall.
https://github.com/M66B/NetGuard/releases

Jenda

Re:Jaký firewall na bonzující androidy
« Odpověď #12 kdy: 28. 11. 2017, 17:26:54 »
Bude ale potřeba filtrovat hlavně NEW spojení směrem ven; to docela úspěšně používám na serverech (tam vím, jaká nová spojení potřebují otevírat), ale na koncovém zařízení to bude pro Vás opravdu zábavička :).

Já jsem třeba zjistil, že jediný program, který potřebuje v podstatě libovolná spojení, je browser - všechny ostatní programy (mail, jabber, ssh, SIP, apt-get) mají jasně definováno, kam se mají připojovat. Na desktopu se to dá řešit tak, že se browser pustí pod separátním uživatelem a tomu se povolí všechno (iptables match UID) a ostatním jenom ty uvedené výjimky.

sarimak

Re:Jaký firewall na bonzující androidy
« Odpověď #13 kdy: 29. 11. 2017, 09:20:46 »
Ahoj, na Androidu (GT-I9300 a SM-P600) pouzivam nasledujici kombinaci:
- LineageOS bez Google Services Frameworku a s rootem a povolenymi neznamymi zdroji APK balicku (kazdy tyden aktualizovany, obsahuje velice cerstve bezpecnostni zaplaty od Googlu, root skoro nepouzivam, SW instaluju pres F-Droid a vyjimecne pres Yalp Store)
- PrivacyGuard (zabudovana vlastnost LineageOS, odebere prava typu presna poloha, beh na pozadi nebo cteni kontaktu jednotlivym aplikacim, vcetne systemovych)
- Zakazany pristup k datum pro vybrane aplikace (zabudovana vlastnost LineageOS, pristupna ze Settings/Apps/detail aplikace, lze zakazat i jen data na pozadi)
- NetGuard (opensource non-root VPN, odebere pristup k wifi/mobilnim datum jednotlivym aplikacim, vcetne systemovych)
- Firefox pro Android 57 s doplnky uBlock Origin (blokovani jednotlivych hostnames) a uMatrix (blokovani 3rd party zdroju natahovanych z jednotlivych domen) + dalsi (fake API pro browser fingerprinting, automaticke mazani cookies, lokalni cache pro skripty nacitane z CDN, vynucovani HTTPS, odstrnovani referer headeru)
- F-Droid (zdroj opensource SW; pro Firefox je nutne pridat neoficialni repozitar z Githubu - viz seznam repozitaru na webu F-Droidu)
- Yalp Store (opensource anonymizovany klient pro Google Play Store, stahne APK a nainstaluje ho, kontroluje aktualizace)
- jeste by se dal pridat AfWall+, ale momentalne ho nepouzivam (opensource konfigurator iptables pro jednotlive aplikace vcetne systemovych, vyzaduje roota)

Starsi verze (stock) Androidu (cca do 4.3) maji problem s NetGuardem - bud nejede vubec (chybi API pro userspace VPN), nebo vyzaduje krkolomne povolovani VPN pri kazdem restartu zarizeni (s tim, ze do te doby je system nechraneny).

j

Re:Jaký firewall na bonzující androidy
« Odpověď #14 kdy: 29. 11. 2017, 10:26:15 »
... je browser ... všechny ostatní programy ....
A ten zbytek si zavola ten browser a komunikuje pomoci nej.