Wis­sen Sie, was unter der Haube Ihres Smart­pho­nes alles vor sich geht? Ich weiss es nur bruch­stück­haft. Das Aus­mass mei­ner Unkennt­nis ist mir erst kürz­lich rich­tig bewusst gewor­den. Eine kleine Open-Source-App hat mir ange­zeigt, wie viele Ver­bin­dun­gen zu ver­däch­ti­gen Fremd­net­zen es wäh­rend einer Woche geblockt hat. Es waren mehr als 8’000 blo­ckierte Verbindungsversuche.

Blo­kada

Wenn man nun von 8’000 blo­ckier­ten Ver­bin­dungs­ver­su­chen liest, stellt sich die Frage, wer ent­schei­det, was zu blo­ckie­ren ist und wie über­haupt blo­ckiert wird. Benutzt habe ich Blo­kada. Blo­kada ist eine App, die sich zwi­schen Ihr Smart­phone und das Inter­net klemmt. Das Tool erstellt ein loka­les VPN und lässt dann ins­künf­tig alle lau­fen­den Apps über die­ses VPN kom­mu­ni­zie­ren. Blo­kada prüft jeweils, ob von einer Anwen­dung auf Ihrem Tele­fon eine Ver­bin­dung mit einer Adresse her­ge­stellt wird und ob diese Adresse auf einer schwar­zen Liste steht. Auf die­ser schwar­zen Liste ste­hen viele bekannte Adres­sen von Wer­bern, Tra­ckern, Ana­lys­ten und sons­tige Daten­kra­ken sowie Malware-Schleudern. 

Blo­kada sel­ber emp­fiehlt die Liste “ener­gi­zed blue”, die per 31.07.2019 232’839 Ein­träge ent­hält (man kann auch diverse andere gute Lis­ten aus­wäh­len). Die ener­gi­zed-blue-Liste nutzt ver­schie­dene Quel­len und wird gut gepflegt, damit es nicht zu over­blo­cking kommt.

Blo­kada kann für jedes aktu­el­lere Andro­id­ge­rät her­un­ter­ge­la­den und instal­lie­ren wer­den. Das Instal­lie­ren benö­tigt die Berech­ti­gung, Quel­len von aus­ser­halb des Google-Öko­sys­tems zu instal­lie­ren (“Unknown Sources”). Blo­kada ist ver­trau­ens­wür­dig, wes­halb das in Ord­nung geht. Es ver­wun­dert nicht, dass Blo­kada sich nicht im Google Play Store fin­den lässt. Schliess­lich blo­ckiert man damit die Ober­da­ten­krake Google gleich mit. Und das hat Google für den Play Store verboten.

Mit dem Instal­lie­ren von Blo­kada errei­chen Sie mit sehr wenig Auf­wand bereits einen recht guten “Grund­da­ten­schutz” für den Bereich, in dem Anwen­dun­gen auf Ihrem Tele­fon ohne Ihr Wis­sen nach Hause tele­fo­nie­ren. Wer ein iPhone hat, sucht übri­gens ver­ge­bens nach Blo­kada. Für iOS gibt es die App nicht.

Sys­tem­up­dates

Eine Grund­re­gel der IT-Sicher­heit: Patchen und Updaten Sie Ihre Sys­teme. Google hat in den ver­gan­ge­nen Jah­ren ver­schie­dent­lich auf Kri­tik aus Tech- und Daten­schutz­krei­sen reagiert und ver­bes­sert Android regel­mäs­sig, wenn Sicher­heits­pro­bleme auf­tre­ten oder eine ekla­tante Daten­schutz­ver­let­zung bekannt wird.

Den stets aktu­ells­ten Patch­le­vel erhält man im Moment ein­zig, wenn man ein Google-Gerät besitzt (zB eines der Pixel-Serie). Bei ande­ren Her­stel­lern kann man von gros­sem Glück spre­chen, wenn man nach dem Kauf ein­mal im Jahr ein Sys­tem­up­date erhält. Und die­ses grosse Glück dau­ert dann in aller Regel auch bloss zwei Jahre an. Danach heisst es sei­tens Her­stel­ler: “End of Life, keine Sys­tem­up­dates mehr”. Und man trägt fortan ein unsi­che­res Sys­tem im Hosen­sack herum. Das ist die trau­rige und an sich unhalt­bare Situa­tion im Moment.

Eine Alter­na­tive besteht in sol­chen Situa­tio­nen even­tu­ell darin, dass man sich eine cus­tom ROM auf den Gerä­ten instal­liert. Für den Nor­ma­luser, der mit dem Tele­fon kom­mu­ni­zie­ren will, etwas liest und mal ein Video schaut, ist das keine Lösung. Zuerst muss der Boot­loa­der frei­ge­schal­ten wer­den, dann muss man die ROMs flas­hen, sel­te­ner dann noch roo­ten etc. pp. Ganz abge­se­hen vom gan­zen Daten­trans­fer, den man machen muss, das erneute Ein­rich­ten aller Accounts und das Über­tra­gen der Ein­stel­lun­gen. Wer noch nie etwas von “ROM”, “boo­ten” oder “root” gehört hat, dem steht eine lehr­rei­che und zeit­auf­wän­dige Reise bevor. Ganz abge­se­hen von den nerv­li­chen Stra­pa­zen, falls man nicht wei­ter­kommt oder das geflashte ROM schlicht und ergrei­fend ver­bug­ged ist.

F‑Droid (oder: wie ver­meide ich den Google Play Store) 

Ein ganz zen­tra­les Stück Soft­ware auf einem Androi­ge­rät ist der Google Play Store. Der goog­le­ei­gene Store hat ver­schie­dene Vor­züge: Mal­ware ist eher sel­ten anzu­tref­fen, da mit ” Google Play Pro­tect” alle Apps gescannt und signiert wer­den (nament­lich APK Signa­tures). Der Play Store ver­fügt über die aktu­ells­ten ver­öf­fent­lich­ten Ver­sio­nen der Apps und sorgt dafür, dass diese Updates auch aus­ge­rollt wer­den. Wei­tere Vor­züge unter­schlage ich an die­ser Stelle ein­fach. Wer sich ein­le­sen will, dem emp­fehle ich die Arti­kel Secu­rity Best Prac­ti­ces und App­li­ca­tion Signing von Google resp. der Open Hand­set Alli­ance.

Der Nach­teil des Stock-Google Play Stores: Sie kön­nen ihn nicht ohne einen Google Account benut­zen. Zumin­dest nicht auf eine ein­fa­che Art und Weise. Bezahlte Apps las­sen sich zwar über Umwege (Open GApps, Yalp) instal­lie­ren, ins­ge­samt ist das aber nicht benut­zer­freund­lich. Man will ja nicht bas­teln, son­dern die App benut­zen. Google hat hier mit sei­nem Play Store eine Markt­macht geschaf­fen, die an das sei­ner­zei­tige Micro­soft Inter­net Explo­rer-Mono­pol erin­nert und es nach mei­ner Ein­schät­zung sogar über­trifft. Wann kommt hier eine Kar­tell­be­hörde hin­ter dem Büro­tisch hervor?

Dazu kommt: In daten­schutz­recht­li­cher Hin­sicht ist die Daten­sam­me­lei des App-Stores bedenk­lich. Google spei­chert sämt­li­che Instal­la­ti­ons­vor­gänge in “Ihrem” Account und pro Gerät. Auf Grund der instal­lier­ten Apps sind Rück­schlüsse auf Sie und Ihre Lebens­um­stände mög­lich. Wol­len Sie Eltern wer­den? Wol­len Sie Ihren Blut­druck tra­cken, abneh­men, spie­len, an der Börse tra­den, medi­tie­ren oder beten? Google weiss es.

Pri­vacy-safe Apps instal­lie­ren: Begin­nen Sie mit simplemobiletools.com

Tibor Kaputa ent­wi­ckelt auf simplemobiletools.com ganz grund­le­gende Apps, die Sie täg­lich benut­zen. Von der Laun­cher App (zeigt Ihnen die Apps an), über die Con­ta­cts App bis hin zur Tas­ta­tur. Der Vor­teil: Pri­vacy wird gross­ge­schrie­ben und die Tools sind Open Source, Sie kön­nen also in den Quell­code rein­schauen. Die Apps ver­lan­gen aus­ser­dem nur die­je­ni­gen Per­mis­si­ons, die zwin­gend not­wen­dig sind.

Von Simple Mobile Tools lohnt es sich, fol­gen­des zu instal­lie­ren (falls Sie den Schritt weg vom Google Play Store hin zu F‑Droid nicht machen wol­len, fin­den Sie hier auch die Play Store Links):

• Simple App Laun­cher (Play Store / F‑Droid),
• Simple Gal­lery (Play Store / F‑Droid),
• Simple Con­ta­cts (Play Store / F‑Droid),
• Simple File Mana­ger (Play Store / F‑Droid),
• Simple Clock (Play Store / F‑Droid) und
• Simple Music Player (Play Store / F‑Droid) .

Viel­leicht muss man bei die­sen Apps auf das eine oder andere super fancy Fea­ture ver­zich­ten, das andere Apps mit­brin­gen. Aber wer braucht diese Fea­tures bei grund­le­gen­den Funk­tio­nen wirk­lich mehr als ein­mal im Leben?

Zwi­schen­stand nach vier Wochen

Nach dem ich nun vier Woche mit einem neu auf­ge­setz­ten Google Pixel 3, den erwähn­ten Open Source-Apps und Blo­kada unter­wegs war, wur­den nur rund 6’300 Ver­bin­dun­gen blo­ckiert. Das sind mehr als 75% weni­ger blo­ckierte Ver­bin­dun­gen, als zuvor. Vor­her hat Blo­kada alleine in einer ein­zi­gen Woche mehr als 8’000 Hits ver­zeich­nete. Man rechne. Der Auf­wand hat also Wir­kung gezeigt; Ein­bus­sen bei der Benutz­bar­keit des Smart­pho­nes waren keine bemerk­bar. Im Gegen­teil, gefühlt hält nun der Akku etwas län­ger durch.

Im nächs­ten Teil wird es (mit gröss­ter Wahr­schein­lich­keit) um den Daten­ab­fluss von Apps durch die Ver­wen­dung von SDK (Soft­ware Deve­lo­p­ment Kits) gehen und die eine oder andere App, mit der man etwas pri­va­ter unter­wegs sein kann. To be continued.