Mission doch possible – Android-Sicherheit

android_logoMit Android sicher zu arbeiten und eine anonyme Netzverbindung aufzubauen, ist aufwendiger als auf anderen Systemen.
Das Tor-Projekt zur Anonymisierung der Netzverbindungen hat Anfang April einen ausführlichen Artikel zur sicheren Einrichtung von Android-Geräten am Beispiel des Nexus 7 veröffentlicht.
Der ganze Artikel unter dem vielsagenden Titel „Mission Impossible“ in englischer Sprache mit allen Einzelheiten kann hier gelesen werden:
https://blog.torproject.org/blog/mission-impossible-hardening-android-security-and-privacy
Der Beitrag stellt gleichzeitig eine Zusammenfassung der bisherigen Bemühungen zur Absicherung von Android dar. Es geht um nicht weniger, als die Wiederherstellung der Kontrolle de Android-Geräte durch den Benutzer.
Hier in kurzen Worten der Stand der Dinge und die wichtigsten Aspekte, zusammengefaßt, ergänzt und von mir kommentiert. Einige Vorschläge habe ich direkt ganz weggelassen, weil sie bei ungenauer Anwendung mehr Risiken als Verbesserungen bringen. Die Nutzung von mobilen Geräten birgt aber grundsätzlich mehr Gefahren als hier beschrieben, ich werde an anderer Stelle darauf eingehen.

Hardwareauswahl
Um mögliche Einfallstore zu schließen, muß das benutze Gerät vom Mobilfunknetz getrennt betrieben werden. Für diese Zwecke ist das Tablet Google Nexus 7 von 2013 in der WiFi-only-Version geeignet.
Zur sicherten Verbindung mit dem  Mobilfunknetz empfehlen wir ein mobiler WLAN-Router, auch Mifi genannt, nur für Datendienste. Diese preiswerten Geräte haben keine andere unsichere und überflüssige Funktionen.
Um die Nutzungsdauer der mobilen Verbindung zu erhöhen, ist ein USB-Akkupack empfehlenswert.

Installation
Auf dem 2013er Google Nexus 7 Tablet ist die Installation von Cyanogenmod 11 ziemlich einfach, Anleitungen gibt genug. Wichtig dabei: Wenn Sie adb beenden , immer daran denken, USB-Debugging zu deaktivieren und Root-Zugriff nur für bestimmte Apps.

Erstkonfiguration
In Einstellungen folgende Änderungen vornehmen:
Ort Zugriff -> Off
Sprache & Eingabe ->
Rechtschreibprüfung -> Android Spell Checker – > Deaktivieren
Deaktivieren Sie Google Voice Typing
Android- Tastatur ( AOSP ) ->
Deaktivieren AOSP
Auto- Korrektur – > Aus
Backup & reset ->
Aktivieren Meine Daten sichern (nur vorübergehend , für den nächsten Schritt)
Deaktivieren Sie die Option Automatische Wiederherstellung
Deaktivieren Meine Daten sichern
Über Tablet -> Cyanogenmod Statistik -> Disable
Entwickler- Optionen -> Geräte- Hostname -> localhost
Datenschutz -> Privacy Guard ->
Standardmäßig aktiviert
Aktivieren Privacy Guard für alle Apps mit folgenden Ausnahmen :
Kalender
Config Updater
Google Account Manager (lang drücken)
Ändern Sie Einstellungen -> Aus
Wifi Ändern -> Off
Daten ändern -> Aus
Google Play Services ( lang drücken)
Location -> Aus
Ändern Sie Einstellungen -> Aus
Zeichnen Sie auf -> Aus
Audio aufnehmen -> Aus
Wifi Ändern -> Off
Google Play Store (lang drücken)
Location -> Aus
SMS senden -> Aus
Ändern Sie Einstellungen -> Aus
Datenänderung -> Aus
Google Services Framework (lang drücken)
Ändern Sie Einstellungen -> Aus
Wifi Ändern -> Off
Daten ändern -> Aus
trebuchet
Security ->
PIN-Bildschirm sperren
Lassen Sie unbekannte Quellen an (für F-Droid)
Tablet verschlüsseln, kann eine Weile dauern, ist aber von wesentlicher Bedeutung
Nach diesem letzten Schritt, wird Ihr Tablet neu starten und sich verschlüsseln. Es ist wichtig, diesen Schritt früh zu tun, weil zusätzliche Apps diesen Prozess später unmöglich machen können.

Anwendungen
Je nach Bedarf sollten folgende integrierte Anwendungen und Dienste deaktiviert werden:
com.android.smspush
com.google.android.voicesearch
Gesichtserkennung
Google Backup-Transport
Google Calendar Sync
Google One Time Init
Google Partner-Setup
Google Kontakte Sync
Google-Suche
Hangouts
Markt Feedback Agent
Nachrichten & Wetter
One Time Init
Picasa Updater
Sound- Suche für Google Wiedergabe
Talkback

Tor und Firewall
Sobald die DroidWall konfiguriert ist, können Sie Orbot (für den Tor-Zugang) Superuser-Zugriff ermöglichen. Orbot muß so eingerichtet werden, daß alle Anfragen über Orbot ins Netz gehen

Google Apps
Jeder, der Zugriff auf Ihr Google-Konto gewinnt, kann Apps installieren ohne jegliche Benutzerinteraktion. Den Beweis liefert Google selbst, indem in der Vergangenheit schon mehrmals schädliche Apps aus der Ferne deinstalliert wurden.
Im Original-Artikel wird eine optionale Installation der Google Apps beschrieben, die aber meiner Meinung nach zu risikoreich ist. Eher alternative Märkte und Programme nutzen.

Sichere Kommunikation
Empfehlenswert sind folgende Apps von F-Droid :

Xabber – ist eine vollständige Java-Implementierung von XMPP und unterstützt OTR und Tor. Die UI ist etwas schlanker als ChatSecure. Leider bedeutet dies, daß einige ChatSecure-Funktionen fehlen.
Trotz besseren Schutz gegen die Ausführung von Code, hat es mehrere unsichere Standardeinstellungen. Insbesondere die folgenden Änderungen vornehmen:
Benachrichtigungen -> Text Message in Benachrichtigungen -> Off (Meldungen können von anderen Anwendungen gelesen werden)
Konten -> Integration in die Systemkonten -> Aus
Konten – > Nachrichtenverlauf -> nicht speichern
Sicherheit -> Geschichte -> Aus
Sicherheit – > Überprüfen Sie Server-Zertifikat
Chat – > Benachrichtigungen anzeigen Typing -> Aus
Verbindungseinstellungen -> Auto-away -> deaktiviert
Verbindungseinstellungen -> Erweiterte weg, wenn Leerlauf -> Deaktiviert
Halten Wifi Awake -> Ein
Verhindern, daß Schlaf-Modus  > Ein

OsmAnd  – ein kostenloses Offline-Mapping-Tool. Während die UI ein wenig klobig ist, unterstützt es Sprach-Navigation und Fahranweisungen, und ist eine handliche, private Alternative zu Google Maps.

VLC – die App von F-Droid ist vollständig in der Lage Media-Player zu ersetzen. Es kann MP3s und die meisten Videoformate spielen . Es ist eine handliche, private Alternative zu Google Music und anderen Closed-Source-Playern, die ihre Tätigkeit oft Dritten nicht nur zu Werbezwecken melden. VLC braucht keinen Netzwerkzugriff zur Funktion.

Firefox – Es gibt noch keinen Tor-Browser für Android (obwohl in Arbeit, siehe unten). Firefox Ihre beste Wahl für einen Web-Browser, der regelmäßige Updates erhält .
Im Firefox zumindest HTTPS-Everywhere und NoScript installieren. Es gibt aber auch ein Plugin, das den Einsatz von Firefox zusammen mit Orbot auf einem nicht gerooteten Gerät ermöglicht.

Zerstören des eingebauten Mikrofons
Es ist leicht, das eingebaute Mikrofon im Nexus 7 zu entfernen. Es gibt nur ein Mikrofon im 2013er Modell, und es ist direkt unter den Lautstärketasten (das kleine Loch) und kann nach dem Entfernen der hinteren Abdeckung einfach mechanisch unbrauchbar gemacht werden, statt langwieriger Software-Versuche.
Anwendungen, die ein Mikrofon benötigen, können Sie mit einem eingesteckten Headset mit eingebautem Mikrofon bedienen.
Achtung: Das 2012er Modell hat zwei Mikrofone und unterstützt Mikrofone im Headset nicht.

Kamera
Bevor Sie nun an die Zerstörung der Kamera gehen, hier ein Vorschlag: Kleben Sie sie mit einem Stück Isolier-Klebeband einfach ab.

Zukunftsaussichten
The Guardian Project entwickelt einen Port vom Tor-Browser als Teil ihres Projekts OrFox auf Android. Dadurch wird die Privatsphäre auf dem Android-Gerät stark verbessert.

Ein Gedanke zu „Mission doch possible – Android-Sicherheit

  1. Torro

    Interessanter Bericht. Zu ergänzen wäre noch:
    Bei der Verschlüsselung des Tablets oder eines beliebigen Android-Geräts ist zu beachten, dass die vielleicht eingesteckte SD-Karte zusätzlich noch verschlüsselt werden muß.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.