Sicherheit für den Androiden: LBE Privacy Guard

Der liebe Aba hat mich via Twitter gefragt, ob ich nicht schon über den LBE Privacy Guard geschrieben hätte. Nein, habe ich bisher nicht. Ich fragte Aba, seines Zeichens Student und Betreiber des MixBlogs, ob er den Spaß nicht mit seinen eigenen Worten für euch vorstellen möchte, schließlich nutzt er das kostenlose Android-Sicherheitstool und kann daher mehr erzählen als ich. Der folgende Text ist also nicht von mir, sondern von Aba, fröhliches Lesen.

Apps unter Android installieren kann jeder – aber wer von euch liest sich durch, was die App sich auf eurem Gerät erlauben will? Ein umgemeiner Vorteil an Android ist gleichzeitig auch ein Nachteil: die Anzeige der geforderten Berechtigungen vor der Installation einer App. Ein gutes Beispiel dafür ist der Facebook-Messenger. Diese Appverlangt den Zugriff auf die Kontakte. Das sehe ich zwar vorher, verbieten kann ich es aber trotzdem nicht. Also hat im Endeffekt nur die Wahl zwischen „voll“ oder „gar nicht“. Abhilfe schafft hier der kostenlose LBE Privacy Guard!

Bevor wir uns näher mit dem LBE Privacy Guard beschäftigen, muss euer Android-Smartphone gerooted sein, sonst wird das nichts. Haben wir also ein Smartphone, welches mit root-Rechten ausgestattet ist, laden wir uns als erstes mal den LBE Privacy Guard im Market herunter. Nach der Installation startet ihr die App und werdet zu Beginn gefragt, ob ihr den sogenannten „Active Protection Service“, das Herzstück der App, aktivieren wollt.

Dies müsst ihr natürlich mit einem OK bestätigen und daraufhin der App die geforderten Superuser-Rechte gewähren. Eventuell ist nun noch ein Neustart fällig, aber das wird euch die App schon sagen. Habt ihr alles richtig gemacht, seit ihr nun in der App-Übersicht und seht wie auf dem Screenshot den Hinweis „Active Protection Service is running“.

Beschäftigen wir uns nun also mit den Kategorien und beginnen dabei mit der ersten: Internet. Dort findet ihr neben einem Datenverbrauchzähler den Reiter „Permissions“, der für uns wichtig ist:

Ab hier sollte sich das eigentlich selbst erklären. Ihr seht alle Apps, die ins Internet wollen und könnt nun App für App durchgehen und einzelnen Apps den Internetzugriff verbieten. Ihr könnt sogar so weit gehen, dass ihr nur den Zugang über WLAN oder über das Mobilfunknetz habt. Ganz unten findet ihr die sogenannten „Trusted“ Apps, also Apps, die euer Vertrauen genießen und gar nicht überwacht werden. Wie ihr da welche hinzufügen könnt, zeige ich euch gleich. Im Reiter „Settings“ könnt ihr übrigens den Datenverbrauchzähler abschalten, wenn ihr sowieso eine andere App dafür nutzt.

Gehen wir weiter zum Punkt „Privacy“. Auch hier könnt ihr wieder sehr stark differenzieren und den Apps das Abrufen der SMS, der Kontakte, der Anrufliste, des aktuellen Standorts oder eurer Phone ID (IMEI etc.) verbieten. Gerade hier würde ich die meiste Zeit verbringen. So musste ich z.B. feststellen, dass Shazam nach meinem Standort fragt (und das nicht sehr selten!). Seid ihr also in einer Kategorie, seht ihr neben den meisten Apps ein organes i in einem Kreis. Das bedeutet, dass der LBE Privacy Guard euch jedes mal fragt, ob die App diese Information haben darf, sobald sie im Betrieb nach dieser fragt. Wollt ihr einer App den Zugriff komplett erlauben oder verbieten, drückt ihr einfach auf den Namen dieser und eine kleine Leiste fliegt ein, bei dir ihr zwischen den Punkten „Allow“ (Immer erlauben), „Prompt“ (Bei Bedarf nachfragen) oder „Deny“ (Immer verbieten) wählen könnt.

Im Register „Event Log“ könnt ihr übrigens nachvollziehen, welche App was wann machen wollte oder gemacht hat.

Im Punkt „Money“ läuft das genauso ab. Dort könnt ihr regeln, ob eine App SMS senden oder Anrufe absetzen darf. Das System ist hier das gleiche wie beim „Privacy“ Bereich. App auswählen und Berechtigung vergeben.

Kommen wir schließlich zum letzten Punkt „Applications“. Dort werden alle Applikationen gelistet, die auf eurem Gerät installiert sind. Tappt ihr auf eine, so öffnet sich die detaillierte Ansicht. Hier könnt ihr der App „trusten“, ihr also alle Freiheiten gewähren, indem ihr den Haken bei „Trust“ setzt. Außerdem seht ihr auch hier alle App-Berechtigungen auf einen Blick und könnt sie verändern. Im Reiter „Trusted“ findet ihr dann alle Apps, denen ihr euer Vertrauen ausgeprochen habt.

Im letzten Punkt Settings könnt ihr noch einstellen, ob ihr den Betreibern anonyme Nutzungsstatistiken und Fehlerberichte übermitteln wollt. Außerdem könnt ihr auch hier das „LBE“ Icon, welches oben in der Notification-Bar erscheint, abschalten. Die Option, dass LBE Privacy Guard beim Boot starten soll, muss man logischerweise aktiviert lassen.

Haben wir uns also durchgekämpft (gibt noch einige Optionen, aber entdeckt das ruhig selbst), möchte ich noch kurz auf die Nutzung von LBE Privacy Guard im laufenden Betrieb eingehen und wie sich das bemerkbar macht. Will eine App nun eine Berechtigung nutzen und ihr habt sie auf „Prompt“ gestellt, erscheint solch ein Pop-Up:

Dort seht ihr welche App was will. Reagiert ihr nicht innerhalb von 20 Sekunden, wird die Anfrage automatisch abgelehnt. Zusätzlich könnt ihr noch einen Haken setzen, welcher aus dem „Prompt“ ein dauerhaftes „Allow“ oder „Deny“ macht.

Doch was, wenn wir eine neue App installieren? Auch hier ist das leichter als gedacht. Gehen wir nochmal zum Facebook Messenger und installieren diesen aus dem Market. Zähneknirschend akzeptieren wir erst die Berechtigungen und erlauben den Download und die Installation:

Habt ihr die App installiert, erscheint oben in der Notification-Bar ein weiteres Symbol. Zieht ihr nun die Leiste runter, erkennt ihr, dass man euch auffordert der App ihre Berechtigungen zu verteilen:

Dem Facebook Messenger kann man z.B. problemlos den Zugriff auf die Kontakte verweigern und auch in der Anrufliste hat die App nichts zu suchen. Haben wir die Berechtigungen verteilt, verlassen wir mit der Zurück-Taste des Smartphones den LBE Privacy Guard.

Ihr werdet übrigens auch nach Updates aufgefordert, die Berechtigungen zu vergeben. Macht ihr das nicht (löscht also eure Notifications weg), werden einfach die bisherigen Einstellungen übernommen.

Nun seid ihr also fertig eingerichtet und für die Zukunft gewappnet. Ein paar wichtige Anmerkungen habe ich noch: schaut genau nach, was ihr der App verbietet. Zu starke Verbote bringen Apps leider zum Absturz oder sie funktionieren nicht richtig. Dann müsst ihr eben die Restriktionen lockern.

Zudem darf man nicht vergessen, dass der LBE Privacy Guard ein Dienst ist, der im Hintergrund läuft. Er verbraucht also auch ein bisschen Energie und Leistung, aber mir ist es das auf jeden Fall wert!

Abschließend kann man sagen, dass der LBE Privacy Guard eine wirklich sinnvolle Applikation ist, die jeder (zumindest mit root) nutzen sollte!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

40 Kommentare

  1. Der LBE SG gehört für mich schon lange zur Grundausstattung meines Androiden 🙂 Nur zu empfehlen.

  2. name vergessen says:

    Wenn man jetzt wüsste wie interessiert der LBE SG an meinen Daten ist… Das Tool wäre die optimale Tarnung für nen Trojaner. Eigentlich müssten die Funktionen auch im Betriebssystem eingebaut sein – aber das kommt eben von Google. Und Datenvermeidung vor Datenschutz ist nicht so deren Ding.

  3. Hat diese Version einen Vorteil gegenüber LBE Security Guard? Die hab ich schon ewig installiert, würde aber wechseln wenn es was gibt was mir beim lesen nicht aufgefallen ist.:P

  4. @Jedder
    Dies ist die neuste Fassung, leider ist von der alten (roten) Variante kein automatisches Update nötig. Also einfach manuell das neue installieren. Ein Vorteil ist zum Beispiel, das sie bei einen App-Update LBE nur noch meldet, wenn sich auch Rechte der aktualisierten App geändert haben.

    Dies ist bisher wirklich das nützlichste Tool unter Android.

  5. Cooler Artikel, vielen Dank 🙂
    Ich hätte für mein GII auch gerne die Akku-Anzeige in der Notification Bar! Ist das ne App oder nen Custom Rom?

  6. Hm… das Tool klingt sehr interessant und hilfreich. Nur leider läßt es sich nicht auf meinem Samsung Galaxy Tab 10.1 installieren. Gibt es dafür noch eine Alternative?

  7. Ist ein Custom ROM (Lite’ning), aber das wird nicht mehr weiter geführt.

    Es gibt davon jetzt eine neue Fassung, die sich UltraToxic ROM nennt und hier verfügbar ist:

    http://www.handy-faq.de/forum/galaxy_s2_custom_roms/220845-samsung_galaxy_s2_xwkk5_2_3_6_ultratoxic_rom_v8_1_litening_themed.html

  8. Name auch vergessen says:

    So wie ich es verstehe, benötigt die App Root. Mein Incredible ist nicht so ohne weiteres zu rooten da S-On
    Also nix für Standarduser.

  9. @Sebastian:
    Was meinst du damit genau? Funktioniert die Installation erst gar nicht oder startet die App nicht?

  10. Ah, schade…dann kommt es für mich nicht in Frage, da ich ansonsten ziemlich zufrieden mit der Samsung Firmware bin. Aber danke für die Info 🙂

  11. Super vielen Dank für den Tipp! Ich habe die App gleich installiert und sehe nun das viele Apps z.B. Angry Birds, die Phone ID auslesen. Warum tun die das?

  12. Ich nutze die App auch schon eine Weile. Die Grundidee ist super. Aber leider ist die App nicht Open Source und will selbst eine Menge Berechtigungen.

    Daher teste ich im Moment eine andere App:

    PDroid http://forum.xda-developers.com/showthread.php?t=1357056

    PDroid allows blocking access for any installed application to the following data separately:

    Device ID (IMEI/MEID/ESN)
    Subscriber ID (IMSI)
    SIM serial (ICCID)
    Phone and mailbox number
    Incoming call number
    Outgoing call number
    GPS location
    Network location
    List of accounts (including your google e-mail address)
    Account auth tokens
    Contacts
    Call logs
    Calendar
    SMS
    MMS
    Browser bookmarks and history
    System logs
    SIM info (operator, country)
    Network info (operator, country)

    For device ID, phone and mailbox number, SIM serial, subscriber ID and device location it also allows supplying custom or random values.

    Why you would want to use it:

    Applicaitons do NOT crash when access to private data is blocked unlike with Permissions Denied or CM)
    Fine-grained tuning of access to private data
    No background service needed
    Very small memory footprint (~700KB)
    No impact on battery life
    No impact on performance (5ms overhead on access to private data; yes, that’s 0.005s)
    100% reliable unlike ROOT applications (LBE), which need to start their background service on boot (see android underground to learn why this is an issue)
    No ROOT required for the app to run
    No Android permissions required for the app to run
    Open-source

    MfG

  13. Wer CM7 nutzt, kann auch von Haus aus die Berechtigungen der Apps bearbeiten. Einfach unter Einstellungen – Apps. Bei der App runterscrollen, dann sieht man die Berechtigungen. Einmal draufklicken, deaktivert sie dann.
    Ansonsten Driod-Wall und man hat eigentlich denselben Funktionsumfang, nur ohne Programm was immer im Hintergrund läuft. Dafür nicht ganz so komfortabel. Aber ich bin von LBE wieder zu der Konfiguration gewechselt.

  14. Huch…. tschuldige, das war wohl ein wenig unpräzise.
    Ich kann LBE im market auf dem Tab direkt nicht finden und über die market-webseite wird das tablet dafür als inkompatibel angezeigt. Wahrscheinlich muss ich mir die apk-Datei mal irgendwo suchen. Funktionieren könnte das Tool wahrscheinlich, aber installieren konnte ich es noch nicht.

  15. @casi: Soweit ich weiß, um passende Werbung auszuliefern!

    @Roman: Hey, Danke für den Tipp mit PDroid, werde mir das auch mal anschauen! 🙂

  16. Hört sich gut an.

    Überwiegen die Vorteile oder Nachteile von gerooteten Androiden?
    Wenn ich roote – habe ich an anderer Stelle Probleme?
    Wie aufwendig ist das rooten, kann das auch ein „normaler“ User ohne alles zu zerschiessen?

    Habe ein Galaxy S2

  17. @Roman
    Danke für den PDroid Tipp. Das schau ich mir auf jeden Fall mal an.

  18. @Ivan, wenn der „normale“ User lesen kann, dann kann er sich ein Galaxy S2 problemlos rooten. Einfach Anleitungen lesen, eine, welche logisch und einfach erscheint wird bestimmt dabei sein.
    Ansonsten guck dir mal „SuperOneClick“ von Shortfuze an, hab ich selbst noch nie gebraucht, bin daher nicht 100% sicher, ob das mit dem originalen Kernel geht, wird ne Runde googlen aber bestimmt beantworten.

    Also kurz gesagt, ja wird auch n normaler anwender hinkriegen 😉
    Deine restlichen Fragen überlasse ich andern, meine Androidgeräte haben alle Custom Roms drauf, welche ohnehin gerootet sind. und ich bin da so „ich kanns haben, dann will ichs“

  19. @Vaxul
    Danke für den Hinweis.

    @Roman
    Danke, auch das wird getestet.

    😛

  20. Und was machen User die ihr Gerät nicht rooten können? Gibt es da auch Möglichkeiten? Habe ein Huawei ideso X3.

  21. @draftec

    Wenn du dein X3 nur rooten willst, ohne später eventuell mal ein Custom-ROM draufzuhauen, dann nutze den Automatic Root Enabler Lite im ersten Post unten aus diesem Link:

    http://www.android-hilfe.de/root-hacking-modding-fuer-huawei-ideos-x3/165642-automatic-root-enabler-von-0-auf-root-40-sekunden.html

    Falls du vorhast, irgendwann auch mal ein Custom-ROM, wie beispielsweise Cyanogenmod 7 (siehe hier: http://www.android-hilfe.de/root-hacking-modding-fuer-huawei-ideos-x3/159996-angepasste-rom-version-aus-cyanogenmod7-2-benru89-v2-android-2-3-7-a.html) auszuprobieren, dann nimm die erste Variante.

  22. @Roman:
    Du hast ja geschrieben, dass PDroid kein ROOT benötigt. Wenn ich es im Market öffne, kommt als erster Satz:
    „ATTENTION – ROOT required.“
    Klingt nach nem Widerspruch 😉

  23. @Juergen

    Ist glaub ich so gemeint, dass man ein gerootetes Gerät benötigt, um die Software zu installieren. Nach Installation kann man das Gerät dann wieder de-rooten, weil die App um zu funktionieren, keine Root-Rechte mehr braucht.

  24. PDroid läuft natürlich noch nicht auf dem Galaxy Nexus, na mal schauen wann es einen Patch gibt.

  25. Ein must have für jedes gerootete Handy!!!

  26. dass so eine app viele rechte will ist ja logisch.
    nur ist die sinnhaftigkeit bei gerooteten geräten fragwürdig.
    denn wenn ein programm böses will darf es dank vollzugriff sich auch an lbe vorbeimogeln. hier gab es zuletzt in diversen unternehmens it magazinen ausreichen berichte über die sicherheitsschichten bei android und co. ein ins system integrierter rechteverwalter wäre die insgesamt bessere lösung.

  27. @Jedder danke für die Info… 😉

  28. @_s_k_
    Um Root-Rechte im Überblick zu haben, gibt es ja „Superuser“. ^^
    Hast du evt. einen Link zu deinen erwähnten Artikel?

  29. Danke Thorsten

  30. @vaxul leider gerade nicht, das war in einer heise security spezialausgabe, einer ix ausgabe, und einer computerwoche oder systemzeitschrift.

  31. „LBE Privacy Guard requires a ROOTed phone, please make sure your phone has been unlocked and ROOTed.“ – aha. system rooten um es sicherer zu machen. seltsame idee.

  32. Das ist ne echt tolle Sache! Aber das ein Android Gerät dazu erst „gerootet“ sein muss und solch ein App nicht für jeden gleich direkt installier und verwendbar ist…ist ein Armutszeugnis!!!

  33. @Olli
    Ich kann diese Einstellung nicht finden. Einstellungen->Apps->Anwendungen verwalten. Ich kann keine Berechtigungen ändern. Was mache ich falsch?

  34. @eyeIT
    Zuerst musst du in den „CyanogenMod“ Einstellungen -> Anwendungen die Berechtigungsverw. aktivieren. Erst dann bekommst du die von Olli erwähnte Möglichkeit, die Rechte der Apps zu beschränken.

    Viel Erfolg

  35. housebreaker says:

    Am welchem Punkt greift den LBE Privacy bei der Installation eines Apps ein? Bevor die App überhaupt was tut oder ändert man die Rechte erst im nachhinein? Denn wenn die Daten doch schon ein Mal ausgelesen wurden, dann ist das Kind schon in den Brunnen gefallen!

  36. Direkt nach der Installation einer App kommt die Meldung von LBE über die Rechte der App -> also noch vor dem ersten Start.
    Da LBE ins System eingreift, ist es doch nur logisch dass root benötigt wird. Was soll daran ein Armutzeugnis sein?
    Auch das oben beschriebene PDroid braucht root um installiert zu werden.
    Zum ausführen später braucht es dann kein Root mehr, aber nur, weil der Patch bewirkt, dass es als Systemapp installiert wird.
    Ich habe übrigends LBE die Rechte zum Internet gesperrt, es taucht nämlich ebenfalls in sich selbst auf lol

  37. Kurze Frage an euch: ich habe den LBE PG heute installiert. Ich habe z.B. der Facebook-App alle Rechte verboten (wie bspw. Kontakte oder SMS lesen/schreiben), in der Log steht da auch hin und wieder, dass die Rechte verboten wurden.
    Allerdings habe ich testweise „Permissions Denied“ installiert und da sind für Facebook alle Rechte „active“.

    Welcher App kann ich nun trauen? Letztere ist immerhin Open-Source. Wie kann ich im Adressbuch z.B. kontrollieren, ob Facebook da rumgefingert hat? Im Prinzip kann ich vorstellen, dass ich einen Sync mit den FB-Servern dadurch bemerken würde, dass alle Kontakte, die bei FB sind nun auch Bilder drin haben, oder? Ich habe nur ein paar Kontakte mit Bildern.

    Vielen Dank schonmal!

  38. Danke! Schöner Artikel!