Sicherheit für den Androiden: LBE Privacy Guard
von caschy | 38 Kommentare
Der liebe Aba hat mich via Twitter gefragt, ob ich nicht schon über den LBE Privacy Guard geschrieben hätte. Nein, habe ich bisher nicht. Ich fragte Aba, seines Zeichens Student und Betreiber des MixBlogs, ob er den Spaß nicht mit seinen eigenen Worten für euch vorstellen möchte, schließlich nutzt er das kostenlose Android-Sicherheitstool und kann daher mehr erzählen als ich. Der folgende Text ist also nicht von mir, sondern von Aba, fröhliches Lesen.
Apps unter Android installieren kann jeder – aber wer von euch liest sich durch, was die App sich auf eurem Gerät erlauben will? Ein umgemeiner Vorteil an Android ist gleichzeitig auch ein Nachteil: die Anzeige der geforderten Berechtigungen vor der Installation einer App. Ein gutes Beispiel dafür ist der Facebook-Messenger. Diese Appverlangt den Zugriff auf die Kontakte. Das sehe ich zwar vorher, verbieten kann ich es aber trotzdem nicht. Also hat im Endeffekt nur die Wahl zwischen „voll“ oder „gar nicht“. Abhilfe schafft hier der kostenlose LBE Privacy Guard!
Bevor wir uns näher mit dem LBE Privacy Guard beschäftigen, muss euer Android-Smartphone gerooted sein, sonst wird das nichts. Haben wir also ein Smartphone, welches mit root-Rechten ausgestattet ist, laden wir uns als erstes mal den LBE Privacy Guard im Market herunter. Nach der Installation startet ihr die App und werdet zu Beginn gefragt, ob ihr den sogenannten „Active Protection Service“, das Herzstück der App, aktivieren wollt.
Dies müsst ihr natürlich mit einem OK bestätigen und daraufhin der App die geforderten Superuser-Rechte gewähren. Eventuell ist nun noch ein Neustart fällig, aber das wird euch die App schon sagen. Habt ihr alles richtig gemacht, seit ihr nun in der App-Übersicht und seht wie auf dem Screenshot den Hinweis „Active Protection Service is running“.
Beschäftigen wir uns nun also mit den Kategorien und beginnen dabei mit der ersten: Internet. Dort findet ihr neben einem Datenverbrauchzähler den Reiter „Permissions“, der für uns wichtig ist:
Ab hier sollte sich das eigentlich selbst erklären. Ihr seht alle Apps, die ins Internet wollen und könnt nun App für App durchgehen und einzelnen Apps den Internetzugriff verbieten. Ihr könnt sogar so weit gehen, dass ihr nur den Zugang über WLAN oder über das Mobilfunknetz habt. Ganz unten findet ihr die sogenannten „Trusted“ Apps, also Apps, die euer Vertrauen genießen und gar nicht überwacht werden. Wie ihr da welche hinzufügen könnt, zeige ich euch gleich. Im Reiter „Settings“ könnt ihr übrigens den Datenverbrauchzähler abschalten, wenn ihr sowieso eine andere App dafür nutzt.
Gehen wir weiter zum Punkt „Privacy“. Auch hier könnt ihr wieder sehr stark differenzieren und den Apps das Abrufen der SMS, der Kontakte, der Anrufliste, des aktuellen Standorts oder eurer Phone ID (IMEI etc.) verbieten. Gerade hier würde ich die meiste Zeit verbringen. So musste ich z.B. feststellen, dass Shazam nach meinem Standort fragt (und das nicht sehr selten!). Seid ihr also in einer Kategorie, seht ihr neben den meisten Apps ein organes i in einem Kreis. Das bedeutet, dass der LBE Privacy Guard euch jedes mal fragt, ob die App diese Information haben darf, sobald sie im Betrieb nach dieser fragt. Wollt ihr einer App den Zugriff komplett erlauben oder verbieten, drückt ihr einfach auf den Namen dieser und eine kleine Leiste fliegt ein, bei dir ihr zwischen den Punkten „Allow“ (Immer erlauben), „Prompt“ (Bei Bedarf nachfragen) oder „Deny“ (Immer verbieten) wählen könnt.
Im Register „Event Log“ könnt ihr übrigens nachvollziehen, welche App was wann machen wollte oder gemacht hat.
Im Punkt „Money“ läuft das genauso ab. Dort könnt ihr regeln, ob eine App SMS senden oder Anrufe absetzen darf. Das System ist hier das gleiche wie beim „Privacy“ Bereich. App auswählen und Berechtigung vergeben.
Kommen wir schließlich zum letzten Punkt „Applications“. Dort werden alle Applikationen gelistet, die auf eurem Gerät installiert sind. Tappt ihr auf eine, so öffnet sich die detaillierte Ansicht. Hier könnt ihr der App „trusten“, ihr also alle Freiheiten gewähren, indem ihr den Haken bei „Trust“ setzt. Außerdem seht ihr auch hier alle App-Berechtigungen auf einen Blick und könnt sie verändern. Im Reiter „Trusted“ findet ihr dann alle Apps, denen ihr euer Vertrauen ausgeprochen habt.
Im letzten Punkt Settings könnt ihr noch einstellen, ob ihr den Betreibern anonyme Nutzungsstatistiken und Fehlerberichte übermitteln wollt. Außerdem könnt ihr auch hier das „LBE“ Icon, welches oben in der Notification-Bar erscheint, abschalten. Die Option, dass LBE Privacy Guard beim Boot starten soll, muss man logischerweise aktiviert lassen.
Haben wir uns also durchgekämpft (gibt noch einige Optionen, aber entdeckt das ruhig selbst), möchte ich noch kurz auf die Nutzung von LBE Privacy Guard im laufenden Betrieb eingehen und wie sich das bemerkbar macht. Will eine App nun eine Berechtigung nutzen und ihr habt sie auf „Prompt“ gestellt, erscheint solch ein Pop-Up:
Dort seht ihr welche App was will. Reagiert ihr nicht innerhalb von 20 Sekunden, wird die Anfrage automatisch abgelehnt. Zusätzlich könnt ihr noch einen Haken setzen, welcher aus dem „Prompt“ ein dauerhaftes „Allow“ oder „Deny“ macht.
Doch was, wenn wir eine neue App installieren? Auch hier ist das leichter als gedacht. Gehen wir nochmal zum Facebook Messenger und installieren diesen aus dem Market. Zähneknirschend akzeptieren wir erst die Berechtigungen und erlauben den Download und die Installation:
Habt ihr die App installiert, erscheint oben in der Notification-Bar ein weiteres Symbol. Zieht ihr nun die Leiste runter, erkennt ihr, dass man euch auffordert der App ihre Berechtigungen zu verteilen:
Dem Facebook Messenger kann man z.B. problemlos den Zugriff auf die Kontakte verweigern und auch in der Anrufliste hat die App nichts zu suchen. Haben wir die Berechtigungen verteilt, verlassen wir mit der Zurück-Taste des Smartphones den LBE Privacy Guard.
Ihr werdet übrigens auch nach Updates aufgefordert, die Berechtigungen zu vergeben. Macht ihr das nicht (löscht also eure Notifications weg), werden einfach die bisherigen Einstellungen übernommen.
Nun seid ihr also fertig eingerichtet und für die Zukunft gewappnet. Ein paar wichtige Anmerkungen habe ich noch: schaut genau nach, was ihr der App verbietet. Zu starke Verbote bringen Apps leider zum Absturz oder sie funktionieren nicht richtig. Dann müsst ihr eben die Restriktionen lockern.
Zudem darf man nicht vergessen, dass der LBE Privacy Guard ein Dienst ist, der im Hintergrund läuft. Er verbraucht also auch ein bisschen Energie und Leistung, aber mir ist es das auf jeden Fall wert!
Abschließend kann man sagen, dass der LBE Privacy Guard eine wirklich sinnvolle Applikation ist, die jeder (zumindest mit root) nutzen sollte!
Wird geladen ...
@draftec
Wenn du dein X3 nur rooten willst, ohne später eventuell mal ein Custom-ROM draufzuhauen, dann nutze den Automatic Root Enabler Lite im ersten Post unten aus diesem Link:
http://www.android-hilfe.de/root-hacking-modding-fuer-huawei-ideos-x3/165642-automatic-root-enabler-von-0-auf-root-40-sekunden.html
Falls du vorhast, irgendwann auch mal ein Custom-ROM, wie beispielsweise Cyanogenmod 7 (siehe hier: http://www.android-hilfe.de/root-hacking-modding-fuer-huawei-ideos-x3/159996-angepasste-rom-version-aus-cyanogenmod7-2-benru89-v2-android-2-3-7-a.html) auszuprobieren, dann nimm die erste Variante.
@Roman:
Du hast ja geschrieben, dass PDroid kein ROOT benötigt. Wenn ich es im Market öffne, kommt als erster Satz:
„ATTENTION – ROOT required.“
Klingt nach nem Widerspruch 😉
@Juergen
Ist glaub ich so gemeint, dass man ein gerootetes Gerät benötigt, um die Software zu installieren. Nach Installation kann man das Gerät dann wieder de-rooten, weil die App um zu funktionieren, keine Root-Rechte mehr braucht.
PDroid läuft natürlich noch nicht auf dem Galaxy Nexus, na mal schauen wann es einen Patch gibt.
Ein must have für jedes gerootete Handy!!!
dass so eine app viele rechte will ist ja logisch.
nur ist die sinnhaftigkeit bei gerooteten geräten fragwürdig.
denn wenn ein programm böses will darf es dank vollzugriff sich auch an lbe vorbeimogeln. hier gab es zuletzt in diversen unternehmens it magazinen ausreichen berichte über die sicherheitsschichten bei android und co. ein ins system integrierter rechteverwalter wäre die insgesamt bessere lösung.
@Jedder danke für die Info… 😉
@_s_k_
Um Root-Rechte im Überblick zu haben, gibt es ja „Superuser“. ^^
Hast du evt. einen Link zu deinen erwähnten Artikel?
Danke Thorsten
@vaxul leider gerade nicht, das war in einer heise security spezialausgabe, einer ix ausgabe, und einer computerwoche oder systemzeitschrift.
„LBE Privacy Guard requires a ROOTed phone, please make sure your phone has been unlocked and ROOTed.“ – aha. system rooten um es sicherer zu machen. seltsame idee.
Das ist ne echt tolle Sache! Aber das ein Android Gerät dazu erst „gerootet“ sein muss und solch ein App nicht für jeden gleich direkt installier und verwendbar ist…ist ein Armutszeugnis!!!
@Olli
Ich kann diese Einstellung nicht finden. Einstellungen->Apps->Anwendungen verwalten. Ich kann keine Berechtigungen ändern. Was mache ich falsch?
@eyeIT
Zuerst musst du in den „CyanogenMod“ Einstellungen -> Anwendungen die Berechtigungsverw. aktivieren. Erst dann bekommst du die von Olli erwähnte Möglichkeit, die Rechte der Apps zu beschränken.
Viel Erfolg
Am welchem Punkt greift den LBE Privacy bei der Installation eines Apps ein? Bevor die App überhaupt was tut oder ändert man die Rechte erst im nachhinein? Denn wenn die Daten doch schon ein Mal ausgelesen wurden, dann ist das Kind schon in den Brunnen gefallen!
Direkt nach der Installation einer App kommt die Meldung von LBE über die Rechte der App -> also noch vor dem ersten Start.
Da LBE ins System eingreift, ist es doch nur logisch dass root benötigt wird. Was soll daran ein Armutzeugnis sein?
Auch das oben beschriebene PDroid braucht root um installiert zu werden.
Zum ausführen später braucht es dann kein Root mehr, aber nur, weil der Patch bewirkt, dass es als Systemapp installiert wird.
Ich habe übrigends LBE die Rechte zum Internet gesperrt, es taucht nämlich ebenfalls in sich selbst auf lol
Kurze Frage an euch: ich habe den LBE PG heute installiert. Ich habe z.B. der Facebook-App alle Rechte verboten (wie bspw. Kontakte oder SMS lesen/schreiben), in der Log steht da auch hin und wieder, dass die Rechte verboten wurden.
Allerdings habe ich testweise „Permissions Denied“ installiert und da sind für Facebook alle Rechte „active“.
Welcher App kann ich nun trauen? Letztere ist immerhin Open-Source. Wie kann ich im Adressbuch z.B. kontrollieren, ob Facebook da rumgefingert hat? Im Prinzip kann ich vorstellen, dass ich einen Sync mit den FB-Servern dadurch bemerken würde, dass alle Kontakte, die bei FB sind nun auch Bilder drin haben, oder? Ich habe nur ein paar Kontakte mit Bildern.
Vielen Dank schonmal!
Danke! Schöner Artikel!