Konzept: Sichere Android-Konfiguration

Projekt - mobile SicherheitZum 18. Geburtstag der HKN konnte ein Gast der Geburtstagsfeier ein Nexus 9 mit Sicherheits-Setup gewinnen. Doch was bedeutet es, ein Tablet “sicher” zu konfigurieren? In den meisten Fällen einen Verlust an Komfort. Ich versuche, den Verlust von Komfort so gering wie möglich zu halten und dabei dennoch ein angemessenes Level an Sicherheit zu erreichen. Meine Werkzeuge sind dabei größtenteils Open-Source-Software und gezieltes Einsetzen von Rechte-Management.

Android 5.0 Handicaps

Stock Android 5.0 hat eine eingebaute Hürde, welche das System einerseits sicherer macht, auf der anderen Seite aber schwieriger zu modifizieren. Das systemweit aktivierte SELinux verhindert, dass wir uns Root-Rechte über ein kleines Script beim Starten des Gerätes holen können. Der Entwickler Chainfire arbeitet zum Glück seit Längerem an einer Lösung. In seinem XDA-Developer-Thread präsentierte er die aktuellste Beta seiner App SuperSU, welche es dir ermöglicht, über das JAVA Service Framework Zygote Root-Rechte beim Start zu erlangen.

Schlechte Nachrichten bleiben leider nicht aus. Die Nummer-eins-App für gerootete Geräte ist auf längere Sicht nicht Android-5.0-kompatibel. Auf das Xposed Framework, welches Android ohne alternative Betriebssysteme wie Cyanogenmod oder Paranoid Android tiefenmodifizierbar machte, muss ich leider verzichten.

Von den richtigen und “falschen” Apps

EAPG Verschlüsselung in K-9inerseits wollen wir für Googles Markt- und Werbeanalysen nicht als Studienobjekt dienen, andererseits erhöht ein Playstore durch automatische Updates von Apps auch wieder die Sicherheit. Um ein Google-Konto komme ich also nicht herum, immerhin bleibt das Ziel, ein Alltags-Tablet zu konfigurieren. Ich richte also mein Hauptaugenmerk auf die Auswahl der Apps und wie sie sich verhalten. Dank Root kontrolliere ich, welche App mit dem Tablet startet und was für Zugriffsrechte sie dabei eingeräumt bekommt. Umgesetzt wird die Kontrolle der Zugriffsrechte mit einer 5.0-kompatiblen App Ops-Version. Für das Verwalten des Autostart bediene ich mich des ES Task Managers im Root-Modus. Um meine Clouds in einer App zu sammeln, nutze ich Cloudii. Sensibles landet verschlüsselt in der Hornetdrive-App. Damit erhalte ich die Möglichkeit, remote den Zugriff auf die Dateien zu verbieten, sollte das Gerät mal verloren gehen. Als E-Mail-Client kommt nur das Open Source K-9 infrage. Er erfüllt ausnahmslos alle Anforderungen. Durch Exchange-Unterstützung ist er Cloud Office-kompatibel. Wichtiger jedoch, er lässt uns direkt das Open Source APG integrieren, mit dem du deine E-Mails verschlüsseln und signieren kannst.

Sicher unterwegs surfen

Screenshot_2014-12-08-15-22-36Tablets werden sowohl zu Hause als auch unterwegs eingesetzt. Also gibt es zwei Haupt-Gefahrenquellen. Die erste besteht aus den klassischen Schadcode-Webseiten, welche durch Scripte versuchen, dein Endgerät mit zu infizieren. Ganz ohne Scripte werden aber deine Lieblings-Webseiten auch nicht mehr funktionieren. Genau an dieser Stelle setzt die starke Kombination Firefox + NoScript  Addon an. NoScript löst komfortabel das Hinzufügen von Ausnahmen von der NoScript-Regel. Deine Lieblingswebseiten fügst du einmal hinzu. Sämtliche anderen Scripte werden nicht ausgeführt.

Das erhöht deine allgemeine Sicherheit. Schützt dich aber nicht vor der zweithäufigsten Gefahrenquelle. In öffentlichen Netzwerken besteht immer die Gefahr, dass sich jemand anschaut, wo und mit welchen Zugangsdaten du im Internet unterwegs bist. Die Gefahr steigt zudem, umso länger du dich in diesem Netzwerk aufhältst. Dagegen hilft das Verschlüsseln deiner zu übertragenden Daten. Eine prominente App, die sich als kostenlose Lösung anbietet, ist in diesem Fall der Hotspot Shield. Sie leitet sämtlichen Traffic über ein zufälliges VPN. Natürlich kannst du es dabei so konfigurieren, dass dies nur geschehen soll, wenn du nicht mit deinem heimischen WLAN verbunden bist.

Gezielt Werbung aussperren

Der nächste Punkt auf meiner Liste betrifft eher den Datenschutz und die Profilbildung als Datenintegrität oder Verschlüsselung. Vielen ist schon unangenehm aufgefallen, wie präzise Werbung sein kann. Das gefällt den wenigsten, weswegen ich Werbung gerne gänzlich ausschließe. Zwei Tools nutze ich für ein werbefreies Android. Das quelloffene Adblock Plus, welches mit URL-Filter-Listen arbeitet und verhindert, dass Werbung geladen wird in Kombination mit Ghostery. Durch Ghostery entziehst du dich der Profilbildung der Werbe-Anbieter.

Im Fall der Fälle

Die besten softwareseitigen Vorkehrungen helfen nicht, sollte uns das Gerät abhanden kommen. Natürlich haben wir auch für diesen Fall doppelt vorgesorgt. Ein über Exchange eingerichtetes Cloud Office macht es dir möglich, dein Android zurückzusetzen, um deine Daten zu schützen. Wir erweitern das noch um Prey. Es kann dir nämlich im Idealfall sogar helfen, das Gerät wiederzubeschaffen. Ortung, Löschung aus der Ferne, das Aufnehmen und Übermitteln von Fotos aller Kameras stehen uns dank Prey zusätzlich zur Verfügung. Dass dein Android mit PIN-Sperre geschützt und bereits verschlüsselt ist, setze ich als Basis natürlich voraus.

Fazit

Sicherheit ist immer ein Kompromiss. Dennoch bin ich davon überzeugt, dass du mit diesen wenigen Maßnahmen bereits ein überdurchschnittlich hohes Level an Sicherheit erreichst, um das du dir im laufenden Betrieb kaum noch Gedanken machen musst. Potential zur Erweiterung besteht natürlich. Zum Beispiel ein privater OpenVPN-Server statt des Hotspotshields, der vollständige Verzicht auf Google Services und eine alternative ROM wie Paranoid Android. Aber ein solches Gerät bewegt sich nur noch in der dafür geschaffenen Konfiguration und wird den wenigsten im Alltag Spaß machen.

Schreibe einen Kommentar