Keine built-in Firewall vorhanden? Abwehr von WLAN-Zugriffen von außen?

Wenn ich mich über ein (z.B.öffentliches) WLAN mit dem Internet verbinde dann bin ich ja auch umgekehrt für alle anderen sichtbar.
Damit kann dann aber auch jedermann auf mein Smartphone zugreifen.

Auf einem Desktop Rechner gibt es dafür eine Firewall die Zugriffe von aussen abweist.

Wie sieht das bei einem Android Smartphone aus?
Ich habe gelesene dass eine (weitere ?) Firewall App nur mit Root-rechten installiert werden kann.

Gibt auch eine built-in Firewall (oder ähnlichen Schutz) für Android?

Wenn nein, dann wäre das doch eine richtig fette Security-Lücke oder sehe ich das falsch?

Peter

das siehst da falsch, weil meines Wissens unter Android kein Dienst läuft der einen Port aufmacht.
Somit: was nicht offen ist, muss nicht geschützt werden.

Halt dich fest, das ganze Internet sieht dein Handy (und den Rechner an dem du das gerade geschrieben hast) und kann darauf zugreifen

Allerdings muss auf dem Handy/Rechner auch was sein was die Anfragen von aussen annimmt. Und üblicherweise (Das Gegenbeispiel ging gerade mit der Fritz.Box durch die Presse ) ist das so abgesichert das nur Anfragen von Berechtigten angenommen werden.

BTW: Eine Firewall ist hier der falsche Weg. Wenn etwas auf Port 12345 auf Anfragen lauscht, dann ist der richtige Weg diese Software zu beenden wenn man das nicht möchte. Da ne Firewall vorzuhängen macht nur Sinn wenn es unmöglich ist diese Software zu beenden.

cu

Moment mal. Ohne App kann man übers Netzwerk überhaupt nicht auf Androiden zugreifen, soviel mal dazu. Auch nicht über WLAN oder was auch immer.

Was in öffentlichen Netzwerken geht: Den Netzwerkverkehr mitschneiden bzw mitlesen, aber das ist nicht Androidspezifisch, sondern betrifft alle Geräte die in einem öffentlichen Netzwerk sind.

Was heisst App? Wenn das Ding im Internet ist und ne App macht den Port 80 auf, dann kann ich von überall auf der Welt per Webbrowser auf das Handy zugreifen (sofern die App dort per http was ausliefert).
Installiere ich ne Samba App dann kann ich von überall aus auf die freigegebenen Dateien zugreifen.
NAT hinter dem Router oder die Frage ob das bei mobilen Daten überhaupt geht (keine Ahnung) mal aussen vor.

Aber ne Firewall braucht man hier nicht. Wenn ich keine Webseiten hosten will dann starte ich keinen Webserver und wenn ich per Windows Dateifeigabe nix für ohne Password freigeben will dann starte ich kein Samba


Bei Android wird man ne Firewall nutzen um bestimmten Apps den Weg nach aussen zu verbieten. Weil das geht unter Android wegen... ist halt hier speziell so.

cu

Naja, ich geh vom Standardandroid aus, ohne irgendwelche großartigen Funktionen Und da gibts eben keine App, die mal eben pyhsischen Zugriff per WLAN aufs Gerät bietet

Naja, ganz so einfach ist es ja auch wieder nicht.

Wenn ich hier, vom Büro aus, bei Google Play eine App kaufe und sie für mein Tablet vorsehe, das zuhause liegt - dann ist die App, wenn ich nach hause komme, bereits installiert.
Da wird also eine Funktion im Tablet von aussen initiiert, und zwar keine unbedeutende, sondern die Installation von Software. Natürlich, in dem Beispiel, mit Passwortschutz und pipapo, aber offensichtlich ist das eine Push-Funktion, die von aussen "angeschubst" wird, wofür da irgendeine App auf irgendeinem Port auf Zugriff von Aussen "lauschen" muss.

Da wird eindeutig bisschen was verwechselt. Zwischen einer Push-Nachricht an den Playstore (nicht ans Gerät!), hast du noch lange keinen Zugriff auf das Gerät. Zum anderen muss der Angreifer über die E-Mail Adresse und Passwort von deinem Account verfügen, sonst passiert im Minimalfall überhaupt nix.

Hat man noch 2-Faktor-Auth aktiviert, passiert folgendes: Nix.

Ich sage ja nicht, dass das nicht gut abgesichtert ist und ich bin auch kein Freund der übertriebenen Paranoia.

Das ist zwar kein Lese-Zugriff von Aussen, aber (wie jede Push-Nachricht) eine Art Schreib-Zugriff, der in diesem Fall eine Funktion initiiert.
Über irgendein Protokoll und im Zweifelsfall über irgendein Port muss das ja auch laufen.

Also wenn man es so sieht, dann dürfte man ja überhaupt kein Gerät in irgendein Netzwerk lassen Ändert aber dennoch nichts daran, dass eine Firewall solche Fälle nicht wirklich verhindern kann. Denn eine Firewall für Android macht folgendes: Entweder die App hat Internet, oder eben nicht

Was eventuell gehen würde, wären sogenannte Permission Manager, wie bspw XPrivacy. Dort kann man den Apps dann auch entsprechende Rechte entziehen.

Mit entsprechenden Einschränkungen für jeweiligen Apps natürlich

Otandis_Isunos schrieb:

hast du noch lange keinen Zugriff auf das Gerät. Zum anderen muss der Angreifer über die E-Mail Adresse und Passwort von deinem Account verfügen, sonst passiert im Minimalfall überhaupt nix.

Zum Vergrößern anklicken....

Hat AVM auch gedacht und trotzdem sind sie rein gekommen ;-)
Es geht bei den offenen Ports ja darum das man die Software dahinter evtl. austricksen kann? Oder das da per default nen Server läuft bei dem kein Password aktiv ist (z.B. nen schlecht administriertes Linux oder mein Sat Receiver).

Aber wir sind der selben Meinung, ne Firewall ist nicht dafür da Ports dicht zu machen die man nutzen will ;-)
Und wenn man was nicht nutzen will dann lässt man es nicht laufen.

cu

Okay, für alle die es wissen wollen: Port 5228 (tcp/udp) :: SpeedGuide.net

Da sind Ports, wo tatsächlich nur Netzwerk drüber geht bzw wo Informationen und Steuerbefehle übertragen werden Aber da alles verschlüsselt ist und so

@koalalump Dein Beispiel mit dem Playstore hinkt aber. Es ist eben nicht so, dass der Server die Daten an einen offenen Port an das Handy schickt, sondern das Handy fragt regelmäßig beim Server nach ob da was abzuholen ist. Die Funktion wird also von innen initiiert. So ähnlich verhält sich das auch mit Push. Auch da wird die Verbindung von innen aufgebaut. Nicht von außen.

rihntrha schrieb:

Hat AVM auch gedacht und trotzdem sind sie rein gekommen ;-)

Zum Vergrößern anklicken....

das AVM-Problem bestand nur bei Boxen, bei denen die Fernwartung zugelassen war, mithin benötigte man einen offenen Port auf der Box. Darüber hinaus dann auch noch die Zugangsdaten (welche man sich aber vermutlich über den Aufruf einer URL mit speziellen Parametern wohl anzeigen lassen konnte - und diese Lücke hat AVM nun wohl geschlossen).

steeven schrieb:

@koalalump Dein Beispiel mit dem Playstore hinkt aber.

Zum Vergrößern anklicken....

Echt? Wusste ich nicht. Ist das bei allen Push-Services so?

Wenn ich da an so eine 10er-Runde Quizduell denke müsste das Handy ja quasi alle paar Sekunden nach Push-Nachrichten nachfragen - wäre das nicht auch für die entsprechenden Server eine unnötige Belastung?

Aber, da wir uns eh alle einig sind, dass eine Firewall nicht die Lösung des Problems wäre (wenn's denn eines gäbe) ... sind wir vielleicht eh schon ein wenig vom Topic weg.

girouno schrieb:

das AVM-Problem bestand nur bei Boxen, bei denen die Fernwartung zugelassen war, mithin benötigte man einen offenen Port auf der Box. Darüber hinaus dann auch noch die Zugangsdaten (welche man sich aber vermutlich über den Aufruf einer URL mit speziellen Parametern wohl anzeigen lassen konnte - und diese Lücke hat AVM nun wohl geschlossen).

Zum Vergrößern anklicken....

Das ist (leider) falsch! Man brauchte eben keine Zugangsdaten und die Lücke ist auch lokal ausnutzbar, daher sollte sich jeder FRITZ!Box Benutzer das Update einspielen, egal ob er den Fernzugriff nutzt oder nicht! Offen war der Port aber in der Tat nur wenn der Fernzugriff aktiv war. Aber das ändert nichts an der lokalen Zugriffsmöglichkeit.

Siehe hier: Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang | heise Netz