Surnia (LTE) Moto E funkt ungefragt nach draußen

Ich bin vor einiger Zeit zufällig in der Verbindungsübersicht meines Anbieters simyo auf mir unerklärliche Verbindungen über das mobile Internet gestoßen. Dabei bin ich mir ziemlich sicher, alle notwendigen Einstellungen vorgenommen zu haben, die den Aufbau einer Verbindung über das mobile Internet verhindern, da ich es nicht nutzen möchte/brauche.[1] So werden einmal täglich zu stets unterschiedlichen Uhrzeiten innerhalb weniger Minuten zwei Verbindungen aufgebaut, über die je 1 KB übertragen wird.[2] Dabei zeigt mir die App NetGuard, die alle Verbindungen (WLAN und mobiles Internet) protokolliert, zu den bei simyo aufgelisteten Uhrzeiten keinerlei Verbindungen an. Grundsätzlich habe ich die App so eingestellt, dass einzig die in einer white list aufgeführten Apps im WLAN nach außen kommunizieren dürfen. Sonst sollte eigentlich jedweder Verkehr geblockt werden. Das Protokoll von NetGuard zeigt mir nur an, dass Android-System, DiagMdlog Settings, Einstellungsspeicher etc. erfolgreich daran gehindert wurden, eine Verbindung aufzubauen. Seltsam ist zudem, dass selbst wenn ich im WLAN bin, eine Verbindung über das mobile Internet aufgebaut wird.

Meine Fragen lauten daher: Wie kann es sein, dass bei all den Einstellungen und der zusätzlich verwendeten App immer noch und engefragt eine Verbindung mit dem mobilen Internet aufgebaut wird? Habe ich etwas übersehen? Was muss ich (noch) tun, damit mein Moto E nicht mehr ungefragt nach außen funkt?

[1] Mein Motorola E 2015 4G LTE (XT1524) ist nicht gerootet und auf Android Version 5.0.2 aktualisiert. Drahtlose Internetverbindungen sind über den entsprechenden Schieber deaktiviert. Ich habe alle APN's gelöscht. Zu Testzwecken hatte ich gar die Hintergrunddaten deaktiviert. Ohne Erfolg. Ferner habe ich in der Konten-Einstellungen die Synchronisation aller dort gelisteten Apps (WhatsApp, ownCloud und DavDroid) untersagt bzw. auf manuell umgestellt. Bei K9-Mail ist Push deaktiviert.

[2] Zum Beispiel:
Datum - Uhrzeit - Internetverbindung - Datenvolumen
05.02.2016 - 00:12:21 - 22102 - 1 KB
05.02.2016 - 00:13:43 - 22102 - 1 KB
07.02.2016 - 15:17:58 - 22102 - 1 KB
07.02.2016 - 15:19:16 - 22102 - 1 KB
08.02.2016 - 21:43:51 - 22102 - 1 KB
08.02.2016 - 21:45:18 - 22102 - 1 KB

Vielen Dank für Eure Hilfe.

Das geht vermutlich u. a. auch in diese Richtung:
MMS/APN Einstellungen

Wenn du keine Mobilen Daten brauchst (nur W-LAN), dann kannst du folgende Einstellungen (testweise) vornehmen:
(SIM eingelegt und eingebucht, W-LAN an, Mobile Daten an)

• Phone neu starten
• Mobile Daten - Traffic-Begrenzung > beide Limits auf 0 MB ("Warn-Schwelle bei" und "Mobile Daten aus bei")
• Hintergrunddaten aus (gilt sowieso nur für Mobile Daten, nicht für W-LAN)
• Alle APNs löschen
• Mobile Daten AUS (Mobilfunk kann zum Telefonieren an bleiben, evtl. werden keine MMS mehr gesendet/empfangen, SMS gehen weiterhin)
• Phone neu starten und wieder 2 oder 3 Tage testen (Abrechnung überprüfen)

___

Was noch passieren kann:
Die SIM ist im Phone. - Beim Start des Phones (bevor Android gestartet wird) kann diese SIM bereits mit dem Netz des Mobilfunk-Providers kommunizieren (eigener "Mini-Computer", eigene Netzprotokolle, Strom vorhanden). - Auch wird unter Android beim Start (ungefähr während der Bootanimation) nach dem Aktivieren der Schnittstellen jedesmal versucht, eine Verbindung zu einem Zeit-Server zu machen (Protokoll NTP Port 123/udp). - Das lässt sich (auf einem ungerooteten Phone) nicht sperren (das läuft technisch mit dem system-User - UID 1000).

Allgemeiner:
Bevor die Android Sicherungs-Massnahmen und -Einstellungen greifen, passieren bereits Dinge auf den Schnittstellen (LAN und mobil). - Während des Betriebs hat ein ungerootetes Phone ohne Firewall immer die Möglichkeit bei aktivierten Schnittstellen "unterhalb" der Android-Ebene (Apps) für Traffic zu sorgen (Linux-Kernel der ROM, Treiber-Software, system-/root-User, Stichworte netd, DNS-Anfragen, Provider Auto-Provisioning APNs, Internet, SMS/MMS, A-GPS-Daten holen (SUPL), Proxy mit fixer IP). - Auch sind auf dem Moto noch diverse System-Services am Laufen (siehe app-List > Alle > com.mototrola... und com.qc....). - Das ist ein sehr komplexer Stoff ...
___

Mögliche Lösung(en), unvollständig:

Schritt 1:
Bootloader entsperren, erste Sicherung, Phone rooten
[E 2015][XT1524][surnia][Stock-ROM][ROOT] Rooten mit TWRP Recovery UND Sicherung Original-ROM

Schritt 2:
Dann absichern mit AFWall+ Firewall installieren mit Custom Script und Datenleck Fix, welches den DNS-Server auch für mobile Daten fixiert
Wie man das macht, steht hier (passt auch auf Moto E 4G/LTE und Lollipop 5.0.2 Stock-ROM)
___

oder (eher unsichere und unbequeme Lösung)
Vor JEDEM Ausschalten Flug-Modus AN und W-LAN AN, beim Einschalten warten, bis W_LAN verbunden ist, DANN ERST Flug-Modus AUS (dadurch wird erreicht, dass die W-LAN-Verbindung benutzt wird. - Unsicher, da automatisch Mobilfunk benutzt wird, wenn dass W-LAN wegfällt.
___

oder (eher keine Lösung)
ohne SIM benutzen
oder
Beim Provider verlangen, dass er die Mobilen Daten in dessen System für die SIM sperrt

Vielen Dank für die sehr ausführliche Antwort! Ich werde in Ruhe Deine Tipps durchgehen. Die SIM-Karte habe ich heute Nachmittag ohnehin schon einmal herausgenommen, um auszuschließen, dass es kein Problem mit dem Provider gibt. Bei Gesichtsbuch und in einem Mobilfunk-Forum bin ich auf ähnliche Probleme gestoßen.

Dass dieses Problem mit einem im Hintergrund arbeitenden Dienst zusammenhängt, habe ich mir schon gedacht. Das Muster passt. Weniger aufgrund der Kosten, es bewegt sich im Cent-Bereich, aber vor allem Datensparsamkeit/-schutz ist mir sehr wichtig.

Mittelfristig, so stellt es sich mir nicht erst seit heute dar, komme ich an einem Custom ROM nicht vorbei. Ich habe jüngst zum ersten Mal ein älteres Samsung Galaxy S2 mit Cyanogenmod 12.1 (ohne GApps) "ausgestattet". Ich halte mich im Umgang mit Betriebssystemen im Allgemeinen für ausreichend versiert, bastle gerne etwa auch an meinem Raspberry herum, aber die Installation eines Custom ROM war sehr ungewohnt. So ganz sicher war ich mir bei dem Samsung-Gerät zwischendurch nicht. Beim Moto E ist die To-Do-Liste leider deutlich umfangreicher. Gibt es bei einem "nackten" Cyanogenmod ohne GApps auch Dienste, die man nur über eine richtige Firewall in den Griff bekommt? Telefoniert Cyanogenmod 12.1 immer noch ungefragt nach Hause, wie von Dir im oben verlinkten Thread beschrieben?

CM 12.1 macht folgende Verbindungen auf:

Die Verbindung zu einem Zeit-Server beim Start (NTP Port 123/udp).
Mit AFWall+ Firewall kann man das unterbinden (oder einen eigenen Zeitserver erzwingen).
Das ist aber nicht deren "Schuld", weil es Standard ist und aus dem AOSP Code vererbt wird.
Die Funktion selbst ist ja auch okay, macht ja praktisch jede Linux-Box/jeder Androide.

Die Verbindung zum Cyanogen-Server, um Nutzungsstatistiken zu senden.
Man wird beim Einrichten vorher gefragt.
Über die Einstellungen kann man das de-/aktivieren.

Die Verbindung zum Cyanogen-Server beim Einrichten und später zyklisch für OTA-Updates (CM-Updater)
Ohne eingelegte SIM und durch Überspringen der W-LAN-Einrichtung beim Setup kann man das unterbinden.
Über die Einstellungen kann man das später de-/aktivieren.

Die Verbindung zum Cyanogen-Server wenn Fehler-Reports an die Entwickler gesendet werden sollen (CM-BugReport App + Mail).
Man wird vorher gefragt und kann jederzeit abbrechen.
Über die Einstellungen kann man das de-/aktivieren.

Die Verbindung zu einem DNS-Server (DNS Port 53/udp) beim Start bzw. Wechsel der Schnittstelle (Standard ist auf allen Androiden Google's DNS 8.8.8.8/8.8.4.4 oder das DNS des Mobilfunk-Providers der SIM).
Mit AFWall+ Firewall kann man einen eigenen DNS-Server erzwingen.
___

Seit Februar 2016 nicht mehr relevant:

Die Verbindung zum Cyanogen-Server beim Einrichten (CM-Account), in aktuellen Releases der ROM ist das entfernt (die App).
Ohne eingelegte SIM und durch Überspringen der W-LAN-Einrichtung beim Setup zu unterbinden.
Mit AFWall+ Firewall konnte man das unterbinden.

Die Verbindung zum WhisperPush-Server (TextSecure, SMS, verschlüsselt) beim Einrichten (WhisperPush App), in aktuellen Releases der ROM ist das entfernt (EOL 01.02.2016)
Mit AFWall+ Firewall konnte man das unterbinden.
___

Nach dem Rooten und Sichern (Schritt 1 vom Vor-Posting oben) dann

Schritt 2:
CM 12.1 ganz ohne Google Apps installieren
Surnia (LTE) - [ROM][surnia] CyanogenMod 12.1 (Android 5.1.1 Lollipop) (Moto E 2015, 4G LTE, XT1524)

(CM 12.1 Lollipop 5.1.1 läuft seit Monaten produktiv auf meinem Moto E 4G/LTE und ich bin hochzufrieden, obwohl ich sehr anspruchsvoll bzgl. Code-Qualität bin. - CM 13.0 Android 6.0.1 ist momentan eher zum Experimentieren.)

Schritt 3:
AFWall+ installieren, Phone absichern (Schritt 2 vom Vor-Posting)

Schritt 4:
Datenschutz/Datensicherheit/Synchronisation/vollständige Kontrolle (Kontakte, Kalender, Aufgaben, Dateien)

raspberry owncloud installation - Google-Suche

Auf dem Phone benötigt man für die eigene Owncloud dann (auch oder vor allem ohne Google)

1. Open Tasks
2. DAVDroid
3. Owncloud

Falls du F-Droid nicht kennst (was ich nicht glaube):
Diese Apps kann man sich auch mit der F-Droid App downloaden (analog zu Play Store)

F-Droid | Free and Open Source Android App Repository

Viel Arbeit, aber für mich hat sich das alles sehr gelohnt.

Ich habe mich lange darüber informiert, welcher Smartphone-Kosmos für mich geeignet ist. Dabei war recht schnell klar, dass Android meinen Vorstellungen am nächsten kommt. Alleine wegen der Möglichkeit, auf ein Google-freies Cyanogenmod wechseln zu können, und vieler nützlicher Open-Source-Apps, wie sie bei F-Droid zu finden sind. Ich habe Deine Anleitungen schon ein paar Mal überflogen und befasse mich nun intensiv mit dem Umstieg. An einem der nächsten Wochenenden werde ich mich wahrscheinlich einmal in Ruhe hinsetzen und mein Motorola, mit dem ich wirklich sehr zufrieden bin, auf CM 12.1 umstellen. Hoffentlich geht nichts schief…

Leider musste ich feststellen, dass mir auch weiterhin winzige Datenpakete ohne mein Zutun von meinem Anbieter in Rechnung gestellt werden. Lediglich das Muster hat sich geändert. Das heißt, es wird jetzt nur noch ein- statt zweimal täglich zu stets wechselnden Uhrzeiten eine Verbindung aufgebaut und ein 1 KB großes kleines Datenpaket ausgetauscht. Es bleibt dabei weiter unklar, ob es sich um einen Up- oder Downstream handelt.

Unter CM 12.1 gab es mitunter bis zu viertägige Pausen, in denen keine Datenpakete transferiert wurden. Unter CM 13.0 herrscht höchstens zwei Tage Ruhe. In welchem Zusammenhang diese Transfers auftauchen, ist mir weiter unklar. Ich weiß nicht, ob die Uhrzeiten in der Verbindungsübersicht der Verbuchung entsprechend oder dem tatsächlichen Zeitpunkt der Leistung. Denn zu vielen der aufgelisteten Zeiten befand sich mein Smartphone im heimischen WLAN. Ein Verbindungsaufbau über die mobilen Daten, wofür auch immer, wäre also nicht notwendig. Einzig wenn ich die SIM-Karte entferne, wird kein Verbindungsaufbau verbucht.

Ich hatte zwischendurch im Verdacht, dass, wie von ooo beschrieben, beim Startvorgang bereits eine Verbindung hergestellt wird, die ich nicht kontrollieren kann bzw. die von AFWall+ und Network Log nicht erfasst wird. Allerdings starte ich mein Gerät nicht täglich neu und nicht zu den genannten Uhrzeiten (teils zu nachtschlafenden Zeiten). Nur zum Flashen einer neuen Nightly von CM 13.0 schalte ich mein Smartphone ab und starte es wieder. Zuvor aktiviere ich dabei stets den Flugmodus.

Das Protokoll von AFWall+ ist leer. Network Log, mit dem ich unter CM 13.0 weiterhin Probleme beim Loggen habe, zeigt nur die Verbindungen an, die ich auch tatsächlich aktiv ausgelöst habe: Firefox, K9-Mail, Kernel (im Detail weiß ich jedoch nicht, was dabei nach außen kommuniziert), NewPipe, Root (auch hier sind für mich keine Details ersichtlich), Whatsapp sowie der Zeitdienst (das Synchronisieren habe ich allerdings mittlerweile in den Einstellungen deaktiviert). Die Datenpakete werden aber laut Network Log allesamt über WLAN ausgetauscht. Zu den in der Verbindungsübersicht aufgelisteten Uhrzeiten hat Network Log nichts erfasst.

Ich werde mich die Tage nun mal mit meinem Netzanbieter in Verbindung setzen. Mir geht es dabei nicht um die Kosten, beim anstehenden Italien-Urlaub werde ich die SIM-Karte wohl aus dem Gerät herausnehmen, um nicht, trotz entsprechender Einstellungen, keine Kosten für ein nicht gewolltes Roaming tragen zu müssen, ich möchte gerne wissen, was dort geschieht und um welche Daten es sich dabei handelt, die ausgetauscht werden.

Ich kenne das beim Umschalten der Interfaces (W-LAN fällt aus irgendeinem Grund weg, z. B. 24-Stunden-Trennung - Android wechselt zu Mobile Daten, wenn aktiviert, W-LAN ist kurze Zeit später wieder da, Mobile Daten sind zwar noch an, aber WiFi wird von Android immer bevorzugt und sofort benutzt, wenn parallel aktiv vorhanden) bzw. zwischen den einzelnen Standards innerhalb der Mobilfunk-Schnittstelle (2G <> 3G <> 4G), wenn AFWall+ auf automatisches Anwenden der Profile bei Schnittstellen-Wechsel eingestellt ist (1-Cent-Beträge bei Prepaid, Traffic <= 1 kB). - Zu letzterem evtl. hier mal lesen, ab "Modem Traffic" (englisch).

___
Edit:
Weitere Quelle dazu

An Race Condition example could be that the firewall rules aren't loaded completely/success, while the Kernel is already working on the network traffic (Output-Chain rules missing at this time) - This is an hole and answers the questions why there is still network traffic right after switch to the new rules. Closing this hole isn't possible, since iptables can't use the same ruleset for everything, only nftables not suffering from this.

Zum Vergrößern anklicken....

Zum Thema "ungewollte Verbindung" hier eine interessante Nachricht:
Offenbar Abrechnungsprobleme bei LTE-Roaming im Ausland

Auch dort ist das Datenpaket 1 kB klein und hat ziemlich große Auswirkungen.

Wenn ein Mobilfunkprovider z. B. 40 Millionen Kunden hat und das bei allen Kunden täglich einmal passiert (1 kB = EUR 0,01), sind das für den Kunden unnötige EUR 3,65 p. a., aber für den Provider eine Jahreseinnahme von sage und schreibe EUR 146.000.000,00. - Nette Gegenleistungs-lose Einnahmequelle ... Ich werde jetzt auch "Straßenräuber" (Mobilfunkprovider) ... von wegen technisch bedingt ...

Vielen Dank für Eure Hinweise und Links. Ich habe mein kleines Problemchen nun offenbar in den Griff bekommen. Seit zehn Tagen hat mir mein Anbieter keine Dienstleistung mehr in Rechnung gestellt, die ich nicht veranlasst habe.

Dazu habe ich, statt die APN's zu löschen, lediglich die Netzwerkadressen auf "localhost" umgestellt. Bei telltarif.de habe ich gelesen, dass das Löschen der APN's zwecklos sei, da trotzdem ein Verbindungsaufbau möglich wäre. Außerdem habe ich in den Einstellungen das bevorzugte Netz auf 3G geändert. Seither gibt es keinerlei Verbindungsaufbau mehr ins mobile Netz. So blieben mir in meinem Urlaub teure, ungewollte Roaminggebühren erspart.

Da Cyanogenmod 13.0 auf dem Surnia nun recht stabil läuft - lediglich die SMS/MMS App (com.android.messaging) meldet nicht übertragene SMS, obwohl sie tatsächlich gesendet wurden - kann ich mich endlich mal entspannter zurücklegen und spiele nicht laufend mit dem Gerät herum. Auch wenn dies den Vorteil hatte, dass der Umgang mit diesem nun sehr vertrau ist.