Mobiltelefon védelme

Android

Egyre több fontos adatot tárolok a telefonomon, egyre több szolgáltatást veszek igénybe rajta keresztül. Egyrészt jó lenne növelni a biztonságot, másrészt csökkenteni, hogy "minden" alkalmazás hozzáférjen a címjegyzékhez, adatokhoz. Szívesen tiltanám pl. a mailtrack.io hoz hasonló követőkódokat, az összes FB url-t… de első keresések alapján nem is olyan egyszerű.
Ki mit tesz a telefonja védelme érdekében? Pontosan mi ellen érdemes védekezni?

( peterson v | 2019. 09. 03., k – 14:31 )

Nem erőltetem meg magam a durva védelmekkel.
Egyszerűen csak odafigyelek:
- minimális alkalmazás van fenn, amiket tényleg használok
- nem telepítek és törlök egyfolytában, nem próbálgatok appokat kíváncsiságból
- amelyik app hozzá akar férni valamihez, az megkérdezi, ergo: elolvasomm a kérdést, és csak azt engedem meg amivel valóban egyetértek

Még nem tapasztaltam, hogy engem, vagy adataimat bántották volna. :)

5 éve Android.

---
"A megoldásra kell koncentrálni nem a problémára."

"Még nem tapasztaltam, hogy engem, vagy adataimat bántották volna. :)"

Az adathalász akkor csinálja jól a munkáját, ha észre sem veszed. Azok a virusok/malwarek kókány munkák, ahol már a fertőzés pillanatában észreveszed...
-------------------------
Hivatásos pitiáner
neut @ présház

hasonlóan járok el én is, de még így is be lehet szívni olyan vidámságokat, mint pl. a CamScanner esete. Egy teljesen normális alkalmazás beintegrált egy 3rd pary SDK-t ami reklámokat jelenít meg a nem fizetős verzióban és ebben volt a malware. A szép az egészben, hogy bár nekem az alkalmazás fizetős verziója van meg, a fejlesztők megerősítették, hogy annak a kódbázisa azonos a free verzióéval, ezért abban is benne volt az ártalmas kód...
Lehet, hogy érdemes lenne megfontolni valami 3rd party antivírust a telefonra is...

Ezekre én is figyelek.
Bár nekem az se mondig egyértelmű pl. hogy ki mit szinkronizál a saját felhőjébe. Volt olyan frissítés, ami után azt vettem észere, hogy a Samsung is szinkronizálja a címlistát, pedig minden Samsung szinkronizálást próbáltam tiltani amikor vettem a telefont.

( ncc1701 | 2019. 09. 03., k – 14:50 )

Tettem rá egy atom biztos tokot, úgyhogy ha leejtem nem lesz remélhetőleg baja. Meg egy vastagabb üveg fóliát.
Vagy ez a beszólás trollkodásnak számít? :) Sok ráhatásom nincs a telefonomon tárolt adataimra anélkül, h opatnám magam azzal, h letiltok rajta mindent.

( nagy_peter v | 2019. 09. 03., k – 15:17 )

A mailtrack.io nem tud követni, ha nem jeleníted meg az e-mailben a képeket, és nem kattintasz a linkekre. Ezt a GMail app-ban be lehet állítani, de szerintem minden más levelező is tudja. A linkek követésénél ha akarja, mindenképp megtudja, hogy rányomtál-e a linkre, hiszen maga a cél URL is figyelhet, de amíg nem kattintasz rá, addig nem tud követni.

FB url-t hatékonyan root joggal, host file szerekesztéssel lehet kikerülni, de a KIWI nevű böngésző androidon támogatja a chrome bővítmények többségét. Ott egész hatékony FB blokkolók is vannak.

Az android rendszer pedig már hosszú ideje támogatja a jogosultságokat, az egyes programok esetén rákérdeznek, hogy mihez férhetnek hozzá. Van néhány régebbi program, ami még a telepítéskor kér jogot, de ott az első indítás előtt el tudod venni a jogait, és akkor nem fér hozzá semmihez. (android 8 alatt már tutira, de mint ha a 7-es is engedné már)

A notimon, az otthoni routeren a hosts fájl tartalmazza ezt a sort:
0.0.0.0 mailtrack.io
Ez szépen tiltja a "követőképet", de a hasznos kép továbbra is megjelenik webes levelezőben és levelező kliensekben is.
A komplett képek tiltását már önszivatásnak gondolom, nem akarok felesleges levelezést folytatni a parterekkel, hogy miért nem nézem meg a levélben levő képeket. Nem is egyszerű megállapítani, hogy tartalmazza-e a követőképet.

Ez a modositast tartalmazo gepen tiltja azt a tartalmat, amihez a 'mailtrack.io' -hoz kellene csatlakozni. Ez barmi lehet, nem csak kovetokep.

Tovabbra is azt mondom, hogy a levelmegnyitast trackelo technologiakat csak ugy tudod kitiltani, ha minden tavoli tartalom letiltasra kerul az emailben es ezt csak tovabbi kattintasra engedi betolteni a kliens (erre legalabb 10 eve minden levelezokliensben van gyarilag opcio). Egy tavoli objektumrol pedig nem tudod eldonteni, hogy hasznaljak-e kovetesre vagy nem.

Pontosan értem a működését és azt is amiért a teljes tiltást írod.
Számomra nem probléma, ha semmit nem érek el a mailtrack.io alól. Nem a tökéletes megoldást keresem. Ha a gyakoribb követőkódokat hatékonyan tudom tiltani, már tökéletes.

Asztali gépen, ha a hosts fájlt kibővítem pl innen:
http://winhelp2002.mvps.org/hosts.htm
akkor pár perc beállítás, elhanyagolható terhelés mellett, jelentősen csökkentettem a követőkódokat, reklámokat, káros oldalakat...
Sok éve használom, teljesen jól működik.

Ehhez hasonlót keresek mobilra, de úgy látom nem igazán van.
Az adblockereket elég jelentősen lepontozzák a play store-ban, nem lehet véletlen. (Még nem próbáltam)
Hosts fájl csak rootolt telefonon szerkeszthető.
Néztem az OpenDNS-t, amit egyrészt egyszerű használni, megadható saját tiltás, de gyakorlatilag csak WIFI-hez állítható be, ami részmegoldás.

Egyelőre úgy látom, hogy mindenre csak részmegoldás van az asztali gépeken használatos megoldásokhoz képest.

A Mailtrack nem csak a követő-képet csinál, hanem minden linkből is csinál egy saját linket átirányítással, hogy a linkre kattintást tudja követni. Ha ilyentől kapsz linket, akkor azt sem fogod tudni megnézni. (bekapcsolható opció annak, aki fizet érte). A Mailtracken kívül pedig egy rakás követőkódos levél van még.

Érdekessgképpen a mailtrack gépen azt is jelzi, ha mástól kapsz követőkódot tartalmazó levelet. (zöld pöttyöt tesz a feladó elé) Pl a Lidl hírlevelek, a Youtube legtöbb levele, a Patreon leveleire rendre jelez, hogy van bennük követőkód (nem csak saját, más követőkódokat is felismer).

A Lidl pl. a "l.newsletter.lidl.com" domaint használja nálam követésre, és ugyaninnen vannak benne a külső képek is. Szóval vagy hagyom, hogy kövessen, vagy nem nézem meg.

opt, én a Samsung Browsert használom évek óta még nem samsungos telefonon is. Az oka, hogy bővítményként használni tudja az

- Adblock Plus For Samsung Internet (testre szabható, úgy mint a FF-ra élezett társa)
- AdClear Content Blocker
- Disconnect for Samsung Internet Browser (kifejezetten nyomkövető blokkoló)
- Adblock Fast
- Adguard Content Blocker
- Unicorn (fizetős)

beépülő reklámszűrőket.
Én az első hármat használom, és természetesen a Samsung Browser az alapértelmezett böngészőm. Sokkal gyorsabb a kívánt webes tartalom elérése. A Google Chrome-ot messzire kerülöm.

( zrubi v | 2019. 09. 03., k – 15:31 )

Szerintem ez halott ügy, több sebből vérzik a "biztonságos telefon" gondolata is.

- már a hardwergyártó sem megbízható,
- a "cimkéző cég" is ráderölteti a vackait előretelepített, letörölhetetlen appok formájában,
- a szolgáltató is belepakol még ezt-azt,
- az OS "broken by design",
- a hárombetűs nemzetvédelmi szervezeteknek is vannak igényei,
- az appok ellenőrizhetetlenek, és nagy részük csak értékelhetetlen szemét.

Értem ezalatt, hogy már a tervezésekor sem a biztonság volt/lesz a cél, ezt csak utólag próbálják beleerőszakolni több - de inkább kevesebb - sikerrel.

Ezen kívül a "biztonság" mindenkinél mást jelent. Kontinensenként, országonként és egyénenként egyaránt különbözőek az igények és az elvárások is.

A végén meg az van, hogy csakj egyetlen dolog dönt: az ár.
ÉS mivel mindenki minél olcsobban (sőt ingyen) akarja mindezt... ebből jön ki végül hogy Te nem felhasználó, hanem termék vagy ebben a business-ben.

--
zrubi.hu

Ha mindenki beletörődik mindenbe, akkor ez csak egyre rosszabb lesz.
Ha a hárombetűs szervek meg akarnak figyelni, valószínűleg nem fogok tudni semmit tenni ellene, és nem is ez a cél.

Szívesen fizetek olyan alkalmazásért, szolgáltatásért ami hasznos számomra.
Kipróbáltam a protonVPN-t, amivel elégedett vagyok. Ez bizonyos esetekben hasznos.

Egyelőre arra jutottam, hogy követőkódok, káros oldalak... ellen csak a külső proxy, DNS szerver jelent védelmet.

Nem véletlen tiltja az ilyen alkalmazásokat a Google a playből (biztonsági és saját okokból is - nehogy ne lásd a reklámokat).

Külső források engedélyezése elvileg nem olyan nagy kockázat erre is külön kell jogosultságot adni tehát lehet olyat hogy csak az F-Droid tud külső helyről telepíteni - ez pedig a frissítéseket is megoldja.

( THavoc v | 2019. 09. 04., sze – 09:59 )

Samsung telokon van Knox, ami csinal egy (ket) kulon kontenert, amibe tudsz appokat telepiteni, adatokat menteni, ezeket kulon-kulon kulcsal enkriptalja, a kontenerbol az appok nem latnak ki, kulso appok nem latnak be. Ha elveszted, a kontenert lehet torolni. (Samsungokon az intune is knox alapu, ceges kontener ugyanigy mukodik csak kozponti ellenorzes alatt, lehet egyszerre ceges es sajat kontenered is)
Browsernek a Mozilla Focus-t hasznalom, szuri a trackereket alapbol, mikor kilepsz torli az osszes sutit, etc, tehat a cross-site kovetes elmulik mukodni :-)

Persz ez mind nem segit a google/facebook problemakoron, de legalabb ezek az ekoszisztemak el vannak kulonitve, es kulso adathoz nem jutnak.

Desktopon kb. ugyanez, Firefox a multi-account container-el, ott is a google/fb ekoszisztemaknak van sajat kontenere, minden mas temporary kontenert kap ami kilepeskor megsemmisul.

( noorbertt v | 2019. 09. 04., sze – 18:39 )

Olyat telepíteni a telefonra ami megbízhatónak mondható és nem valami faxsag.
Online védelemre Adguard szerintem elég jó megoldás.

( AiRLAC v | 2019. 09. 05., cs – 11:11 )

/troll
Én vékony alufóliát tekerek a telefon meg a fejem köré
/troll off
--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

( hendrick v | 2019. 09. 06., p – 03:38 )

pl nem teszek fontos adatot a mobiltelefonomra?
pl netbankhoz nem androidos otp generátort használok hanem hw tokent? etc

Pontosan miért nem? Hallasz tömeges visszaéléseket?
Bankhoz,... Mobil + (NFC-s) Yubikey?

Látok problémákat, de nagyon kényelmes "bárhol, bármit intézni". Sok időt spórolok vele. Én ezekről lehetőleg nem szeretnék lemondani, inkább próbálok tenni azért, hogy nyugodtan lehessen használni, mert elég biztonságos számomra.

"pl netbankhoz nem androidos otp generátort használok hanem hw tokent? etc"

A CIB épp mostanában vezeti ki a hw tokent. Pontosabban szólva a korábbi havi 150 Ft-os dijból csináltak valami 3-5000 közöttit. Szóval marad a sw token...
-------------------------
Hivatásos pitiáner
neut @ présház

Egy jol megirt sw token kb ugyanolyan biztonsagos tud lenni mint egy HW token. Tudom mert foglakoztam vele, altalaban a SW tokenek is ugyanazoktol a gyartoktol(RSA,Gemalto,Vasco, stb ...) szarmaznak mint a HW tokenek. A sw tokenek, biztonsaga alig kisebb mint a HW tokeneke, bar fontos hogy a bank hogyan integralja bele a sajat alkalmazasaba az adott gyarto termeket. Es persze fugg a telefontol is amire telepive van az alkalmazas, bar sok megoldas van amivel az app tudja validani a telefon integritasat es megvedeni magat.

> pl nem teszek fontos adatot a mobiltelefonomra?

Hova teszel fontos adatot? Miért bízol meg jobban a számítógépedben, annak a hardverében, rajta futó firmware kódjában, oprendszerben, böngészőben, böngészőben futó kiterjesztésekben jobban, mint pont ugyanezekben mobilon?

( YleGreg | 2019. 09. 06., p – 10:50 )

Ez nem technikai kérdés, hanem pénzügyi.

Amíg a telefonod oprendszerére megéri exploitot fejleszteni, addig támadni is fognak. Megfelelő használattal és szerncsével megúszhatod a dolgot, de ha botlasz, vagy csak egyszerűen peched van, akkor megtörnek.

Ez ellen két védekezés van:
- semmi olyat nem tárolsz a telefonon amit nem látnál szívesen publikus oldalakon
- egyedi telefont használsz, például a most érkező Librem 5 valószínűleg kevésbé lesz kereszttűzben, mert néhány ezer hippi szívatására exploitot fejleszteni kevésbé megtérülő mint milliárdos nagyságrendű androidos balféket kizsebelni.

csak megerősítésként néhány friss, releváns hír:
https://thehackernews.com/2019/09/just-sms-could-let-remote-attackers.h…
https://thehackernews.com/2019/09/tweet-via-sms-text-message-hacking.ht…
https://thehackernews.com/2019/09/gps-tracking-device-for-kids.html
https://thehackernews.com/2019/09/youtube-kids-privacy-fine.html
https://thehackernews.com/2019/09/android-full-chain-zero-day-exploit.h…

ennyit a biztonság és a telefon kapcsolatáról...

szerintem.
--
zrubi.hu

Számítógépen tárolsz fontos adatot? Csak mert ott is vannak bőven kártevők, szoftverhibák, és kismillió módja, hogy kövessék a tevékenységedet (direkt nem követőkódot írtam).

Azért indítottam a témát, mert igen, vannak problémák. De nem tartom kritikusnak a helyzetemet, mert nem olcsó kémtelefonom van, odafigyelek sok apróságra,... ugyanakkor szeretném hatékonyan, önszivatás nélkül tovább növelni a biztonsági szintet.

PC-n (!=Windows) is eléggé reménytelen a helyzet, de ott még látom a fényt...

Viszont tény, hogy egyre kevésbé lehet elkerülni, hogy a tefonodon is hasonlóan bizalmas adatok illetve hozzáférések legyenek. lásd pl CIB token. Nekem sem lett más választásom, mint feltenni a telefonos app-ot. :(

Szóval értem a törekvésedet, egyet is értek vele, csak szerintem eléggé "szélmalomharc" jellegű.

--
zrubi.hu

Alapbol nem tunik tul szofisztikaltnak a felulete, de eleg jol lekorlatozhato minden a teljes hasznalhatatlansagig - meg transzparens proxy jol definialhato szabalyokkal hianyzik belole :)

block mobil+wifi + manage system apps + log & filter trafic ez szinte megfelel az iptables -A OUTPUT -j LOG iptables -P OUTPUT DROP -nak , azelott tuzfalon elemeztem az ezkoz kimeno forgalmat(de ott mar nincsen meg a PID - itt meg egybol latod hogy melyik app felelos valami nem kivánt kapcsolatert)

Nehany dolog ami problemas volt es eszembe jut:
- Ha logolsz + szursz akkor az aku idod 5-15%-at elviszi - de erre figyelmeztet is - ez egy vallalhato kompromisszum, ha nem vinne el akkor el vinne az az app aminek a forgalmat blokkolja.
- Sok systemapp ugyanazzal az idn fut azok csak egyszerre tilthatok/engedelyezhetok, pl ha a voip hivast a gyari dialerrel ki akartam engedni akkor az osszes qualcom-os processt engedni kell (vagy feltenni 3party voip klienst)
- Voipal volt idonken hogy nem ment ki a hivas - ezen az allapoton airplane mode on+off mindig atlenditette
- Play-esben korlatozott a reklamszures, F-droidosban a pro funkciok, Githubosal nehezkesebb az update.
- az INPUT, FORWARD -ra matchelo szabalyokat nem szuri csak az OUTPUT-ot - igy sem a tethering sem az esetlegesen futo halozat fele nyujtott szolgaltatasok nincsenek szurve.
- hosts-t csak egyben importalni tudsz. sajnos egyesevel hozzaadni/elvenni rekordokat nem lehet, pedig neha jol jonne.

( mt9 | 2019. 10. 05., szo – 11:38 )

> Szívesen tiltanám pl. a mailtrack.io hoz hasonló követőkódokat, az összes FB url-t…

Mit értesz FB url-ek tiltásán?

( fastlemon | 2019. 10. 05., szo – 22:44 )

így: https://logout.hu/dl/upc/2019-10/127288_vedelem.jpg ez a legjobb, és megfúrhatatlan.
Hasonlóan hatásos ez is: https://youtu.be/cyt9mxfHJTY?t=139,
szerintem ebből már semmilyen mágia nem szed ki adatot: https://youtu.be/pQRxHOiv10E?t=579 ... . szerk, utóbbi mégsem, inkább

https://youtu.be/KWqw5SpITg8?t=118 na ebből aztán tényleg semmit nem nyer ki senki, viszont aszfaltba, vagy bejáróba még jó lehet a színe alapján.

( agostonl | 2019. 10. 07., h – 16:22 )

Az én telefonomon ezeket a tiltásokat a blokada intézi. a http://www.blokada.org-ról kell leszedni, nem a play-ről!

Régen minden más volt... ma meg minden a régi.