Little Snitch für die Hosentasche
Guardian: Erste iPhone-Firewall will im Sommer starten
Langjährigen ifun.de-Lesern dürfte der Name Will Strafach ein Begriff sein. In den frühen Tagen des iPhones sorgte der Hacker für Fortschritte in der Jailbreak-Community, in den zurückliegenden Jahren hat Strafach mit seiner Security-Firma schwarze Schafe im App Store ausfindig gemacht.
Unter anderem deckte Strafach auf, dass Apple ausgewählten Drittanbieter-Anwendungen (etwa Uber) Sicherheits-Zugeständnisse machte und gestattete, die Standard-Einschränkungen iPhone-Betriebssystems zu umgehen. Zudem informierte der Programmierer die unwissende Community darüber, dass Wetter-Anwendungen wie AccuWeather die Standort-Daten ihrer Nutzer ungefragt und kontinuierlich an entfernte Server übermittelten.
Eine weit verbreitete Unsitte, die erst im Februar erneut für Schlagzeilen sorgte. Damals stellte das Wall Street Journal fest, dass zahlreiche Drittanbieter-Applikationen sensitive Gesundheitsdaten ungefragt an Facebooks Server senden.
Tracking-Übertragungen sollen unterbunden werden
Eben jener Will Strafach hat nun die baldige Verfügbarkeit der iPhone-Firewall Guardian bekanntgegeben.
Guardian soll am 14. Juni in den Markt starten und dann den ausgehenden Netzwerkverkehr des iPhones überwachen und Alarm schlagen, sobald installierte Apps ohne eure Befugnis nach Hause telefonieren. Ein Produktversprechen, dass an die Mac-Anwendung Little Snitch erinnert, jedoch noch einen Schritt weitergehen soll.
So soll Guardian aktiv auf Apps hinweisen, die versuchen Tracking-Daten übermitteln und blockiert entsprechende Netzwerkverbindungen selbstständig.
Ob Apple die Anwendung, die nach einer 30-tägigen Testphase 9,99 Euro pro Monat bzw. 99,99 Euro pro Jahr veranschlagen will, letztlich in den App Store aufnehmen wird, bleibt jedoch unklar. Andere Apps, die den Netzwerk-Verkehr des iPhones manipulierten, etwa der Werbeblocker AdGuard, wurden in der Vergangenheit aus dem App Store ausgeschlossen.
Super, warte schon lange auf sowas
99 Tacken im Jahr??? Viel Erfolg!
Also mir wären die 27 Cent am Tag für die Sicherheit meiner Daten allemal wert :)
Das Gute an den Abos ist doch, keiner wird dazu gezwungen diese abzuschließen ;D
Rechne das noch pro Stunde um, dann sind es sogar nur 0,01 Cent für deine Sicherheit. Wenn man sich schon etwas Schönreden will, dann mach es wenigstens richtig.
@Kai – weiß nicht wo das Problem ist, wer kein Abo will bucht keins!
Wenn Service X 100,- im Jahr kostet, dann kostet er das einfach. Da hilft auch kein Jammern und Co. ;)
Von wegen 27 Cent… fast 1000 Euro im Jahrzehnt sind mir echt zu teuer …
;-)
haha geil was hier abgeht ;)
Das ist schon dein 3ter gleicher Kommentar. Möchtest du das jetzt bei jeden schreiben der über die 100 Euro im Jahr meckert ?
Wenn ich die App nutzen möchte werde ich schon dazu gezwungen. Wie dumm ist das denn? Die Tatsache dass ich die App nicht nutzen kann wenn ich das nicht möchte ist der Grund warum sich die Leute darüber beschweren. Seid ihr wirklich so kleinlich?
Ich war gestern mit meiner Frau essen. Das hat 450,-€ gekostet. 99,-€ pa dafür das ständig jemand überwacht welche neuen Schweinereien sich die App Hools überlegen und dagegen etwas tut. Lächerlich. Wem das zu viel ist (oder es nicht hat) der ist sowieso geschützt. Dessen Daten will niemand.
Wer für 450,- essen gehen kann, hat natürlich einfacher 99,- im Jahr einfach über als jemand, der zuhause kocht ;)
Hab Ihr ein ganzes Rind verspachtelt?
Die Frau muss ja auch bezahlt werden.
Und wieder Ein Abo mehr … Oder € 100/Jahr. Würde es gerne nach einer Testphase einsetzen aber es ist (mir) zu viel geworden mit den Abos.
Wie viele Abos hast du denn?
Und wer zwingt dich dazu?
Was ist das für eine unqualifizierte Aussage ! Wenn ihn Anwendungen interessieren und es keine andere Möglichkeit gibt muss er ja zum Abo greifen!
Nein- Gott sei Dank muss man nicht!
100,- im Jahr sind knapp 8,40 € im Monat, das wiederum sind knapp 27 Cent am Tag!!!
Also das, denke ich, kann man für die Sicherheit seiner Daten schon aufbringen ;)
Da geh ich lieber über meinen eigenen VPN auf meinem NAS, das eh 24/7 läuft: Kostet mich 0,00€ / Jahr mehr.
@waldelf – wenn man das selber hat, um so besser. Aber nicht jeder hat ein NAS, etc.
Bzw. kostet so eine Infrastruktur auch Geld (meist nicht wenig) und verbraucht Strom (was auch nicht um sonst ist) ;)
Und dein NAS analysiert dann den Traffic der Apps und informiert dich dann? Da musst du aber schon einiges mehr auffahren als eine einfache VPN um Apps zu identifizieren die im geheimen z.B. Tracking- oder Healthdaten verschicken.
Waldelf, funktioniert das auch unterwegs?
Eine NAS verbraucht im Schnitt im Dauerbetrieb 50-52€ Strom im Jahr.
@Maurice
Der Vorteil einer eigenen VPN ist aber, dass diese für alle Geräte genutzt werden kann und somit für die meisten Kostengünstig ist, als ein Abo für mehrere Geräte (Frau/Kinder/Dienstlich/Privat/usw).
Es bedarf keines NAS. Pi hole auf Raspberry Pi tut es auch. Und das VPN stellen viel Router bereit. Hat mir in China zudem noch geholfen meinen Datenstrom einigermaßen sicher ins weiwang (Draussennetz, also unseres außerhalb Chinas) zu leiten.
Ernste Frage dazu: wo bekommst du die entsprechende Filterliste her? Nimmst du den Bord-VPN? Würde mich auch interessieren mit der Synology ds414j. Danke schonmal
Ging an clausimausi oben…
@waldelf: Gibt es dazu Anleitungen, wie man sowas einrichtet, bzw. welche Anleitungen kannst du dazu empfehlen?
Ich sehe das wie Hannes. VPN auf der Fritzbox und der pihole kümmert sich ums tracking thema. natürlich müssen die listen da auch gepflegt werden, aber das kann auch ein einfacher cronjob erledigen.
Mit PiHole lässt sich das aber nicht so einfach realisieren.
PiHole ist konzipiert um Werbung aus dem Internet zu fischen.
Um das auch zum verhindern von HomeCalling zu bewegen bedarf es schon eines extremen Aufwandes.
Man müsste dazu rausfinden (1)WELCHE Apps (2)WANN (3)WIE (4)WOHIN (5)WAS senden.
Außerdem müsste man identifizieren welcher Datenstrom für die App wichtig ist und was geblockt werden kann.
Die meisten würden schon bei (1) scheitern.
Ich verwende Weblock, das filtert zuverlässig Ads und Tracker in Safari und allen Apps. Seine Lieblingsapps wie iFun kann man natürlich whitelisten ;-)
Arbeitet im WLAN und Mobil, Einmalkauf, kein Abo. Technisch ist es ein DNS-Proxy über eine lokale VPN-Verbindung. Nichts wird über externe Server umgeleitet.
Eigentlich erstaunlich, dass das immer noch im AppStore ist. Es macht ja auch nichts anderes als AdGuard seinerzeit.
Du kannst damit zwar Werbung sperren. Kannst du damit auch verhindern, dass die App sich mit dem Internet verbindet?
Sieh unten meine Frage zu VPN/FW
Wenn ich die Zielserver kenne, dann ja. Ansonsten wüsste ich auch nicht, wie das überhaupt eine Firewall managen will.
Eine FW sieht nur Netztraffic. Wenn der transportverschlüsselt ist, wie heute üblich, kann sie nicht reinschauen, ohne die Verschlüsselung zu brechen.
Und die App AccuWeather gibt es noch immer im AppStore!? 4,5 Sterne
Nimm Pflotsh
Die reinste Abokalypse…
Jawoll wieder eine Abo App
Nur eine Idee: Könnte man den Internetzugang vom iPhone nicht über VPN nach Hause aufbauen, durch eine FW filtern und dann mit dem Internet verbinden?
Ja, es dürfte eine Geschwindigkeitseinbusse geben, aber man könnte so Apps auch blockieren.
Geschwindigkeitseinbusse? Verkraftbar, wenn du nicht auf 100% deines Vertrags angewiesen und zuhause brauchbares Netz hast. Wärst ja der einzige, der das nutzt…
Ginge wohl auch (ist machbar), dürfte die meisten User aber eher überfordern – sowohl finanziell als auch IT-technisch.
Klar kann man das, machen Firmen z.B. so. Wie performant das ganze mit einem privaten Internetzugang mit schwachem Upload und einem schwachbrüstigen VPN-Router dort dann ist, ist natürlich so eine Sache.
Natürlich. Dann geht die böse App eben durch den Tunnel ins Netz. Was da eine normale (ungewartete) Firewall gegen machen soll, wüßte ich jetzt nicht.
Der Trick ist doch, zu formulieren, was „böse“ ist und was nicht. Und dann zu handeln. Also die Namensauflösung zu manipulieren, PUT/GET/POST-Anfragen an bestimmte Domains verhindern, etc.
Genau so mache ich es:
Ich miete für 15$ im Jahr einen VPS (Server) in einem Wiener Datenzentrum. Auf diesem lasse ich Pi-Hole und den DNScrypt-Proxy laufen. Zusätzlich läuft dort ein IPSec VPN Server zu dem sich das iPhone sobald es aus dem heimischen Wlan rausgeht automatisch verbindet (per mobilconf).
Ergebnis ist werbe- und Trackingfreies Internet inklusive der Verschlüsselung meiner DNS Anfrage. Aaaaber: man muss bisschen basteln wollen und es kostet minimal Akku – daher auch IPsec, da openvpn und wireguard zu viel Batterie verbraucht haben :(
15$ im Jahr? Wo?
Damit verhinderst du aber kein HomeCalling der Apps.
Äpfel und Birnen…
Spannend, vielen Dank für die Inputs.
@IchSchreiGleich
Ich dachte, eine FW weiss, woher eine Anfrage aus dem Homenetz kommt (SW, App, …) und kann diese blocken und/oder verhindern, dass diese bestimmte Server anruft. Die VPN baut die FW mit dem Internet auf.
Hiesse betreffend iPhone: Die App will sich verbinden, wird durch VPN auf die FW geleitet, diese prüft, ob die App/SW es darf und wohin, und baut dann die Ausgangsverbindung per VPN wieder auf. Oder eben nicht.
Es sei denn, die App selber baut eine VPN Verbindung zu einem Server auf. Aber das sollte ja nicht möglich sein, da das iOS dies macht bzw. ein Profil.
Oder sehe ich das komplett falsch? Nur teilweise ;)
Zu Hause erledigt das mein Pi-Hole ziemlich zuverlässig für das gesamte Netz. Ob das Abomodell bei dem Preis wirklich funktioniert?
99,99! Soll das ein Witz sein?
Also mir wären die 27 Cent am Tag für die Sicherheit meiner Daten allemal wert :)
… und mir sind fast 1000 Euro im Jahrzehnt zu teuer
Ich benutze Luna und bin sehr zufrieden! Keine Werbung mehr in YouTube, Facebook, Instagram oder Apps. Sehr Batterie schonend. Hieß früher mal ADMobile bevor Apple es rausgeschmissen hat. Und ist kostenlos. Gibt zwar in App Käufe Ober die kann man umgehen wenn man die App weiter empfiehlt an Freunde.
Ja du schickst aber auch deinen kompletten Traffic per VPN zu denen. Klar ist’s kostenlos – zahlst halt die mit deinen Daten ;)
@ifun:
„…iPhones überwachen und Alarm schlagen, sobald installierte Apps ohne eure Befugnis nach Hause telefonieren.“
Sicher, dass das so ist? Auf der Store-Seite kann ich nichts davon lesen. Würde mich auch sehr interessieren, wie das machbar sein sollte.
Mich auch, denn bis jetzt hieß es immer solche Apps kann es nicht geben. Da sie dank der Sandbox nur sic
H selbst überwachen können.
Abitionierter Preis und auch das Vorhaben ist kühn.
Immerhin hat es die Software in die Vorbestellung geschafft, was hoffen lässt. Bleibt abzuwarten, wie die App es technisch löst. LS funktioniert im Kernelbereich.
Nach etwas Recherche:
Die App hat mit Little Snitch kaum etwas zu tun. Sie ist nichts weiter als ein weiteres VPN, der per IPSec eine Verbindung zu Servern aufbaut und dort wird gefiltert, nicht lokal wie bei Little Snitch.
Also auf den ersten Blick wirken 100€/Jahr ziemlich teuer und würden mich auch zuerst abschrecken.
Aber wenn es funktioniert und einfach in der Bedienung ist, denke ich das es angenommen wird.
Mit dem Gefühl der Sicherheit kann man glaub ganz gut Geld verdienen. :)
Aber wie wird das technisch umgesetzt? Hole ich mir mit diesem Dienst jetzt einen man in the middle der fleißig die Ende zu Ende Verschlüsselung aufbricht? Tolles Geschäftsmodell für den „Erfinder“ aber sicherlich keine Lösung für den Anwender. Nur ein lokales Überwachen der Verbindungen (wie bei Little Snitch) macht aus IT Sicherheit Sicht Sinn. Alles andere ist Bauernfängerei. Also ganz klarer Auftrag an Apple hier endlich eine vernünftige Lösung zu bieten!
Exakt mein Gedanke, wenn Apple den Datenschutz so ernst nimmt, wie sie sagen, dann sollten solche Lösungen originär auf dem iPhone vorhanden sein.
Leider befürchte ich, dass Apple zwar deutlich besser ist als Google (weil Neersen Geschäftsmodell) , aber im Zweifel auch die eigenen Geschäftsinteressen dem Schutz der Anwenderdaten vorzieht. Wie gesagt, da sie nicht originär mit dem Verkauf der Daten Geschäft machen sind sie (noch) besser als Google. Die Entwicklung hin zum Marktplatzanbieter (jetzt wohl auch für Filme) lässt aber übles ahnen. Denn die Marktplatzverkäufer möchten natürlich Informationen über ihre Kunden und z.B. Deren Seh-Verhalten, um neue Filme entsprechend zu produzieren.
Jetzt mögen wieder viele sagen: Ist doch gut, wenn die Produzenten meine Sehgewohnheiten kennen und dann das produzieren was ich mag.
Problem: genau dadurch kommt der „Einheitsbrei“ zustande und der Kunde lebt in der Filterblase. Er lernt gar nichts neues mehr kennen, weil ja alles gleich produziert wird und so guckt er das gewohnte und genau das wird wieder produziert.
Stimmt schon, nur wenn die „Vorschläge“ nicht „passen“ ist das Geschrei auch groß. Das Marketing und dessen Opfer sind interessiert an Blasen und selektiver Wahrnehmung.
Hier gibt es das Gleiche zum selber kompilieren und dazu der Grund, warum es nie im App Store landen wird:
https://github.com/agrinman/sift-ios/blob/master/README.md
Mich stört dieses „just press protect“. Eine professionelle Firewall lebt von selbsterstellten Regeln. Die Beschreibung schweigt, wie viele Apps, zu wirklich relevanten Fragen und bleibt nebulös. Ja nicht den potentiellen User überfordern mit Details.
Warte ich schon lange drauf.
Hoffentlich lassen sich Profile anlegen.
Bei reisen ins Ausland nervt es extrem jedes Mal einzelnen Apps mobile Daten zu verbieten. Ganz abgesehen von der MultiSIM Problematik.
Ich benutze DNS-Cloak unterwegs:
https://itunes.apple.com/app/id1452162351#?platform=iphone
Die App baut einen (on demand) VPN-Tunnel für die DNS-Abfragen und schlägt eine sehr lange Liste an DNS-Servern vor, die DoH oder DNSSEC unterstützten. Man kann sogar sein eigenen DNS-Server mit pi-hole konfigurieren und einsetzen:
https://www.aaflalo.me/2018/10/tutorial-setup-dns-over-https-server/
Und welchen nimmst du in der Liste der sicher ist??
Dumme Frage:
Wieso macht das iOS nicht von Haus aus?
Apple ist doch so auf Datenschutz gedacht!
Die App ist nun im AppStore erschienen ;)
Die App ist aus dem (Deutschen) Appstore wieder entfernt worden.