Ich nutze ewig schon Netguard, habe mir mal (wieder) Rethink angesehen.
Beide zeigen an wieviele Apps sie finden. Bei Rethink sind das sechs weniger. Sowohl bei einem Stock Rom als auch bei einem LOS. Beide Firewalls haben QUERY_ALL_PACKAGES im Manifest, weiter wollte ich das nicht erforschen. Man kann es problemlos offline nachsehen. Bei Netguard in der Benachrichtigung, bei Rethink in der App.
Hat jemand eine Idee dazu?
1 „Gefällt mir“
Ich habe weiterhin bei Netguard keinerlei Anzeige, wieviele Apps sich in der Liste befinden, eine Benachrichtigung dazu kommt auch nicht. Würde das auch gerne mal final vergleichen. Nur eines ist klar, Rethink zeigt sich natürlich nicht selbst in seiner eigenen Liste an, ist also da schonmal -1.
Hast du Netguard eingeschaltet?
Hast du Benachrichtigungen erlaubt?
Hast du links oben neben der Uhr ein Netguard Symbol?
1 „Gefällt mir“
Vielen Dank für die Hinweise, beim jetzigen Test hab ich Netguard nicht komplett aktiviert, hätte ich ja Rethink abschalten müssen. Beim letzten Test ja, aber auch da gab es keine Benachrichtigungen, es stand nur irgendwo, daß Benachrichtigungen gewöhnlich über Google zugestellt werden.
Ansonsten, warum so ein Brimborium, für ne simple Info? Da geht es für mich schon los, Benutzerfreundlichkeit geht anders. Gut, so werde ich über Netguard halt nicht an die Info kommen, wieviele Apps insgesamt installiert sind.
In NetGuard werden ein paar Apps „manuell“ hinzugefügt, so ich mich erinnere, ist ein paar Jahre her ….
zb. „root“ UID 0, „DNS daemon“ UID 1051 „android dns“, „Keiner“ UID 9999 „nobody“, „Medienserver“ UID 1013 „android.media“, „MultiCastDNSResponder“ UID 1020 „android.multicast“,
wobei root, DNS-Daemon, MultiCastDNSResponder hier einige bzw. etliche Einträge aufweisen
nicht ganz klar ist mir, inwieweit die bei root auftauchenden Einträge gesperrt werden können und wie sie entstehen, manche erscheinen als geblockt, manche als freigegeben
„MultiCastDNSResponder“ hat hier auf verschiedenen Geräten zumeist nur einen Eintrag (Multicast-Adressen), z.B. U4 >224.0.0.251/5353 (28.10.2023) oder U6 >fe80…/5353 (29.10.2023)
„DNS daemon“-Einträge zu den beiden Standard-NetGuard-Namservern T4 > dns.google/53 (allerdings vom 28.09.2022)
oder bei einer älteren nicht mehr genutzten Installation:
T6 > 2a01…:221/852 (06.09.2022)
T6 > 2a01…:222/852 (06.09.2022)
U4 dns.google/443 (06.09.2022)
T4 dns.google/853 (06.09.2022)
U4 8.8.8.8/443 (02.09.2022)
T4 8.8.8.8/853 (02.09.2022)
T4 8.8.4.4/853 (02.09.2022)
auf manchen Geräten taucht bei „DNS daemon“ oder „MultiCastDNSResponder“ kein Eintrag auf
„//Add root“ → Suche in den Sourcen →
→
den
„GPS daemon“ UID 1021 „android.gps“
hatte ich bei meiner manuellen Suche übersehen →
Zeitserver-Einträge, wahrscheinlich AGPS-Server,
der hat zum Teil auch einige unerwünschte Einträge
QUERY_ALL_PACKAGES listet wohl nicht alle Apps, imho sollte NetGuard für das Weiterverbleibendürfen im Playstore auch weiter kastriert werden, hab mir die neuesten Playstore-Versionen aber auch nicht mehr angeschaut.
vgl. mit AFWall+
„specialAndroidAccounts“ → Suche in den Sourcen →
Da gibt es aber auch noch weitere Apps, die nicht gelistet werden →
z.B.
die „TriChromeLibrary“ trägt wohl keinen offiziellen Namen, hat wechselnde UID(mit jeder Aktualisierung(?), ansich Neuinstallation), Package „com.google.android.trichromelibrary“, wird imho mit Chrome ausgeliefert, ersetzt imho mittlerweile „Android System WebView“, wenn „Android System WebView“ nicht vorhanden oder deaktiviert, „Chrome“ selbst beinhaltet die „WebView“-Komponente nicht mehr. (installiertes Paket viel zu klein geworden, dafür die Aktualisierung von Chrome meist auch bei zuvor nur wenigen angezeigten kb im größeren MB-Bereich während des Downloads)
NetGuard bekommt die Installation der „TriChromeLibrary“ (zum Teil) noch mit, Installation wird gemeldet, UID wird dann ohne Namen angezeigt, beim Klick darauf landet man in einem leeren Fenster. Per „MDM“ wird man auch über Installation und manchmal Deinstallation informiert, gesehen hab ich die „App“ da aber auch noch nicht bewußt.
Über tatsächlich installierte „Apps“ bzw. UIDs kann man sich wohl nur mittels „root“ ein Bild verschaffen.
3 „Gefällt mir“
Sehr ausführliche Analyse, danke! 
Die Trichrome Library wird jedes Mal zusammen mit Android System Webview heruntergeladen, ist scheinbar ein fester Bestandteil davon. Der Aurora Store macht das erst seit kurzem automatisch, vorher musste man sich die Trichrome selbst irgendwo ziehen und manuell installieren, Version immer passend zum zu aktualisierenen Webview, nur direkt über den Playstore wurden beide Pakete automatisch installiert. So meine Erfahrungen unter Android 11, unter Android 9 scheint Aurora Webview ohne die extra Trichrome Installation zu funktionieren, jedenfalls wird da nichts separat installiert. In Rethink tauchte noch nie ein Eintrag für die Trichrome auf, weder als App, noch für eine Verbindung, für Webview ist bislang noch keine Verbindung aufgetaucht, obwohl z.B. der Fulguris Browser Webview als Basis nutzt.
Habe eben mal noch was probiert, mal „Android System WebView“ deaktiviert, bei dem ich zuvor über die „WebView DevTools“ das Flag „highlight-all-webviews“ („Higlighy the contents (including web contents) of all WebViews with a yellow tint. This is useful for identifying WebViews in an Android application.“) aktiviert hatte.
(PS: die „WebView DevTools“ erreicht man z.B. per App „apps_packages Info“(com.oF2pks.applicationsinfo) von FDroid, auf „Android System WebView“ gehen und unter Aktivitäten „WEBVIEW DEVTOOLS“ wählen.)
Unter „Entwickleroptionen“ bekommt man dann gar keine WebViewImplementierung angezeigt, seit Chrome die eigene nicht mehr mitbringt und man keine eigene installiert hat. („Bromite WebView“ ist leider obsolet geworden ohne Aktualisierung)
Bestimmte Apps von Google(u.a. PlayStore, Maps)forderten schon seit längerem je nach nach Version eine neuere TriChromeLibrary, sodaß man Apps nicht einfach so auf ein anderes Gerät kopieren oder installieren konnte.
Eine App(„Waze“, auch aus dem Hause Google nach Einkauf) hab ich eben versucht, die scheint ohne „Android System WebView“ nicht klarzukommen, also wenn man in die Tiefen der Menüs zu den Nachrichten steigt.
Allerdings hatte ich bei einem der Updates von „Android System WebView“ vor oder kurz nach Trennung von Chrome und dessen WebView im Oktober Probleme mit Outlook im Firmenprofil, schmierte immer wieder ab, bis ich die Aktualisierungen deinstallierte und wieder aktualisieren ließ. Wenn ich WebView im Arbeitsprofil wieder deaktiviere, schmiert Outlook beim Öffnen einer Nachricht wieder reproduzierbar ab. Im PlayStore berichteten viele von Problemen mit Chrome.
TriChromeLibrary scheint bestimmten Apps vorbehalten zu sein. Gut, durch Aktualisierungen(Neuinstallationen) mit neuer UID kann sich da wahrscheinlich nichts dauerhaft einnisten.
Chrome funktioniert mit deaktiviertem „Android System Webview“! „Edge“ als Abkömmling von Chrome auch.
RethinkDNS läßt sich anscheinend nicht über Installationen informieren, die Meldung über eine geblockte App, wenn dies eingestellt ist, erfolgt sehr asynchron nach Installation, vllt. checkt RethinkDNS das nur gelegentlich, man kann es in der App-Übersicht allerdings auch manuell aktualisieren lassen.
„Android Systen WebView“ baut unabhängig von der nutzenden App seit geraumer Zeit auch selbst Verbindungen auf, alle zu Google.
1 „Gefällt mir“
DOS und GOS bieten eine an.
Wenn dein customOS es erlaubt third party einzubinden.
IodeOS z.B. akzeptiert diese beiden Signaturen
1 „Gefällt mir“
Sollte kein Problem sein, Signaturkollisionen wird es wohl keine geben. customOS ist es zwar keines, aber Magisk-gerootet.
2 „Gefällt mir“
Da gibt es aber die Option „Blockiere neu installierte App standardmäßig“ und so muß man dran denken, zudem isolierte ich jede funktionierende App, das heißt, die können nur bislang erlaubte Verbindungen aufbauen und keine neuen, die sich vielleicht nach einem Update dazuschleichen.
Ich habe Webview isoliert, habe jedoch keine Ahnung, inwiefern da innerhalb von Webview Verbindungen zu Google aufgebaut werden können, die man dann nicht sieht. Ggf. benutze ich auch garkeine App, die auf Webview angewiesen ist, ich werde die mal komplett deaktivieren und schauen, wie sich z.B. der Fulguris Browser dann verhält.
Ich habe zwar Bromite bis lange nach seinem „Ableben“ genutzt, jedoch konnte ich Bromite Webview nicht nutzen, da dafür ja Root benötigt wurde und das geht a) auf meinem Telefon nicht und b) ist es mir zu heikel, wegen Bank App und GPay.
Das sind meine unter iodeOS
Wobei nur bei der update.googleapis.com auch Daten fließen
Ich habe die Möglichkeit dies zu tun, aber da ich Shelter nutze ist das mit ner anderen Webview Version so ne Sache. Aufwendig…so dass es mir zu viel ist.
Die Webview Version muss in beiden Profilen installiert und gleich sein, sonst kann man keine andere in den Developer Einstellungen aktivieren (ausgegraut).
Und für die DivestOS Version muss dafür dann auch im Arbeitsprofil F-Droid installiert werden. Die DOS Sources eingebunden werden und beides immer synchron gehalten werden. Ergo, Aufwand der es mir bei der Webview Sache nicht wert ist
1 „Gefällt mir“
vllt. kam es mir nur so vor, aber ich empfinde die Meldung reichlich verspätet aufschlagend
Mmh, wenn „isolated“ das bedeuten soll, ok.
Bei NetGuard muß ich bis auf paar Ausnahmen (andere Domäne trotz gleicher IP oder „Erlaubt“, warum auch immer, obwohl keine andere Domäne gelistet wird, dann ist manuelle Sperre nötig(das ist ein Manko bei NetGuard) ansich nichts explizit sperren.
Ansich war das Sperren bei NetGuard so gut wie überflüssig, wenn eh nur erlaubt war, was explizit freigegeben wurde, wie Mike auch schonmal irgendwann irgendwo schrieb. Die Länge der Listen ist schließlich auch nicht unbegrenzt (gewesen(?)).
Das sind meine hier auf einem Stock-ROM Pixel 6 Pro (noch nicht so alt) und auf dem neuen Diensttelefon mit GitHub-Version, auf dem alten Telefon mit PlayStore-Version vom 03.10.2023 wird „Android System WebView“ nicht mehr in NetGuard gelistet.
ups, Fotos werden nicht angehängt? !?
1 „Gefällt mir“
Welche? seh nix
1 „Gefällt mir“
Eben und deshalb habe ich Webview ja jetzt isoliert. Die in deinem Beispiel gezeigten Verbindungen hatte ich noch nicht bei Webview, allerdings sind alle Verbindungen zu Google ja erstmal per lokaler Filterliste gesperrt, lediglich für die Play Dienste habe ich 3 Google Domains erlaubt, 2 davon, damit GPay funktioniert und 1 für Benachrichtigen der Apps, die keinen alternativen Benachrichtigungsweg anbieten.
pay-users-pa.googleapis.com
androidpay-users-pa.googleapis.com
mtalk.google.com (Benachrichtigungen)
Solch eine Meldung kam bei mir auch mal, allerdings nicht mit dem Namen der gesperrten App, sondern mit einem 4-stelligen Zahlencode stattdessen und beim anklicken wurde man nur auf die Rethink Startseite geführt. Ist jetzt aber auch nicht so wichtig für mich, da es ja einen alternativen Weg gibt.
kann anscheinend keine Bilder anhängen unter Android, hab zwar je nach verwendetem „User Agent“ die Option, funktioniert aber wohl nie, sorry, grad so ziemlich alle angebotenen durchprobiert.
Das Zeitfenster zwischen „App-Installation“ und „Rethink synchronisiert sich auf die neue App“ bleibt aber noch. Ob Rethink trotzdem gleich nach Installation die App blockiert oder die App solange am VPN (Rethink) vorbei läuft, weiß ich nicht.
Ich mache mir aber darüber keine Gedanken, da neben „Blockiere neu installierte App standardmäßig“ auch „VPN Lockdown“ (Verbindungen ohne VPN blockieren) aktiv ist, und diese Kombi zuverlässig blockiert.
1 „Gefällt mir“
Das mit dem zuverlässig Blockieren kann ich nicht behaupten auf Geräten, auf denen auch AFWall+ läuft, NetGuard z.b. sieht die Verbindungsversuche erst, wenn man sie in AFWall+ freigibt fürs VPN, ungeachtet dessen versuchen einige Apps, am VPN (zusätzlich) vorbeizukommen. Nur die Verbindungen scheinen ohne AFWall+ -Freigabe fürs VPN geblockt zu werden, die regulär durchs VPN gehen würden. (Wenn ich „metered data“ per MDM für eine App blocke, dann sieht NetGuard gar nichts mehr von einer App. (habe alle WLAN auf „kostenpflichtig“ gestellt, Frage bleibt, was passiert, wenn ich einen LAN-Adapter benutze)
(log von AFWall+ einer geblockten Verbindung mit Zusatz(eth0) erfordert manchmal WLan, manchmal Mobilfunk-Freigabe für die App, wenn ich es zulassen möchte 
)
PS:
Ich meine anmerken zu müssen, daß „Wlan“/„Mobil“ sich wohl immer auf „unmetered“/„metered“, also „ohne Datenlimit“/„kostenpflichtig“ bezieht, wenn man nur eines der beiden Symbole sperrt, bekommt man den wohl treffenden Text dazu gezeigt, wobei für Wlan beide Optionen und „automatisch“ in den Einstellungen für jedes Wlan möglich sind.
(sollte ursprünglich in einen anderen Thread, war ein Entwurf, deshalb etwas doppelt im PS -->)
Wenn man einer App per „MDM“ „metered data“ sperrt, dann erscheinen Verbindungen z.b. weder in AFWall+ noch in NetGuard hier bei dem, der alle WLan auf „kostenpflichtig“ setzte.
PPS: lt. RethinkDNS wirkt „metered“/„unmetered“ aber im „Lockdown“-Modus auch nicht
1 „Gefällt mir“
Regulär installierbare Apps kommen am VPN trotz „VPN Lockdown“ vorbei? Oder sind das System Apps?
Edit
Oder ist bei Dir VPN Lockdown deaktiviert?
Ich überlege gerade, ob im letzten Fall
- Configure > Network > Enable Network Visibility , oder
- Configure > Network > Do not route Private IPs (experimental)
eine Rolle spielen. Die sind bei mir mit VPN Lockdown ausgegraut. Die Beschreibung verstehe ich so, dass regüläre Apps dann tatsächlich am VPN vorbei dürfen (direkt über WLAN / Mobile bzw. direkt ins private Netz).
Ja, so ist es bei mir ja auch.
Liegt nicht an Android, ich mache Zuhause alles im Netz mit nem Android Tablet, ab und an mit meinem Handy. Vielleicht der Browser oder bestimmte Einstellungen?
Die stehen bei mir dann als blockiert drin mit Grund „Versucht DNS-Server zu umgehen“. Je nach App und Risikofaktor entscheide ich dann, ob sie dürfen, also ob aus Playstore (Aurora) oder F-Droid installiert. Bei der AusweisApp war das glaube ich so, die hab ich unter Rethink aber auch so noch nicht zum laufen gekriegt, die wollte zusätzlich die gleiche Verbindung nochmal über eine Systemapp aufbauen, die habe ich aber alle gesperrt.
Die kommen nicht am VPN vorbei, die überspringen „bloß“ den Schritt mit der Namensauflösung und nehmen gleich Kontakt mit einer „fest verdrahteten“ IP-Adresse auf.
1 „Gefällt mir“