Während der Fehlersuche bei einer ganz anderen Geschichte bin ich zufällig in meinem IPfire-Log darauf gestoßen, dass mein GOS-Phone Verbindungen an der VPN-Schnittstelle (da läuft NetGuard Pro) vorbei in Richtung firebaselogging.googleapis.com
via port 443 herstellt.
Per logcat kam ich dann zu folgendem Ergebnis:
02-29 11:38:55.762 3463 5387 I TRuntime.CctTransportBackend: Making request to: https://firebaselogging.googleapis.com/v0cc/log/batch?format=json_proto3
Ich interpretiere das hier Folgende doch insofern richtig, als dass der auslösende Prozess 3463
tatsächlich NetGuard ist, oder ?
02-29 11:31:18.881 861 861 D Zygote : Forked child process 3463
[...]
02-29 11:31:18.883 1441 1646 I ActivityManager: Start proc 3463:eu.faircode.netguard/u0a126 for service {eu.faircode.netguard/eu.faircode.netguard.ServiceSinkhole}
Der dazugehörige Thread 5387 taucht insgesamt nur ein paar mal und ausschließlich über Prozess 3463 auf:
02-29 11:32:13.871 3463 5387 D CompatibilityChangeReporter: Compat change id reported: 194532703; UID 10126; state: ENABLED
02-29 11:32:13.871 3463 5387 D CompatibilityChangeReporter: Compat change id reported: 253665015; UID 10126; state: ENABLED
[...]
02-29 11:38:55.762 3463 5387 I TRuntime.CctTransportBackend: Making request to: https://firebaselogging.googleapis.com/v0cc/log/batch?format=json_proto3
[...]
02-29 11:38:55.985 3463 5387 D TrafficStats: tagSocket(106) with statsTag=0xffffffff, statsUid=-1
[...]
02-29 11:38:56.171 3463 5387 I TRuntime.CctTransportBackend: Status Code: 200
Da kann jetzt leider nicht unmittelbar nachvollziehen, ob tatsächlich auch Daten gesendet werden, oder einfach nur die Adresse „angepingt“ wird - der Status „200“ weist aber eigentlich darauf hin, dass irgendwas erfolgreich war.
Ich schaue mir jetzt noch mal den PCAP-Mitschnitt aus meinem WLAN-AP genauer an. Aber habe ich da einen grundsätzlichen Denkfehler drin, wenn ich annehme, dass die Kommunikation tatsächlich aus NetGuard kommt ?