Nederlandse ontwikkelaar Xprivacy brengt firewall uit voor Android

De Nederlandse ontwikkelaar Marcel Bokhorst heeft een firewall uitgebracht voor Android 5.0 of hoger, waarmee gebruikers zonder root-toegang apps toegang tot de internetverbinding kunnen ontzeggen. Het is waarschijnlijk de eerste gratis, opensourcefirewall voor Android die geen root vereist.

Bokhorst heeft de app aangekondigd via XDA-Developers. NetGuard is compatibel met Android 5.0 en hoger, omdat Google daarin een api heeft gezet voor de technologie die de app gebruikt. De broncode en het apk-bestand van de donderdagavond verschenen versie 0.7 zijn te vinden op GitHub.

NetGuard kan per app, ook systeemapplicaties, de toegang tot internet via wifi of via het mobiele netwerk verhinderen. Een dergelijke functie zit al enige jaren in bijvoorbeeld telefoons van Huawei, maar is in stock Android en veel skins van fabrikanten niet te vinden. In Android 6.0 hebben gebruikers meer controle, maar apps krijgen standaard toegang tot internet.

Bij opstarten vraagt NetGuard om een vpn-verbinding op te zetten, iets dat de app gebruikt om internetverkeer van geblokkeerde apps naar een sinkhole te sturen, waardoor het geen verbinding kan maken. Daardoor verbruiken apps bijvoorbeeld geen data en zou het bovendien de accu sparen. Bokhorst claimt dat NetGuard niets extra's vraagt van de accu.

Bokhorst is onder geavanceerde Android-gebruikers bekend als de ontwikkelaar achter Xprivacy, een privacy-tool die root-toegang vereist.

NetGuard van ontwikikelaar Xprivacy

Reacties (74)

Equator Crew Council 30 oktober 2015 07:09

Op zich, per applicatie bepalen welke er wel of geen gebruik mag maken van Internet

Maar met alle respect, er moet nog wat aan geschaafd worden.. Niet alleen aan deze tool, maar ook aan de API die Google in Android heeft hiervoor.
Een fatsoenlijke firewall dropt het verkeer in plaats van het verkeer naar een zwart gat te leiden.

Daarnaast: Wie weet er welk type verkeer en - ergers nog - welke data er over deze VPN wordt getransporteerd naar een ongecontroleerd gat?

Nu vind ik het een goede zaak dat er aandacht wordt besteed aan een firewall op Android. Deze functionaliteit had er in Android zelf moeten zitten.

Webgnome @Equator • 30 oktober 2015 07:30

Een fatsoenlijke firewall dropt het verkeer in plaats van het verkeer naar een zwart gat te leiden.

Wat is het verschil als ik vragen mag?

runelaenen @Webgnome • 30 oktober 2015 07:45

Bij het omleiden naar een zwart gat wordt door de verzender gewacht op de timeout, bij het droppen stuurt de telefoon een drop-pakketje terug. In mijn ogen is het omleiden naar een zwart gat dan inderdaad slecht in dit geval, aangezien apps gaan wachten tot de timeout verlopen is voordat ze (bijvoorbeeld he) een errormessage tonen, of je laten doorgaan als offline gebruiker.

Johan9711 @runelaenen • 30 oktober 2015 08:18

droppen vereist een actie van de telefoon, een pakketje. uit de header van het pakketje kunnen gegevens worden gehaald, dus is droppen minder privacygericht.

CH4OS @Johan9711 • 30 oktober 2015 08:58

En wie weet wat de sinkhole met de pakketjes doet. Dus of een sinkhole nu zoveel beter is in privacy opzicht?

M66B @CH4OS • 30 oktober 2015 09:23

NetGuard heeft geen internet permissie, dus er kan weinig gebeuren lijkt mij. Bovendien is NetGuard open source, dus je kunt de code nakijken en compileren.

CH4OS @M66B • 30 oktober 2015 09:51

Je ziet dan alleen dat NetGuard data doorstuurt naar een sinkhole (en welke dat dan is). Dat verteld niet wat de sinkhole zélf doet met de inkomende packages.

Dat aanpassen en opnieuw compileren is een work-around, maar wel eentje die je dan met elke update zou moeten doen...

[Reactie gewijzigd door CH4OS op 23 juli 2024 04:55]

jDuke @Johan9711 • 30 oktober 2015 10:24

Droppen is precies in een zwart gat sturen, m.a.w. geen reactie op sturen.

Wat jij bedoeld is een reject. Daarbij stuurt de firewall een pakket terug dat de poort gesloten is, host niet bereikbaar is etc (afhankelijk van de implementatie).

GuruMeditation @jDuke • 30 oktober 2015 12:50

En in het geval van een reject, zou de applicatie misschien gaan flippen, omdat hij een bevestiging krijgt, dat er met de verbinding geknoeid is, althans ze zouden er iets voor in kunnen bouwen.

Nu lijkt het misschien op een slechte/niet werkende internet verbinding voor de app.

Equator Crew Council @Webgnome • 30 oktober 2015 09:29

Als een firewall een packet dropt hoeft hij er weinig meer mee te doen. Een pakket routeren kost sowieso meer processortijd.

Anoniem: 118226 @Equator • 30 oktober 2015 08:58

Wat jij omleiden naar een zwart gat noemt heet drop en wat jij drop noemt heet reject.

Maar voor de rest heb je wel gelijk. Een firewall kan beter een reject sturen dan het packet droppen.

Equator Crew Council @Anoniem: 118226 • 30 oktober 2015 09:30

Nee, een reject is een actieve actie van een firewall die een melding teruggeeft dat iets niet mag.
Een drop is dat de firewall niets meer doet met het pakketje.

Anoniem: 118226 @Equator • 30 oktober 2015 09:44

Ja, dat zeg ik.

Maar dan heb ik jouw eerste verhaal niet goed begrepen en bedoel je met drop en naar een zwartgat door sturen hetzelfde.

Dan nog steeds is een reject beter. Een vriendelijke call weet dan meteen waar ie aan toe is, en een vijandige call heeft toch wel manier om met slim met de time-out van een drop om te gaan.

Anoniem: 525224 @Equator • 30 oktober 2015 09:57

Het gaat hier om een workaround.. 'k neem aan, dat er gewoon een iptables achtige constructie beschikbaar is voor firewalletjes.
Echter hier heb je juist de root rechten nodig en middels een VPN heb je dat niet nodig.

Volgens mij is dat de clue. (clou, hoe schrijf je het eigenlijk in deze context)

Het kan niet dat het geen extra druk op de accu legt; echter kan deze wel niet-significant zijn

Equator Crew Council @Anoniem: 525224 • 30 oktober 2015 10:08

Dat denk ik ook, dat het niet vereisen van root-access deze workaround noodzakelijk maakt.

Daarom vind ik ook dat een goede firewall al in het OS had moeten zitten.

FreshMaker @Equator • 30 oktober 2015 10:26

Daarom vind ik ook dat een goede firewall al in het OS had moeten zitten.

Of in ieder geval toegankelijk, maar ook op de andere mobiele OS'en is dat kennelijk een securityissue ... om securityissues te voorkomen

Anoniem: 525224 @FreshMaker • 30 oktober 2015 13:44

Zal me verbazen als het er niet is.. zal me verbazen als het toegankelijk is standaard.

Nakebod

@Equator • 30 oktober 2015 07:30

Daarnaast: Wie weet er welk type verkeer en - ergers nog - welke data er over deze VPN wordt getransporteerd naar een ongecontroleerd gat?

Ervan uitgaande dat deze firewall dezelfde "omweg" gebruikt als bij NoRoot Firewall: Deze maken een VPN verbinding naar... zichzelf! Dus niet naar het internet toe.
Dus eigenlijk een soort van VPN server op je telefoon.
Hierdoor zullen je apps die internet toegang vragen, automatisch over de VPN gaan. En dan komt het firewall gedeelte welke bepaald of de app wel of geen toegang heeft.

xV0rtexx @Nakebod • 30 oktober 2015 11:29

Precies:
https://en.wikipedia.org/wiki/Unique_local_address

"The block fd00::/8 is defined for /48 prefixes, formed by setting the 40 least-significant bits of the prefix to a randomly generated bit string. This results in the format fdxx:xxxx:xxxx:: for a prefix in this range. RFC 4193 offers a suggestion for generating the random identifier to obtain a minimum-quality result if the user does not have access to a good source of random numbers."

fd00:1:fd00:1:fd00:1:fd00:1 is dus een IPv6-variant van bijvoorbeeld 192.168.x.x

masterJM637 @Equator • 30 oktober 2015 07:34

Daarnaast: Wie weet er welk type verkeer en - ergers nog - welke data er over deze VPN wordt getransporteerd naar een ongecontroleerd gat?

Dat is een voordeel van Open Source.
Dit kun je vinden in de broncode:

// Build VPN service
final Builder builder = new Builder();
builder.setSession(getString(R.string.app_name));
builder.addAddress("10.1.10.1", 32);
builder.addAddress("fd00:1:fd00:1:fd00:1:fd00:1", 64);
builder.addRoute("0.0.0.0", 0);
builder.addRoute("0:0:0:0:0:0:0:0", 0);

Het adres van het "ongecontroleerde gat" is hier dus evt. aan te passen

Mavamaarten @masterJM637 • 30 oktober 2015 10:17

Dat is inderdaad het voordeel van open source

De enige manier om zonder root een firewall te maken is door, inderdaad, een VPN op te zetten naar de localhost. Met niet-open source apps is dat eigenlijk niet te vertrouwen, al het verkeer wordt naar een bepaalde server omgeleid. Zit je met een "eerlijke" app, dan gaat dat naar een lokale VPN die bepaald verkeer blockt. Zijn ze geinteresseerd in je privégegevens dan kunnen ze het even goed doorsturen naar een server die alle interessante data onderschept, zonder dat je het eigenlijk doorhebt.

Thymo 30 oktober 2015 07:21

Hij is zeker niet de eerste: https://play.google.com/s....greyshirts.firewall.beta

skatebiker @Thymo • 30 oktober 2015 08:14

Inderdaad er zijn al meerdere non-root firewalls die ook op 4.4 werken, dus ik zie het nieuwsgehalte niet zo. Maar wel een goede ontwikkeling dat je dit nu zonder root kunt.
Ik heb laatst Mobiwol geprobeerd. Werkt prima. Alleen om te proberen want ik heb wel root en gebruik normaal AFWall+ die heb ik dus even uitgezet om Mobiwol te testen die geen gebruik maakt van root ook niet als je wel geroot bent.

Onder iOS zou dat ook moeten kunnen, de App Store staat immers apps met een VPN gewoon toe.

[Reactie gewijzigd door skatebiker op 23 juli 2024 04:55]

M66B @skatebiker • 30 oktober 2015 09:26

Het verschil zul je merken in het gebruik van de batterij. Bovendien is NetGuard volledig open source.

innerchild @skatebiker • 30 oktober 2015 15:29

Ik zou toch Mobiwol wel met een korreltje zout nemen.

Volgens een onderzoeker is deze app gemaakt door een bedrijf uit Israël, waarbij nader onderzoek is gebleken dat ze via de opgezette vpn tunnel 3 verbindingen maken naar : Amerika, Israël en de Oekraïne.

Hier het artikel in het Duits. Gewoon ff de vertaal functie gebruiken in Google.

http://www.kuketz-blog.de...id-firewall-mogelpackung/

Mobiwol sponsored or developed from a company Nets Park calls.

The company is based in Isreal and advertises network filtering technologies.
The domain www.mobiwol.com is registered with GoDaddy in the US in the name Moshe Doron.

The side in Israel is hosted on the IP address 80.178.157.16 with Smile Communications-Ltd As a web server is nginx / 1.2.5 for use.

The Google Play store exists to an entry no version history. Version 2.2 has been so easily conjured so times out of the hat? In addition, a striking number of 5 star reviews.

In the Google Play Store Descriptions Follow these position is relative to the VPN connection:
Why appears that Mobiwol uses a VPN connection? This is only superficially. We use technology available to us within the VPN module package offered by Android are available to gain transparency with regard to the network activities of your applications.

However, no actual VPN connection is established. Through our application no data is sent to the outside and the security of your personal data is not tampered with.

You can safely continue to use their apps and have confidence that your data bill at the end of the month is not higher than else fails.

An inquiry to the support [..]? Why does this app need precise GPS information [..] received a AndroidPIT Forum Member apparently following response:

[..] Thanks for checking out our app and taking the time to contact us! The location related permissions are included to allow us to Effectively target customers for focused communications, features, etc. We are not looking at our users Actively locations, so you have nothing to worry about on did front.Happy to answer any other questions you have. The Nets Park / Mobiwol Team

6. Conclusion

Let's make it short: Stay away from Mobiwol! Besides the fact that the firewall is not functioning properly, rogue permissions are requested and created a VPN connection. Even if the VPN connection may be due to technical reasons, I have absolutely no confidence in the development company.

Ik heb inmiddels de laatste net guard versie draaien op mijn Samsung Galaxy S6 Edge Plus en ik ben zeer tevreden ermee. Simpel en effectief per app aangeven wat wel en niet mag. Dat het open source is, is voor mij zeer belangrijk mbt het VPN gebruik.

Volgens mij gaat deze app zeer populair worden. Er is op dit moment geen enkele app voor NON ROOTED telefoons, die je de veiligheid kan garanderen zoals deze app.

Zou het niet nog mooier worden dat als je op een app klikt op je telefoon dat netguard automatisch de blokkade tijdelijk opheft en na het sluiten van de app de toegang weer blokkeert ? Hoef je niet steeds in je settings te duiken om iets aan of uit te zetten.

[Reactie gewijzigd door innerchild op 23 juli 2024 04:55]

Soldaatje 30 oktober 2015 08:07

Kan je dan nog wel een externe VPN gebruiken, als deze app een VPN opzet?

(2) Can I use VPN applications while using NetGuard?

If the VPN application is using the VPN service, then no, because NetGuard needs to use this service, and Android allows only one application at a time to use this service.

Nee, helaas niet dus.

skatebiker @Soldaatje • 30 oktober 2015 08:17

Maar als je een andere VPN client gebruikt dan de ingebouwde (die dus door Netguard is bezet) zoals bijv. OpenVPN kan dat dan nog wel ?

spaanplaat1 @skatebiker • 30 oktober 2015 08:47

Net getest, helaas niet. NetGuard gebruikt een OpenVPN connectie dus mijn eigen VPN gooit hij eruit. Jammer, maar dan kan ik NetGuard functioneel niet gebruiken gezien mijn smartphone altijd een VPN open heeft staan.

CH4OS @spaanplaat1 • 30 oktober 2015 08:57

Je kunt dan op jouw eigen VPN-server een (custom) DNS-server draaien, die ongewenst verkeer eventueel doorstuurt naar een sinkhole? Dan heb je in elk geval wel hetzelfde effect, meer dan dat lijkt deze app ook niet te doen overigens, als ik de screenshot zo zie. Je stelt dan dus geen blokkade in per app, maar per domein.

spaanplaat1 @CH4OS • 30 oktober 2015 09:11

Helaas heb ik zelf geen controle over de VPN-server gezien deze in beheer is door mijn werk.

bartmatsko

@spaanplaat1 • 30 oktober 2015 08:50

Beetje off topic, maar waarom heb je altijd een VPN aan staan dan?

spaanplaat1 @bartmatsko • 30 oktober 2015 09:10

Werkgerelateerd. En ik kan niet zonder. Jammer, want het lijkt me handig nu je de smartphone niet hoeft te rooten.

idef1x @bartmatsko • 30 oktober 2015 10:22

Dan kun je net zo goed vragen : waarom maken mensen/bedrijven uberhaupt gebruik van VPN's?

thedicemaster 30 oktober 2015 09:53

mijn voorkeur gaat alsnog naar adguard.
het is een adblocker, maar ze hebben recent een firewall toegevoegd.
de firewall en browser ad-blocking zijn gratis, je betaald alleen voor ad-blocking in apps.

hij werkt overigens met de zelfde methode, alle verkeer gaat via een vpn server die op de telefoon zelf draait(of proxy server als je daar voor kiest, maar dat werkt minder goed zonder root)

skatebiker @thedicemaster • 30 oktober 2015 10:27

Net gekeken, lijkt mooi maar er zit geen https filtering in en aangezien de meeste Google Ads via https gaan, werkt dit dus daar niet.

thedicemaster @skatebiker • 30 oktober 2015 13:02

het komt er aan, ze verwachten begin volgend jaar een grote update klaar te hebben met ondersteuning voor https filteren.

Dreeke fixed 30 oktober 2015 07:22

Mobiwall doet precies hetzelfde maar is niet opensource.
Deze gebruikt ik zelf om mijn data verbruikt te minimaliseren, met alleen watsapp op mobiel internet verbruik ik 500kb tot 6mb per maand

Zie ook de blog hiervoor:
http://dreeke-fixed.tweak...inderen-van-je-smartphone

Het fijne aan zo'n firewall is dat je alle screensavers en wallpapers ook de toegang tot internet kan ontzeggen!

FreshMaker @Dreeke fixed • 30 oktober 2015 10:39

Het fijne aan zo'n firewall is dat je alle screensavers en wallpapers ook de toegang tot internet kan ontzeggen!

Ik ben geen data-beknibbelaar, met 20GB hoeft dat helemaal niet, maar waar ik wel kijk ( en blokkeer via AFwall+ ) zijn apps die onnodig netwerkverbindingen gebruiken.
Wallpapers, ringtones en andere 'eyecandy' hoeven niet thuis te vertellen wie, wat en waar ze zijn.

Per app kritisch kijken wat ze verzenden ( niet de inhoud, maar gebruik ) is prima om de boel gezond te houden

ISaFeeliN 30 oktober 2015 07:37

Super. Eindelijk controle. Ze doen het met een VPN denk ik want dat zal de enige manier zijn om het zonder root te doen. Eventueel zou er een optie kunnen komen voor de mensen die wel root hebben, maar dit is ook prima. Ik ben erg benieuwd naar de implementatie van de vorm van (app rechten) controle in Android 6.0. De laatste kans voor Android bij mij. Na 6 jaar trouwe gebruiker ben ik langzamer hand de moed aan het opgeven. Nexus is prima (vorige toestel) qua updates, maar nu met een S6 is het huilen met de pet op. Uiteindelijk maar XtreStoLite geflasht om Stagefright gepatcht te krijgen. Na ruim 3 maanden (!) wachten op Samsung heb ik het opgegeven.

Dannisi @ISaFeeliN • 30 oktober 2015 08:19

Maar je kan in 6 de internet rechten van een app toch niet afnemen? Dat is 1 van de dingen die ik juist wel wil. Mijn toetsenbord mag best m'n contacten uitlezen zodat de namen van mijn vrienden in de auto correct zitten, maar internet dan juist weer niet, dan kan die informatie iig niet verstuurd worden.

Anoniem: 634684 @ISaFeeliN • 30 oktober 2015 08:44

Stagefright is bij de laatste update (dikke week geleden) geheel gedicht voor de S6

App van zimperium bevestigt dat ook.
Wat een gezeur altijd over dit fenomeen.

Koop het dan niet meer (update snelheid van Samsung is al jaren en jaren bekend)

Schijnbaar zijn jou geen ernstige security zaken overkomen anders blijf je het geen 6 jaar volhouden lijkt mij

[Reactie gewijzigd door Anoniem: 634684 op 23 juli 2024 04:55]

ISaFeeliN @Anoniem: 634684 • 31 oktober 2015 13:12

Gezeur? Dit heeft meer dan 3 maanden geduurd!

Deathchant 30 oktober 2015 10:42

Het staat niet in het tweakers bericht maar dit is dus een beta versie die vandaag gereleased wordt en na wat testen in de Play Store gezet wordt. Ik heb em in ieder geval nog niet kunnen vinden.
De niet-geteste versie is hier te downloaden: https://github.com/M66B/N...oad/0.8/NetGuard-v0.8.apk

Trygve Redacteur @Deathchant • 30 oktober 2015 11:23

Vandaag door de ontwikkelaar gepost:

If there are no major complaints about this release, I will submit NetGuard tomorrow to the Play store.

RuddyMysterious 30 oktober 2015 08:19

Ik draai al een tijd AFWall+ uit F-droid waarmee ik ook per app (en per service) kan instellen of ze verbinding mogen krijgen via ethernet (via USB-on-the-go, uiteraard), via WiFi of via mobile data.

Uiteraard moet ik daarvoor root draaien, want hij past de ip-tables aan bij het toepassen van de lijst met regels, maar dat lijkt mij een kleinigheid voor mensen die iets overhebben om controle te krijgen op hun slimfoon.

[Reactie gewijzigd door RuddyMysterious op 23 juli 2024 04:55]

Pietje NL 30 oktober 2015 08:42

Buiten de normale functionaliteit lijkt me dit ideaal om tijdens roaming in het buitenland bv alleen WhatsApp of email door te laten komen.
Hopelijk komt er iets van Tasker intergratie.

GH45T

30 oktober 2015 09:25

Tot enkele maanden geleden gebruikte ik AFWall+ op mijn Xperia Z met root. Bij upgrade naar Android 5.1.1 de root rechten kwijt geraakt en buiten de firewall om ook geen root rechten meer nodig. Ik ben toen gaan zoeken en kwam bij NoRoot firewall uit en die doet exact wat NetGuard ook doet, lokaal een VPN opbouwen en al het verkeer daar doorheen halen. Werkt wat mij betreft perfect en het geeft toch wat controle over allerlei apps welke constant zitten te communiceren.

Nadeel wat mij betreft is dat al het verkeer in data usage onder je firewall programma komt te staan dus echt goed filteren welke apps data zitten te verstoken is lastig.

skatebiker @GH45T • 30 oktober 2015 09:39

Volgens mij is daar ook een root methode voor.

Op dit item kan niet meer gereageerd worden.

Nederlandse ontwikkelaar Xprivacy brengt firewall uit voor Android

Lees meer

Reacties (74)

Sorteer op:

Weergave: