Möglichkeiten bei Android Dateien auf Dateiebene zu schützen

[j1nz0]

Guten Tag

Da ich nebst meiner eigenen Recherche gerne noch einige Meinungen hören möchte, dachte ich ich frage hier mal nach.
Und zwar hätte ich zwei Fragen über Android, da ich nicht sehr versiert bin in diesem Gebiet.

Folgendes Szenario:

Ich besitze einige Galaxy Tab 2 und möchte diese gerne einem "Publikum" zur Verfügung stellen. Jedoch möchte ich gerne vorher wissen, welche Möglichkeiten habe ich um Dateien auf der Dateiebene zu schützen? Ich will dass z.B. User A ein Dokument erstellen kann und dann dieser es in einem persönlichen Verzeichnis abspeichert (Wäre eigentlich das idealste). Was mir spontan eingefallen ist um die Sicherheit zu gewährleisten wär ähnlich wie Truecrypt einen Container für jeden User zu erstellen, welches er mit einem Passwort öffnen und schliessen kann. Ich wollte nur hier nochmals nachfragen ob es etwas anderes geben könnte. Wichtig ist nur, dass niemand fremdes diese Daten einsehen und verändern kann.

Mein zweites Anliegen ist, ist es möglich dass man das Gerät mithilfe von externen Mitteln rooten könnte, oder sonst wie Sicherheitsmassnahmen überlisten könnte? Da auch hier die Gefahr besteht, dass einige User ihr Unwesen treiben können. Deswegen möchte ich geschützt sein. Ich denke die einzigen Gefahrenzonen wären der SD-Karten-Slot und die Auflade/bzw USB-Schnittstelle wäre. Kann mir wer dies so bestätigen?

Ich bin für jede Hilfe dankbar.

Freundliche Grüße

 

[nissl]

Moin,

zum ersten Teil kann ich dir nicht viel sagen.

Edit: Schau dir mal EDSlite an.

DIe App findet man wenn man Truecrypt android bei google sucht und sieht mir nach genau dem aus wie du das willst; Datencontainer mit Verschlüsselung.

Mein zweites Anliegen ist, ist es möglich dass man das Gerät mithilfe von externen Mitteln rooten könnte, oder sonst wie Sicherheitsmassnahmen überlisten könnte? Da auch hier die Gefahr besteht, dass einige User ihr Unwesen treiben können. Deswegen möchte ich geschützt sein. Ich denke die einzigen Gefahrenzonen wären der SD-Karten-Slot und die Auflade/bzw USB-Schnittstelle wäre. Kann mir wer dies so bestätigen?

Wenn ich das richtig verstehe: Gegen einen Rootversuch des Users kannst du dich eigentlich nicht schützen, wenn ich das Gerät ausgeliehen bekomme und ich das tun will sollte es eigentlich ein Leichtes sein. Die dinger rootet man meines wissens <10 min.

http://forum.xda-developers.com/


Ich meine, sowas macht man nicht mit einem geliehenen Gerät! Aber ja, solche Leute gibts auch. :-/

DU kannst versuchen die USB Debuggingfunktion (braucht man wahrscheinlich zum rooten) zu deaktivieren und die Menüs mit einem Kennwort zu sichern. Gibts sicher apps ( smart app protector kann das vielleicht)

Ne andere idee hätte ich nicht.

Edith: Das schützt dich aber nicht mehr, wenn der User soweit geht und das Gerät auf Werkseinstellungen resettet.

 

[j1nz0]

Hallo nissl

Erstmal, danke für deine Antwort

DU kannst versuchen die USB Debuggingfunktion (braucht man wahrscheinlich zum rooten) zu deaktivieren und die Menüs mit einem Kennwort zu sichern. Gibts sicher apps ( smart app protector kann das vielleicht)

Dies habe ich bereits bedacht und konnte mittels der genannten App die Einstellung mit einem Passwort sichern. Tipp von mir am Rande für die anderen: Installiert euch in den Einstellungen unbedingt den Helper!

Edith: Das schützt dich aber nicht mehr, wenn der User soweit geht und das Gerät auf Werkseinstellungen resettet.

Nun ist die Frage die; kann ein User soweit kommen, wenn die Einstellungen passwortgeschützt sind? Braucht man die USB-Debugging-Funktion essenziell für das Rooten? Und sowas ist nicht über die SD-Karten-Schnittstelle möglich? Weil wenn es wirklich nur die Debugging-Funktion benötigt, kann ich eigentlich halbwegs sicher sein, da ich ja die Einstellungen sperren konnte.

Vielen Dank für deine bisherige Hilfe!

 

[zogger CkY]

Einen werksreset zu machen ist bei samsung geräten keine große kunst. Power on taste + home button + Lautstärke hoch

Und du landest im wiederhstellungs modus. Selbst wenn du das system pw schützt nützt dagegen garnix.

Einen root durchzuführen dauert als versierter nutzer keine 5 minuten. Ich bräuchte dafür nur einen pc, die entsprechenden dateien und hab dann einen root. Ich bräuchte nichtmal einen zugriff aufs android system selbst.


Am besten gegen sowas schützen kannst du dich wenn du das gerät nicht aus der hand gibst.

 

[nissl]

Nun ist die Frage die; kann ein User soweit kommen, wenn die Einstellungen passwortgeschützt sind? Braucht man die USB-Debugging-Funktion essenziell für das Rooten?

Ja soweit ich weiss schon, ich habe viel Erfahrung im Rooten von HTC Androiden. Leider wenig bis keine bei Samsung und bei den Tablets allgemein nicht. Aber ich glaube ziemlich sicher dass du Debugging brauchst um entweder ein Exploit zu pushen oder sonstige Infos aus der ADB-Shell zu holen.
Dazu am besten bei XDA Developers im Forum bei den Galaxy Tabs schauen, sollte man gut herausbekommen.

Und sowas ist nicht über die SD-Karten-Schnittstelle möglich? Weil wenn es wirklich nur die Debugging-Funktion benötigt, kann ich eigentlich halbwegs sicher sein, da ich ja die Einstellungen sperren konnte.

Kannst normalerweise vergessen, jemand der sich ein bisschen auskennt - und letztlich jemand der in der Lage ist zu googeln - findet schnell sowas Galaxy Tab 2 Hard-Reset
Und im Nu ist da nichts mehr drauf, da bringts auch eine Displaysperre nicht. :-/
Die App Protector Variante ist schon eine gute Sache, aber bei genügend 'krimineller' Energie ist das echt ein Kinderspiel.
Ich bin sicher ich bräuchte mit dem Kenntnistand von HTC, und dem was ich mal so gelesen habe, leichten Prinzip bei Samsung, wahrscheinlich keine Mittagspause lang.

Denke ohne Vertrauen kommst nicht weit.

 

[chris2603]

Das mit menüs mit Passwort zu schützen kannste für den normalen user tun. Der Poweruser von xda und co. Startet dein handy im Download Modus und kann dann per adb shell kommandos rein nach seinem Belieben ausführen.

Bedeutet er kann sich dir Daten runter kopieren und anschließend neuen Kernel + Rom aufspielen.

Du müsstest schon einen schutzt innerhalb des Kernels haben.

 

[zogger CkY]

@ nissl

Das problem ist samsung hat keinen gesperrten bootloader. Mit odin kannst du über den downloadmodus jegliche dateien aufs gerät flashen. Angefangen vom kernel bis zu einem kompletten neuen system. Ganz ohne zugriff auf debufg modus oder ADB-shell.

 

[j1nz0]

Nun, erstmal vielen lieben Dank für die vielen Resonanzen.

Nun, ich denke ich werde die Leute, die mit den Geräten arbeiten werden "einschreiben" lassen. Zudem habe ich entdeckt, dass einige Apps Logs erstellen können. Die Sache ist hier, dass die Geräte alle 2-4 Stunden einen neuen "Benutzer" bekommen. Und ich denke sofern hier wirklich ein Hard-Reset durchgeführt wird, kann ich hier dann eigentlich durchgreifen und derjenige wird fliegen, da neben diesen Sicherheitsmaßnahmen vorher unterschrieben wird, dass man keinen Unfug mit den Geräten anstellen soll. Aber ich danke euch für die Inputs.

Bezüglich meiner ersten Frage ist euch nichts bekannt?

liebe Grüße

 

[nissl]

@ nissl

Das problem ist samsung hat keinen gesperrten bootloader. Mit odin kannst du über den downloadmodus jegliche dateien aufs gerät flashen. Angefangen vom kernel bis zu einem kompletten neuen system. Ganz ohne zugriff auf debufg modus oder ADB-shell.

Danke, genau sowas habe ich gelesen, war nur nicht sicher wie das genau geht, habe es ja noch nie durchgeführt. =)
Dann müsste man nicht mal den Werkszustand zurücksetzen.

Nun, ich denke ich werde die Leute, die mit den Geräten arbeiten werden "einschreiben" lassen. Zudem habe ich entdeckt, dass einige Apps Logs erstellen können. Die Sache ist hier, dass die Geräte alle 2-4 Stunden einen neuen "Benutzer" bekommen. Und ich denke sofern hier wirklich ein Hard-Reset durchgeführt wird, kann ich hier dann eigentlich durchgreifen und derjenige wird fliegen, da neben diesen Sicherheitsmaßnahmen vorher unterschrieben wird, dass man keinen Unfug mit den Geräten anstellen soll. Aber ich danke euch für die Inputs.

Definitv. Einfach hinweisen, dass jegliche Manipulation am Gerät die nicht geschäftlich/arbeitstechnisch Relevant ist. Entsprechende Konsequentzen nach sich zieht (Schadenersatz[Gerätneuanschaffung], Rausschmiss,etc.) Dann wird das auch keiner machen. :O)

Is ja wie mit allem technischen Equipment. User in Firmen dürfen/sollen ja auch keine BIOS updates von Notebooks, Firmwares von Digitalkameras, Softwareupdates an Navis, etc. pp. Durchführen. Denke das das schon klappt.
Verbiete einfach auch die Installation von 'privaten' Apps, und kündige 'sporadische' Kontrollen durch die IT-Abteilung an.

 

[j1nz0]

Das problem ist samsung hat keinen gesperrten bootloader. Mit odin kannst du über den downloadmodus jegliche dateien aufs gerät flashen.

Afaik benötigt man für ODIN Adminrechte auf dem PC? Ich hab vergessen zu erwähnen, dass ich dieses Vorhaben ehrenamtlich für eine Schule umsetze. Die Tablet's die mit den PC's verbunden werden können, besitzen keine Adminrechte und zudem wird das Internet geloggt. Mir ging es einfach explizit um die Möglichkeiten bezüglich der SD-Karte und der Dateisicherheit auf der Dateiebene.

Ich wollte wie gesagt nur erfahren, was für weitere Möglichkeiten offen stehen.

Dann wird das auch keiner machen.

Für einige Leute hier ist es quasi eine Einladung, genau dies zu machen, was verboten ist.

 

[nissl]

Naja eben, kündige einfach an, dass die Geräte kontrolliert werden, stelle sicher, dass man nachvollziehen kann wer es wann bzw. zuletzt hatte. und der der es war, Kauft es der Schule zum Kaufwert eines Neuen (Gleichwertigen) ab.

Naja ich mein zuhause hat ja jeder Adminrechte, oder an einem Prviaten Notebook, falls es auszuschliessen ist, dass die Geräte mit nach Haus genommen werden.

Oder noch was, greife zu Tabs von MPman. Die sind günstig und recht gut. Aber eine Anleitung zum rooten habe ich noch nie gesehn. Und meine ersten kurzen Versuche mit ADB scheiterten auch Meine Freundin hat eins und ich konnte der Versuchung nicht widerstehen.

 

[zogger CkY]

Ohne admin rechte klappt der flasch per odin nicht.

Das einzige was die machen könnten wäre eben nur das zurücksetzen auf werkseinstellungen.