Android veiliger maken: bepaal welke apps internet op mogen

Je kunt Android veiliger maken door zelf te kiezen welke apps internet op mogen. Zo ga je tracking en reclame tegen, of erger bij malafide apps. Met een firewall bepaal je zelf met welke servers een app mag communiceren – en of dat überhaupt mag. Verrassend veel apps werken ook zonder internet.

Apps versturen vaak data naar ontwikkelaars, trackers en reclamebureaus. Welke ­gegevens waarheen worden gestuurd, waarvoor ze worden gebruikt en hoe lang ze worden opgeslagen, is iets waar je standaard geen controle over hebt. Met de app NoRoot Firewall neem je daar de ­controle weer mee over en kun je Android veiliger maken. Ontdek hoe je dit gebruikt op je eigen smartphone.

(Illustratie: Albert Hulm)

Het principe is eenvoudig: apps op Android die geen duidelijke reden hebben om gegevens naar het internet te sturen, geef je geen toegang. In de meeste gevallen werken ze nog steeds, zonder tracking of advertenties die tijdens het gebruik geladen worden. Veel games werken zonder internetverbinding. Je moet tenslotte ook de tijd kunnen verdrijven als je geen verbinding hebt.

Als een app wel verbinding met internet nodig heeft, om bijvoorbeeld mails te downloaden of om te chatten, dan kun je de toegang doelgericht openzetten en alleen toegang verlenen tot de benodigde servers, terwijl communicatie met trackingbedrijven en advertentienetwerken geblokkeerd wordt. Dat moet je in eerste instantie handmatig instellen. Maar als je de belangrijkste regels eenmaal geconfigureerd hebt, hoef je daarna alleen nog maar wat aan te passen na het installeren van een nieuwe app of als een bestaande app dingen verandert na een update.

Bovendien is de firewall ook geschikt om te gebruiken als analysetool: als je hem instelt zodat alle apps ongehinderd kunnen communiceren, dan kun je in de logs controleren waar de apps zoal mee communiceren en indien nodig achteraf nog filter­regels aanmaken om toekomstige contactpogingen te blokkeren.

De firewall blokkeert alle verbindingen waar geen regels voor bestaan. Je mag zelf bepalen welke apps wel en welke niet met het netwerk mogen communiceren.

Het inrichten van NoRoot Firewall van Grey Shirts is eenvoudig: je installeert de app via Google Play en opent hem. Druk vervolgens op de groene startknop boven in het scherm. De eerste keer dat je dat doet, verschijnt er een verbindingsverzoek van Android, waarbij de firewall-app een VPN-verbinding wil opzetten om het netwerkverkeer te controleren. Dat is niet verkeerd, want de firewall gebruikt een truc om een oogje te houden op het netwerkverkeer van Android: de firewall fungeert als een lokale VPN-server waar al het netwerkverkeer doorheen wordt gesluisd.

De firewall beslist welke verbindingspogingen hij toestaat en welke niet. De app maakt geen verbinding met een externe VPN-server. Bevestig de verbindingsaanvraag met OK zodat de firewall aan de slag kan gaan. Via een sleutelsymbool rechtsboven op de Android-statusbalk zie je dat de firewall-app actief is. Een nadeel van die methode is dat er geen verbindingen met externe VPN-diensten mogelijk zijn terwijl de firewall-applicatie draait. Android kan slechts één VPN-verbinding tegelijkertijd tot stand brengen. Je kunt dit dus niet samen met Blokada gebruiken.

De eerste keer dat je de firewall-app opstart, moet je toestemming verlenen dat hij als lokale VPN-server mag functioneren.

Het zal nu niet lang duren voordat je smartphone stevig aan de slag gaat: de firewall-app zal eerst alle verbindingen van alle apps blokkeren en maakt dat via geluidssignalen kenbaar. Afhankelijk van hoe je je smartphone hebt ingesteld, zal hij ook trillen.

Ga onderaan op de menubalk van de firewall-applicatie naar Toegang (rechts naast Begin – door een ondoordachte of automatische Nederlandse vertaling heeft de app twee knoppen die Toegang heten) om een overzicht te krijgen van de geblokkeerde verbindingen. Daar vind je een lijst met alle verbindingen die zijn geblokkeerd per app. Je kunt op Toestaan of Weigeren tikken, waarmee je alle verbindingen van een app doorlaat of blokkeert.

Daar maak je permanente regels mee aan. De fire­wall zal op grond van wat je daar instelt een verbinding toestaan of blokkeren. Als je een app vertrouwt, dan ligt het voor de hand om hem daar een vrije doorgang te geven. Dat is bijvoorbeeld geschikt voor systeemcomponenten zoals Google-services of carrierservices.

Als het anderzijds een app betreft die helemaal niet afhankelijk is van internettoegang, kun je hem daar effectief de toegang mee ontzeggen. Dat is handig bij veel gratis spelletjes, waarvan de meeste ook offline prima werken. Het spel Blend It 3D wilde bijvoorbeeld in totaal 16 verbindingen met de hele wereld tot stand brengen toen we het startten. Maar na alles zoals hierboven beschreven via de firewall te blokkeren, werkte de game perfect en zonder vervelende advertenties.

Gratis spelletjes zoals Blend It 3D communiceren graag en veel met internet. Als je de toegang blokkeert, werkt het spel nog steeds prima, maar zonder tracking en het (her)laden van reclames.

Alleen via wifi

Er zijn echter situaties waarin je een datahongerige app uitsluitend via wifi toegang wilt verlenen, zodat je niet binnen de kortste keren door je databundel heen bent. Als de app zo’n instelling zelf niet heeft, kan het met deze firewall. Klik daarvoor op de naam van een app in het overzicht om de app-details te openen.

Onder het app-pictogram bovenin kun je instellen of de app via wifi en via mobiel dataverkeer mag communiceren. Tik op het selectievakje om toegang te verlenen. Er verschijnt dan een groen vinkje. Tik nogmaals het selectievakje aan om alle toegang tot het wifi of het mobiele netwerk te blokkeren. Als je een derde keer tikt, wordt het filter verwijderd. We hebben dat met verschillende apps met succes getest.

Eigen regels

Je kunt zelf instellen met welke servers een app mag communiceren. Zo kun je de mailclient laten communiceren met de mailserver terwijl alle andere verbindingen geblokkeerd worden. Je kunt dan gewoon doorgaan met het verzenden en ontvangen van mails, maar het doorsturen van gebruiksgegevens naar trackingbedrijven is dan niet mogelijk.

Een ander voorbeeld zijn smart­home-apps: door firewallregels te gebruiken, kun je bijvoorbeeld de Philips Hue-app toestaan om de verlichting via het lokale netwerk te bedienen en tegelijkertijd de verbindingen met de cloud van de fabrikant blokkeren.

De makkelijkste manier om dergelijke regels in te stellen is ook weer via de bovengenoemde methode via het detailoverzicht. In het onderste deel van het scherm zie je een lijst met alle verbindingen van de betreffende app die tot nader order geblokkeerd zijn.

Voorbeeld: Philips Hue

In het geval van de Philips Hue-app verschijnt daar de verbinding met de lokale smarthome-bridge (bijvoorbeeld 192.168.0.4:80). Andere verbindingen gaan naar de Amerikaanse Amazon-cloud (bijvoorbeeld us-west-2.compute.amazonaws.com). Om ervoor te zorgen dat de app verder blijft communiceren met de bridge, tik je eerst bij de lijst met verbindings­pogingen op de lokale verbinding met de Hue om een aangepast filter te maken. Dat opent een dialoog met een nieuw filter, dat al is ingevuld met het IP-adres en de poort van de verbinding die je aangetikt hebt.

Linksboven zie je dan weer het bekende wifipictogram en daarnaast het pictogram voor de mobiele telefoonverbinding. Als je op het bijbehorende selectievakje ernaast tikt, dan kun je de netwerktoegang voor de twee verbindingstypes afzonderlijk toestaan of verbieden.

Aangezien het IP-adres sowieso alleen in het lokale netwerk toegankelijk is, is het in dit geval zinvol om verbindingen via wifi toe te staan en verbindingen via mobiele telefonie te blokkeren. Klik op OK om het nieuwe filter toe te voegen en dat onmiddellijk te activeren.

Dankzij twee eenvoudige firewallregels kan de Philips Hue-app wel met zijn smarthome-bridge op het lokale netwerk communiceren, maar niet met de cloud.

Dat is nog maar de helft van het werk, want de firewall weet nog niet hoe hij met alle andere verbindingen om moet gaan. Om dat te doen, tik je onderaan de lijst op ‘Nieuw aangepast filter’. Daarmee begin je met een leeg filter. Zet vervolgens wifi en mobiele telefonie op blokkeren (rood kruisje) via de twee selectievakjes boven en voer bij het adres en de poort een sterretje in. De wildcard * zorgt ervoor dat het filter op alle koppelingen van die app wordt toegepast. Klik op Maken om het filter toe te voegen en te activeren. Met die configu­ratie lukte het ons om de Hue-app op een privacy-vriendelijke manier te gebruiken in het lokale netwerk, terwijl alle verbindingen naar buiten geblokkeerd werden door de firewall.

Het menu-item Apps is ook nuttig. Daar staat een lijst met alle geïnstalleerde apps, waar je op elk gewenst moment de toegangsrechten tot het netwerk van kunt beheren – ook als er geen actieve verbindingspogingen zijn gedaan. Met behulp van de selectievakjes in het overzicht kun je de toegang tot een app snel toestaan of blokkeren. Als je op de naam van de app tikt, wordt de weergave met gedetailleerde filterfuncties weer geopend.

Het tweede menu-item dat in de Nederlandse vertaling van de app ook Toegang heet en rechts onderaan in het menu staat, is een logboek dat in detail vertelt welke verbindingen de firewall geblokkeerd heeft en welke niet. Geblokkeerde verbindingen verschijnen in het rood, de toegestane verbindingen zijn groen. Als een app niet werkt zoals gewoonlijk, kun je daar controleren welke verbindingen er geblokkeerd worden en de filters aanpassen.

De NoRoot Firewall houdt alle verbindingen bij, zodat je altijd kunt zien welke app wanneer contact met internet maakt.

Als je tevreden bent met je firewallconfiguratie, ga je op de menubalk naar de Begin en activeer je het selectie­vakje ‘Auto-start bij opstarten’. Dat zorgt ervoor dat de firewall ook automatisch wordt geactiveerd na een herstart. Als je Android veiliger maken wilt is dat wel zo handig.

Markeer het vinkje bij Auto-start. Dan blijft de firewall ook na een herstart van je toestel Android veiliger maken.

Je moet echter wel controleren of dat daadwerkelijk ook ­gebeurt: op een Huawei-smartphone met Android 10 moesten we na het herstarten van het toestel de fire­wall toch nog handmatig aanzetten. Smart­phones worden in het algemeen echter maar zelden uitgeschakeld, dus dat ongemak kun je nog wel door de vingers zien.

Met de menuknop linksboven (drie balken) kun je je firewallregels ook exporteren om ze over te zetten naar andere apparaten, zodat je al die moeite van het instellen van regels niet nog eens opnieuw hoeft te doen. Zo kun je snel andere toestellen met Android veiliger maken. Bovendien kun je ook na een reset naar de fabrieksinstellingen de regels snel herstellen.

Het instellen van de NoRoot Firewall vergt enig werk, maar is de moeite waard als je Android veiliger maken wilt. Je voorkomt daarmee niet alleen dat er gegevens bij trackingbedrijven terechtkomen, maar zorgt er ook voor dat er niet meer dataverkeer verstuurd wordt dan nodig is (fijn voor je datalimiet).

Als je de voorkeur geeft aan een opensource-oplossing, zou je kunnen kijken naar de krachtige NetGuard-firewall van Marcel Bokhorst, die je ook in de Google Play Store vindt. De basisversie is gratis, de pro-versie kost ongeveer negen euro.

(Informatie afkomstig uit het artikel van Ronald Eikenberg en Daniel Dupré, c’t magazine 7-8/2020, p. 94)

Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief: