2 x Ausgezeichnet 2014

Schlagwörter

,

Android ohne Google – Blog-Artikelreihe von Mike Kuketz
Ausgezeichnet
ausgezeichnet 2014 mit einer Unterstützung von 500 Euro

Google sammelt über seine Suchmaschine nicht nur weltweit Informationen von Web-Nutzern, sondern greift über das Betriebssystem Android auch unkontrolliert und intransparent auf die Daten von 1,3 Milliarden Smartphones zu. Mike Kuketz hat deshalb auf seinem Blog in sieben Folgen eine Anleitung darüber geschrieben, wie man sein Android-Smartphone von Google-Apps befreit und die Datenkrake Google daran hindert, auf die privaten Handy-Daten zuzugreifen.
Das ist fachlich kompetent und verständlich geschrieben.
Dieser Blog ist es wert, (gelesen und) unterstützt zu werden!
Danke Mike!

1 Your phone Your data
2 Grundstein legen
3 Cyanogenmod
4 F-Droid und AFWall+
5 Network Log
6 XPrivacy
7 Datenschutzfreundliche Apps und Dienste

***
XPrivacy – Android-Tool von Marcel Bokhorst
Ausgezeichnet
ausgezeichnet 2014 mit einer Unterstützung von 500 Euro

Mit diesem OpenSource-Tool hindert man auf einem Android-Smartphone einzelne Apps daran, unerwünscht sensible private Informationen zu sammeln und weiterzugeben. Ist eine App beispielsweise berechtigt, die Kontaktliste auszulesen, so kann man mit XPrivacy diese Anfrage zulassen, blockieren oder einfach mit der Falschinformation einer leeren Liste beantworten. Das Tool richtig zu installieren und einzustellen, erfordert ein wenig Anstrengung. Aber es gibt hinreichend Unterstützung durch ein XPrivacy-Tutorial und ein von vielen Nutzern zusammengetragenes Archiv von App-Beschränkungen.
XPrivacy hilft, die Kontrolle über das eigene Gerät wiederzugewinnen. Das ist es wert, unterstützt zu werden!
Danke Marcel!

Download und Tutorial
Nutzer-Forum
Von Nutzern zusammengestellte Beschränkungen

Nutze dein Recht auf Anonymität !

Schlagwörter

, , , ,

Die Diskussion um Anonymität im Netz ist so alt wie das Internet. Anonymität nutze nur den Kriminellen, sagen Sicherheitsfanatiker. Anonymität sei ein Schutz, um frei zu kommunizieren und intime Daten vertraulich zu halten. Nicht umsonst sei das Wahlgeheimnis durch die Verfassung garantiert, sagen die anderen. Und auch ich meine, eine Demokratie kann nicht richtig funktionieren, wenn nur eine Minderheit anonym und geheim, per Gesetz, die Mehrheit überwacht und und die Mehrheit gezwungen ist, zu jeder Zeit die eigene Identität offenzulegen. Wir sollten darum das Anonymitäts-Recht jedes Bürgers verteidigen. Und uns informieren, wie wir auch im Internet, wenn wir es wollen, weitgehend anonym bleiben können.

Um die eigene IP-Adresse zu verschleiern und eine Internetverbindung anonym zu halten, kann man zwei unterschiedliche Methoden einsetzen. Entweder man lässt seine Datenverbindung durch das Tor-Netzwerk laufen oder über einen Provider, der ein Virtuelles Privates Netz (VPN) anbietet. Im Tor-Netzwerk wird jeder Webseiten-Aufruf durch drei unbekannte Computer des Netzwerkes geschleift, sodass der aufgerufene Web-Server nur die IP-Adresse des letzten (Exit-)Computers speichern kann. Für die Nutzung auf Android-Geräten hat das Guardianprojekt zwei Opensource-Apps enwickelt (Orbot und Orweb), die die Nutzung des Tor-Netzwerkes einfach und unkompliziert machen. Zunächst installiert man die Kommunkationssoftware (Orbot) und anschliessend den für Tor angepassten Browser (Orweb). Die einzelnen Arbeitsschritte sind in einem Tutorial sehr übersichtlich dargestellt. Ist die Installation beendet, drückt man auf die zentrale Taste von Orbot, bis es meldet: „Connected“. Anschliessend erreicht man oben im Menü über das Weltkugel-Symbol mit dem Befehl „Check Browser“ Orweb. Die anonyme Verbindung ist aufgebaut.

Screenshot_2014-06-22-16-47-33 Screenshot_2014-06-22-16-48-09

Als geeignete VPN-Software für Android möchte ich Steganos Online Shield empfehlen. Bei VPN wird die Datenverbindung vom Nutzer verschlüsselt über einen VPN-Server zur gewünschten Webseite aufgebaut. Die Berliner Firma versichert in ihren Datenschutzbestimmungen, das sie weder die vom Nutzer eingehenden, noch die vom VPN-Server ausgehenden IP-Adressen speichert. Das Android-Programm ist bis zu 500 MB im Monat kostenlos und erfordert keine Identifikation. Man kann es allerdings nur über GooglePlay downloaden. Die App ist einfach und ohne komplizierte Einstellungen zu nutzen. Man zieht das Schildsymbol nach oben, bis es sich grün färbt und „Geschützt“ meldet. Beide Verfahren, die Verbindung über Tor wie über VPN, sind brauchbar, aber man sollte sich klar sein, auch sie basieren auf Vertrauen. Im Falle des VPN in eine private Firma aus Deutschland, die unter Umständen vom Staat per Gesetz zur Mitarbeit gezwungen werden kann. Im Falle von Tor in ein anonymes Netzwerk von Computer-Freaks, in dem möglicherweise auch Geheimdienstler mitwirken.

Screenshot_2014-06-22-16-40-25 Screenshot_2014-06-22-16-40-52

Eine anonyme Mobiltelefonnummer ist in vielen Situationen sinnvoll. Unter anderem wird sie auch bei der Anmeldung eines Email-Kontos im Internet erwartet. Diese Nummer anonym zu halten ist bei uns am ehesten über den Kauf einer Prepaid-Simkarte in Supermärkten möglich. Der Einkauf der Prepaid-Karte und Telefon-Guthabens, beispielsweise bei Pennymobil, geschieht problemlos und anonym an der Ladenkasse eines Pennymarktes. Man erhält die Simkarte mit dazugehöriger Telefonnummer, dazu eine Aktivierungsnummer auf dem Kassenbon. Mit dieser Aktivierungsnummer ruft man ( am besten geschützt durch Steganos VPN Shield !) die Webseite www.pennymobil.de auf und gibt dort persönliche Daten wie Name, Adresse, Geburtsdatum ein und die künftige PennyMobilnummer. Die Verifikation erfordert keine Festnetznummer und Emailadresse. Der Nutzername kann ein Pseudonym sein, das Geburtsdatum erfunden. Allein die dort angegebene Strasse, und Hausnummer, sowie der Ort werden per Datenbank gecheckt, ob sie auch existieren. Das ist alles. Und schon hat man eine anonym nutzbare Mobiltelefonnummer, die man jederzeit nennen kann, ohne die eigene Identität preiszugeben.

Screenshot_2014-06-22-16-39-54 Screenshot_2014-06-22-16-36-52

Schliesslich sollte man neben den öffentlichen und werbefinanzierten Mailadressen auch über eine anonyme Email-Adresse verfügen, die man immer dann nutzen kann, wenn man vertraulich kommunizieren will oder seinen Namen schützen will. In Deutschland bietet Posteo.de zu einem geringen Monatspreis von einem Euro einen weitgehend anonymisiertes Email-Postfach. Dieser Provider fordert bei der Anmeldung keine persönlichen Daten und keine Adresse, er verzichtet generell auf Speicherung von Bestandsdaten und kann damit auch keine an staatliche Behörden herausgeben oder mit ihnen zu Werbezwecken handeln. Posteo speichert keine IP-Adressen der Nutzer und löscht auch jede IP-Adresse des Absenders aus dem Mail-Header eines Posteo-Mails. Darüber hinaus ermöglicht diese kleine Firma eine anonyme Zahlung des Postfachs per Geldschein im Brief. Das ist alles gut durchdacht und verantwortungsbewusst organisiert. Ich kann diesen Provider nur empfehlen.

Daneben gibt es aber noch eine anderen Weg, mit Mails anonym und weitgehend unbeobachtet zu kommunizieren. Das ist die Methode der „toten Briefkästen“, wie man sie aus alten Spionagefilmen kennt. Dafür braucht es ein Webmail-Postfach, das man bei Googlemail oder GMX unter einem Fake-Namen eröffnet. Will man nun mit einer Person einen Mail-Dialog führen, dann gibt man dieser Person Benutzernamen und PIN des Postfachs, schreibt innerhalb des Webmailers seinen Mailtext, schickt ihn allerdings nicht ab, sondern speichert ihn ohne Empfängernamen innerhalb des Postfachs ab – als Entwurf. So kann ihn der „Empfänger“ lesen, wenn er mit der PIN das Postfach öffnet und an Ort und Stelle antworten. Ohne dass eine einzige Mail über das Internet verschickt wird und dabei von irgendwelchen Überwachungs-Organen aus dem Datenstrom abgegriffen werden kann! Allerdings sollte man auch bei dieser Methode darauf achten, nicht die eigene IP-Adresse offenzulegen, wenn man auf das Postfach zugreift. Genau das ist dem amerikanischen General Petraeus passiert, als er auf diesem Weg Liebesbriefe mit seiner Biographin austauschte. Der CIA konnte über die IP die Adressatin herausfinden – und der Arme war seinen Posten los.

TIPP: Behalte deine Apps im Blick !

Schlagwörter

, ,

Typisch Google: unter dem Vorwand, es für den Nutzer einfacher zu machen, wird bei Updates von Apps nicht mehr automatisch mitgeteilt, ob eine App zusätzlich neue Berechtigungen verlangt. Google Play hat einfach 19 Permissions-Kategorien (beispielsweise Identität, Kontakte/Kalender, WLAN, SMS usw.) definiert. Und festgelegt: wer beispielsweise einmal der Kategorie Kontakte/Kalender zugestimmt hat, muss nicht mehr erfahren, dass eine App, die ursprünglich einen Termin in den Kalender schreiben konnte, sich per Update das Recht nimmt, auch andere Termine zu lesen und zu exportieren. Wer den Überblick und die Kontrolle über die Tätigkeit der einzelnen Apps bewahren will, sollte also den automatischen Update in der GooglePlay-App deaktivieren.

Screenshot_2014-06-18-15-02-16Screenshot_2014-06-18-15-08-00

Dazu klickt man oben links auf das Menü-Symbol, wählt Einstellungen und markiert dort „Keine automatische Updates zulassen“. Dies blockiert die automatische Installation, nicht jedoch eine Update-Benachrichtigung. So kann man die geänderte App kontrollieren, bevor man sie installiert. Man klickt auf den App-Namen in der Benachrichtigung oder öffnet die Seite der App in GooglePlay, scrollt hinunter, bis man unter „Zusätzliche Informationen“ den Titel „Berechtigungen“ findet. Klickt man auf „Details ansehen“, kann man dort alle Berechtigungen finden, neue Berechtigungen extra herausgehoben, sodass man damit weiss, was neu ist und was nicht! Und ob man diese App weiter nutzen will !

Behalte die Kontrolle über Kamera und Mikro !

Schlagwörter

, ,

Verlorene oder gestohlene Mobiltelefone aufzuspüren – das versprechen Anti-Diebstahl-Apps wie „Prey“ oder „Android Lost“. Dabei aktiviert der Android-Nutzer über eine Webseite eine auf dem Mobiltelefon versteckt installierte App und kann anschliessend verschiedene Aktionen auslösen: sich den Aufenthaltsort zuschicken lassen, ein Foto von den Dieb aufnehmen oder abhören, was in der Nähe des Gerätes gesprochen wird, aber auch den gesamten Inhalt löschen. Das mag in dieser Situation helfen. Aber kann diese Zugriffsmethode nicht auch missbraucht werden? Von Menschen, die uns überwachen oder ausspionieren wollen? Es ist kein Geheimnis, eben dies passiert – und nicht nur durch Geheimdienste und Wirtschaftsspione. Im Netz wird diese Sorte Spyware sogar zur Überwachung der eigenen Kinder oder zum Ausspionieren von Angestellten angepriesen. Deshalb sollte man sich immer wieder ins Bewusstsein rufen: Hat jemand heimlich eine „Trojaner“-App auf ein Android-Gerät installiert, so kann er über eine Internetverbindung fast alle Funktionen und Aktionen dieses Gerätes auslösen und steuern! Weitgehend unbemerkt!

Und was kann man tun, dass das eigene Smartphone nicht klammheimlich zum SpyPhone wird? An erster Stelle sollte man darauf achten, dass keine derart schädliche Software aufgespielt wird. Ausserdem sicherstellen, dass installierte Software nicht ungeprüft auf alle Rechte und Informationen zugreifen darf. Und eine Firewall einrichten! Aber das allein reicht in manchen Fällen nicht. Wirklich verhindern lassen sich beispielsweise durch Software ausgelöste heimliche Kamera- und Mikrofon-Aufnahmen eines Handys nur, wenn man auch die Hardware so behandelt, dass ungewollte Aufnahmen unmöglich werden.

Eine Mobilphone-Kamera kann man sehr einfach mit Low-Tech unbenutzbar machen: indem man die Kameraöffnung mit einem abziehbaren undurchsichtigen Aufkleber zudeckt. Im Internet werden die unterschiedlichsten Vorschläge diskutiert: man kann eine kleines Stück einer Haftnotiz oder eines textilen Klebebandes nutzen, oder runde, schwarze Vielzwecketiketten-Aufkleber. Sie lassen sich in der Regel ohne große Kleberückstände vom Display wiederabziehen. Ja, es gibt im Web unter dem Stichwort „Webcam Sticker“ auch vorproduzierte Sticker zu kaufen, die einen kleinen Nippel zum Abziehen und Wiederaufkleben haben. Vor allem die Kamera, die zum Selbst-Porträt einsetzbar ist, sollte man mit dieser, ich gebe es zu, nicht sehr schicken, aber effektiven Methode absichern.

Und dann das interne Mikrofon. Hier gilt es, sich nicht nur vor heimlichem Mithören zu schützen. Die beiden privaten Überwachungs-Unternehmen Google und Facebook haben bereits angekündigt, dass sie künftig in ihren Applikationen das Mikro immer geöffnet halten wollen. Google, um das gesprochene „OK Google“ abzuhören, Facebook, um zu erfahren, welche Musik oder TV-Sendungen man gerade hört. Umso wichtiger ist es, die Kontrolle über das Mikro auf dem eigenen Gerät zu bewahren und fähig zu sein, es auch, wenn man will, wirksam abzuschalten. Das ist möglich.

DSC_0006

Die meisten Smartphones oder Tablets verfügen heute über einen 3,5mm-Audio-Eingang, der auch für ein Kopfhörer-Headset mit externem Mikro genutzt werden kann. Der Stecker eines derartigen Headsets ist vierpolig (normalerweise left, right, ground, mic) und vom TRRS-Typ (Tip/Spitze, Ring, Ring, Sleeve/Schaft), erkennbar an den drei Trenn-Markierungen. Steckt man diesen Stecker in die Audiobuchse, wird das interne Mikro ab- und das alternative, externe Mikro des Headsets zugeschaltet. Es reicht also, das Kabel, an dem Kopfhörer und Mikro hängen, von einem derartigen Stecker abzuschneiden. Damit die eingesteckte Klinke dann als „dummy plug“ ins Leere führt und keine Umgebungsgeräusche aufnimmt und weitergibt. Auch dies ist nicht schick, aber wirksam. Wenn Sie nachprüfen wollen, ob Sie auch den richtigen Stecker zum Dummy gemacht haben, checken Sie einfach mit einer Soundrecorder-App.

Lösche private Infos aus deinen Bildern !

Schlagwörter

, , ,

Welche Metadaten in einem Foto gespeichert sind, kann man auf einem Windows-Computer sehen, indem man per Rechtsklick das Kontextmenu der Fotodatei aufruft,  „Eigenschaften“ wählt und dort den Reiter „Details“. Dort findet man unter den Rubriken „Beschreibung, Ursprung, Bild, Kamera, Erweiterte Fotoeigenschaften, Datei“ zahlreiche technische, aber auch persönliche Informationen zu dem Bild, die alle unsichtbar im Header der jpg-Datei gespeichert sind. Diese Daten im
EXIF-Format verraten sehr viel. Die Informationen zum Kameramodell, zu den GPS-Koordinaten des Ortes und zur Zeit der Aufnahme, ebenso das Thumbnail, sollte man auf jeden Fall entfernen. Das ist bei der aktuell ausgewählten Datei möglich, indem man auf den Link „Eigenschaften und persönliche Informationen entfernen“ klickt und im zweiten Fenster, das dann erscheint, eine Kopie erstellt, in der „alle möglichen Eigenschaften“ entfernt sind.

image

Das funktioniert zuhause. Nicht aber, wenn man draussen mit dem Handy fotografiert und das Bild sofort „teilen“ oder weiterschicken will. Als Anhang einer Email oder als Upload in die  Foto-Cloud. In dieser Situation ist es sinnvoll, die Metadaten bereits auf dem Gerät mithilfe von Image Privacy zu säubern. Diese App ist nicht OpenSource und nur auf   GooglePlay erhältlich, ebenso wie die im nächsten Absatz beschriebene App Photo-Editor, aber es lohnt, da alternativlos, sie sich (zum Beispiel über Freunde) auf das eigene Handy zu überspielen. Ist Image Privacy installiert, kann man ein Bild markieren und im Teilen-Menü über das Symbol „Strip Metadata“ fast alle wesentlichen verräterischen  Daten ( wie Kameramodell, GPS-Daten, Thumbnail usw.) entfernen. Die Original-Fotodatei bleibt dabei erhalten, die gereinigte Bildversion wird unter dem Namen stripped_Bild.jpg im gleichen Verzeichnis zwischengespeichert und  mit der Funktion „Send clean image to:“ zum Versand weitergereicht. Oder auch zur weiteren Ergänzung der Metadaten an die bereits erwähnte Photo-Editor-App.

image image

Photo-Editor finanziert sich durch Werbung, verlangt den vollen Netzwerkzugriff, und sollte darum auch nur zusammen mit einer Firewall benutzt werden. Die App ist in ihrer Funktions-Vielfalt unübersichtlich gestaltet. Die Funktionen zur Metadaten-Bearbeitung erscheinen, wenn man auf das Disketten-Symbol zum Speichern drückt. Markiert man dort „Exif verändern“, wird eine Tag-Liste zum Ausfüllen gezeigt. Es ist sinnvoll, sich  über die Taste „Vorlagen“ zunächst eine Arbeitserleichterung herzustellen. In dieser Vorlage sollten alle Zeilen leer sein bis auf die  Zeile Artist (Name des Fotografen), die Zeile Copyright (All rights reserved by … oder alternativ eine Version des Creative Commons-Copyrights), in den Zeilen DateTimeOriginal, DateTimeDigitized, DateTime (allein die Jahreszahl). Dann muss man bei einem einzelnen Bild nur noch die entsprechende Vorlage auswählen, die Zeile „ImageDescription“ mit einigen Stichworten  füllen und die Datei abspeichern. Das gereinigte Bild enthält damit alle Informationen, die zur Veröffentlichung im Internet sinnvoll sind, mehr Metadaten braucht es nicht!

image

Es ist klar, derartige Arbeitsschritte machen auf einem mobilen Gerät nur bei einigen, wenigen Aufnahmen Sinn. Will man beispielsweise alle Fotos einer Urlaubsreise bearbeiten, dann sollte man auf jeden Fall die gesamten Bilder per USB auf einen Windows-Computer übertragen und sie dort nicht einzeln bearbeiten, sondern eine Software nehmen, die per Batch-(Stapel)Programmierung alle Bilder automatisiert verändern kann. Dafür ist das kostenlose BatchPurifier Lite zu empfehlen. Das Programm kann mit einem Schritt alle JPG-Dateien eines Verzeichnis inklusive der Unterverzeichnisse durcharbeiten. Wenn man bei „Filters Selection“ die Auswahl „Select all“ markiert, werden ähnlich wie bei der Android-App Image Privacy nur noch die Kern-Informationen des EXIF-Datenformats übriggelassen und alle weiteren Metadaten gelöscht. Das reicht normalerweise völlig. Denn lagert man die Bild-Dateien zuhause, auf privaten Speichermedien, unveröffentlicht, braucht es auch keine weiteren Informationen, etwa zum Künstler oder zum Copyright. .

Boykottiere die Biometrie!

Schlagwörter

,

Zunächst beim Iphone 5S. Apple baute einen Fingerabdruckscanner in den Homebutton ein. Und empfahl ihn zum Entsperren des Gerätes. Das sei bequemer als die Eingabe eines PIN-Codes. Damit gewöhnte Apple Handy-Nutzer an die Nutzung des Fingerabdrucks. Und nun Samsung. Der Hersteller des weltweit am meisten verkauften Android-Mobilphones integriert in sein neues Modell Galaxy S5 ebenfalls einen Fingerabdruck-Sensor und setzt ihn nicht nur zum Handy-Entsperren ein, sondern zusätzlich auch zum Bezahlen von Einkäufen. Das geschieht in Zusammenarbeit mit Paypal.

So wird der Einsatz von individuellen körperlichen Merkmalen zur Identifikation weiter vorangetrieben. Und der Zusammenhang zwischen dem Schlüssel zum Gerät, der Person, die das mobile Gerät öffnen kann, und der Identifikation zum Zugriff auf das Bankkonto der Person enger miteinander verknüpft. Und zwar in der Form, dass eine geheimgehaltene Software im Mobilphone den Fingerabdruck überprüft und genehmigt und das Ergebnis dieses Identifikationsprozesses über die drahtlose Verbindung den Geräteproduzenten, Mobilfunkunternehmen und staatlichen Überwachungsapparaten regelmäßig mitteilt. Wer ein Mobilfunkgerät mit Fingerabdruck-Sensor nutzt, dokumentiert mit 99prozentiger Sicherheit jederzeit die eigene Anwesenheit am Ort des Empfangs. Und was dies bedeutet, sollte man sich klar machen, selbst wenn man meint, man habe nichts zu verbergen!

Samsung ist dabei nur der Vorläufer der FIDO-Allianz, die sich vorgenommen hat, den Einsatz von PIN-Codes und Passwörtern zurückzudrängen und durch den Einsatz von biometrischen Daten der Nutzer zu ersetzen. Etwa durch den Fingerabdruck, den Scan der Augen-Iris, aber auch durch Gesichtserkennung, Handgeometrie oder Stimm-Analyse. In dieser Allianz arbeiten viele der großen amerikanischen Internet-Konzerne zusammen: Google, Mastercard, Microsoft, Paypal, RSA, Samsung, Blackberry, Lenovo usw. Und wir sollten aufpassen und uns dem Propaganda-Druck, die biometrische Identifikation sei bequemer, widersetzen!

Denn damit werden Methoden und Techniken, die bisher im Krieg gegen „äussere Feinde“ und im Kampf gegen Kriminelle eingesetzt wurden, zum Kontrollinstrument auch in unserem gewohnten allltäglichen Leben. Fingerabdrucksysteme werden bereits seit dem Ende des 19. Jahrhunderts von der Kriminalpolizei eingesetzt, um Straftäter beweiskräftig zu identifizieren. Die Sammlung und Prüfung von Iris-Scans kombiniert mit Fingerabdrücken wird dagegen erst seit einigen Jahrzehnten massenhaft von der US-Army zur Kriegsführung eingesetzt, zunächst auf dem Balkan, dann in Bagdad, aktuell in Afghanistan. Es sei, so heisst es in den offiziellen Dokumenten, eine Schlüsseltechnologie so wie Drohnen, um Aufständische zu erkennen und sie von der Zivilbevölkerung zu trennen. Der Vorteil dieser biometrischer Identifikationssysteme sei „You can’t change biometrics!“ Und während die US-Army im Krieg spezielle „Hide“-Handhelds (Handheld Interagency Identity Detection Equipment“) an Strassensperren oder Ländergrenzen zum Scannen der Bevölkerung nutzt, sollen wir per Smartphone diese Identity-Detection-Handheld-Funktion nun auch noch freiwillig und alltäglich mit uns herumtragen? Und jederzeit offenlegen, wo wir uns aufhalten?

Es ist ein Fehler zu glauben, diese drahtlose Überwachung treffe und schade in einer friedlichen, demokratischen Gesellschaft nur Kriminelle. Was ist, wenn man an einer Demonstration gegen Mietwucher teilnimmt? Wenn man aufgrund einer Falschaussage gesucht wird? Oder zur falschen Zeit am falschen Ort war? Es kann schnell passieren, dass man in eine BEWL, eine „Biometric Enabled Watch List“, gerät, so wie die Überwachungs-Datenbanken in den USA genannt werden. Und darum sollte man seinen Stolz bewahren und keineswegs freiwillig, um einer Bequemlichkeit willen, die Mittel zur eigenen Überwachung und Kontrolle bereitstellen. Die biometrische Identifikation in Mobilgeräten ist erst in den Anfängen. Noch ist es möglich, Samsung ( und anderen Herstellern) zu demonstrieren, dass man diese Funktion ablehnt. Indem man das Galaxy S5 nicht kauft! Indem man Freunde warnt, wenn sie von ihrem neuen Galaxy schwärmen. Sie davon überzeugt, den Fingerabdruck-Sensor nicht zu nutzen. Denn dies ist alternativ (noch !) möglich. Indem man durch eine breite Diskussion unter Handynutzern Widerstand aufbaut: Finger weg von Biometrie!

TIPP: Truecrypt ohne offene Türen !

index Die weit verbreitete OpenSource-Verschlüsselungs-Software Truecrypt hat kein Hintertürchen und keinen schädlichen Code. Dies ist das erste Ergebnis einer intensiven Untersuchung, die von der Organisation Open Crypto Audit Project angestossen wurde. Der Sicherheits-Check wurde durch eine öffentliche Geldsammlung auf IndieGoGo finanziert. Truecrypt war nach den NSA-Enthüllungen in die Kritik geraten, weil die Hacker, die diese Software programmiert haben, nicht bekannt sind und Unstimmigkeiten zwischen Source-Code und dem Windows-Programm von Truecrypt festgestellt wurden. Verschlüsselte Truecrypt-Container können auf Android-Geräten von EdsLite und der OpenSource-App Cryptonite geöffnet und bearbeitet werden.

Stell Dir eine Video-Toolbox zusammen !

Schlagwörter

, , , ,

In einem älteren Artikel „Abonniere Webseiten und Blogs“ hatte ich den Feedex-Reader empfohlen. Er hilft, RSS-Feeds von Nachrichtenseiten oder Blogs einzusammeln. Aber er ist nicht allzu praktisch, um Audio- oder Video-Podcasts, das sind RSS-Feeds für Sound- oder Videodateien, zu abonnieren. Denn diese Feeds verweisen nach einer kurzen Inhaltsangabe nicht auf Webseiten, sondern über einen beigefügten Link (Enclosure) auf einen Medien-Inhalt. In der Regel eine mp3-Tondatei oder mp4-Videodatei. Deshalb sollte man neben einem normalen RSS-Reader auch eine spezialisierte Podcaster-App einzusetzen. Die Open-Source-App Antennapod von Daniel Oeh, die auf F-Droid zu finden ist, bietet alle wichtigen Features. Man kann über das +Symbol auf der Startseite Feeds eingeben, indem man einen OPML-File aus dem import-Ordner von Antennapod lädt, im Internetbrowser den Link einer Podcast-Datei per „Share“ an Antennapod weitergibt, die URL eines Podcasts einträgt oder die URL aus einem Podcastverzeichnis im Internet heraussucht. Insbesondere die Rundfunk- und TV-Stationen bieten eine Fülle an regelmässigen Medien-Feeds. Antennapod aktualisiert regelmässig die Liste der Beiträge und ermöglicht dann, die Mediendatei direkt per Stream zu sehen oder zu hören, sie per Download für die Offline-Nutzung herunterzuladen oder den Link der Mediendatei an ein anderes Programm auf dem Android-Gerät weiter zu leiten.

Screenshot_2014-04-11-20-11-25Screenshot_2014-04-09-12-02-07

Beispielsweise an die OpenSource-App YouTube Downloader, die man ebenfalls auf F-Droid vorfindet. Sie zeigt vor einem Download praktischerweise die unterschiedlichen Qualitäts-Stufen an, in der man den Youtube-Beitrag herunterladen kann. Ich nutze zum Abspielen dieser Videos auf meinem Android-Tablet ebenfalls eine OpenSource-Software, den VLC-Player (VideoLanClient), der inzwischen nicht nur auf Windows oder Unix läuft, sondern auch in einer F-Droid-Version auf Android. Diese Software kann mit allen wichtigen Formaten und Codecs von Audio- und Video-Dateien umgehen (mp3, avi, mpg, mp4, mkv). Die Android-App ist noch im Beta-Stadium, so dass kleine Fehler auftauchen können. Aber es lohnt, sich auch auf Android mit diesem Player vertraut zu machen, denn die Software-Version des Playsers auf Windows ist ein bekanntes Universalwerkzeug für Multimedia-Dateien, das bei vielen Problemen hilft. Aber dazu später mehr.

Screenshot_2014-04-11-20-12-10Screenshot_2014-04-11-20-13-04

Alle Video-Dateien, die man von Youtube oder anderen Mediatheken im Internet herunterlädt, übrigens ebenso auch Videos, die man selbst aufgenommen hat, enthalten auf den ersten Blick unsichtbare Metadaten, die auch Privates verraten, beispielsweise Tag und Uhrzeit der Aufnahme oder des Downloads, den Host Header, im Falle von Youtube eine Google-ID usw. Man sollte es sich daher zur Gewohnheit machen, Videos, die man länger aufbewahren will, von allen technisch nicht notwendigen „verräterischen“ Metadaten zu säubern. Dafür gibt es zwei ausgezeichnete Tools: Exiftool und Ffmpeg, allerdings nur auf Windows. Auch wenn sie zunächst kompliziert erscheinen. Es lohnt unbedingt, sie zu installieren, denn sie helfen nicht nur bei Videos, sondern auch in anderen Fällen: etwa bei Fotos oder PDF-Dateien.

Die Ffmpeg-Software muss man nach den Herunterladen mit 7-Zip entkomprimieren und auf dem Windows-Computer in ein Verzeichnis mit dem Namen c:\ffmepg\ schieben. Danach sollte man Exiftool für Windows herunterladen, ebenfalls entkomprimieren, die Datei exiftool(-k).exe in das Verzeichnis c:\ffmpeg\bin\ schieben und dort die Datei in exiftool.exe umbenennen. Anschliessend ist es notwendig, speziell für die Videobearbeitung zwei neue Ordner einrichten: c:\ffmpeg\video-input\ und c:\ffmpeg\video-output\. In den Input-Ordner gehört ein Hilfe-Text (txt) mit den im Bild gezeigten Bearbeitungs-Befehlen.

Screenshot_2014-04-11-20-01-09

Und in den Ordner c:\ffmpeg\bin\ gehört zuguterletzt noch eine kurze Batch-Datei („metadata.bat“), die exakt die weiter unten im Bild dargestellten Batch-Befehlen enthalten muss. Etwas Sorgfalt lohnt sich, danach kann man die Kommandozeilen vergessen. Wer nicht weiss, wie man eine Batchprogramm-Datei herstellt: die Datei ff-prompt im Verzeichnis c:\ffmpeg\ ist eine Batch-Datei, es hilft, sie zu kopieren, die Kopie in „metadata“ umzubenennen, sie anschliessend mit Rechts-Klick auf „Bearbeiten“ (nicht auf „Öffnen“, das löst das Programm aus !) mit einem Text-Editor zu öffnen, den alten Inhalt vollständig zu löschen, die neuen Kommandos wie angezeigt zeilenweise einzutragen und die Datei anschliessend mit „Speichern“ (nicht „Speichern unter…“ benutzen !) fertigzustellen. Mehr ist zur Vorbereitung nicht notwendig.

Screenshot_2014-04-11-20-03-12

Die Bearbeitung eines Videos ist nun sehr einfach: man schiebt ein Video in den Input-Ordner. Danach gibt man unten am Windows-Menü in der Kommando-Box die drei Befehle zum STARTEN ein (siehe hilfe.txt), nach jedem Befehl ist eine Bestätigung mit der Enter-Taste notwendig. Will man den aktuellen Inhalt der Metadaten erfahren, so tippt man „metadata v [DATEINAME INKL. ENDUNG]“ und im Output-Ordner ist eine Datei „vorher.txt“ mit allen aufgefundenen Metadaten. Es ist interessant, sie zu studieren. Wenn man anschliessend den Befehl zum Säubern und dann den Befehl zum Herstellen der Datei „nachher.txt“ nutzt, wird man feststellen, dass die Metadaten in der geänderten Videodatei im Output-Ordner von allen privaten Informationen gesäubert sind. Das funktioniert mit mp4-, flv-, mpg- und auch wmv-Dateien.

Will man nach diesem Schritt nun eigene Meta-Daten hinzufügen, etwa um das Auffinden und Ordnen der Dateien zu erleichtern, dann ist es allerdings einfacher, zu einer anderen Software zu wechseln: zu dem bereits erwähnten VLC-Player für Windows. Erhätlich bei Chip.de. Um Metadaten für eine gesäuberte mp4-Datei einzufügen, wählt man in der Menü-Leiste unter „Werkzeuge“ die Funktion „Medien-Information“. Im Bearbeitungs-Fenster erscheinen nun Felder, die an Musik-Tags erinnern, aber sie sind auch für Video-Informationen nutzbar. Beispielsweise: Titel, Künstler, Genre, Datum (gemeint ist Jahr), Kommentare. Alle Daten, die hier eingegeben und mit der Taste „Metadaten speichern“ gesichert werden, werden innerhalb der Video-Datei der Metadaten-Liste zugefügt. Das funktioniert deshalb, weil das Programm des Vlc-Players ebenfalls mit einer Code-Bibliothek von Ffmpeg arbeitet! Aber Vorsicht, bei anderen Video-Formaten, die FFmpeg problemlos säubern kann (wie flv, mpg oder wmv) funktioniert das Eingabe-Werkzeug des VLC-Players nicht.

vlc

In diesem Fall empfiehlt es sich, dasVideo in das mp4-Format zu konvertieren und es erst dann mit Metadaten zu ergänzen. Selbst wenn dies Zeit frisst, es ist immer gut, das Formatwirrwar zu bereinigen und ausserdem: mp4 kommt in der Regel mit weniger Speicherplatz aus. Konvertieren kann man ebenfalls mit dem VLC-Player. In der Menü-Leiste unter „Medien“ findet man die Funktion „Konvertieren/Speichern“. Es öffnet sich ein Bearbeitungs-Fenster, man wählt dort unter der Taste „Hinzufügen“ die Datei aus, die man konvertieren will, drückt die Taste „Konvertieren/Speichern“. Es erscheint jetzt unter Einstellungen/Konvertieren das Profil „Video-H264 + MP3 (Mp4). Klickt man daneben auf das Werkzeugsymbol kann man das Profil noch präziser einstellen: Verkapselung (Container), Videocodec (Encodierungsparameter, Auflösung, Filter), Audiocodec, Untertitel. Die Einstellungsmöglichkeiten sind vielfältig und man vermisst kaum etwas, was nicht auch bei Ffmpeg zu finden wäre. Kein Wunder, denn auch beim Konvertieren verwendet der Player unter seiner grafischen Oberfläche das uns bekannte Tool. Besser und anders wird es also auch mit dem komplexen Standard-Tool nicht!

TIPP: Entäusche Preistäuscher-Firmen!

Schlagwörter

162014-64 In vielen Onlineshops müssen Kunden mehr zahlen, wenn sie die Produkte nicht auf ihrem PC bestellen, sondern auf dem Smartphone oder Tablet. Diese Preistrickserei hat die Verbraucherzentrale NRW ermittelt, unter anderem bei Notebooksbilliger, Comtech, Cyberport, Otto oder Technikdirekt. Kauft man nicht per App, sondern mit dem mobilen Browser ein, so kann man sich mit einer Änderung des User-Agenten in den Metadaten des Browsers maskieren, sodass man an die Webseite für Desktop-Nutzer weitergeleitet wird. Beim Dolphin-Browser ist eine Änderung der Useragent-Information innerhalb der Einstellungen möglich, beim Firefox hilft eine Installation des Add-on Phony, um auf den Desktop-Firefox umzuschalten.

Greife zur richtigen Tastatur!

Schlagwörter

, ,

Zu den Anwendungen, die Google nicht mehr als Bestandteil der Android-Betriebssystems (AOSP) offenlegt, sondern nur noch als abgeschlossene Google-App über den GooglePlay-Markt vertreibt und fortentwickelt, gehört auch die Software für die Tastatur der Android-Geräte. Inzwischen gibt es Google Keyboard 3.0, und diese Version zeichnet sich dadurch aus, dass sie „personalisierte Wortempfehlungen“ beim Schreiben einführt. Dazu nimmt sich die Tastatur-Software das Recht heraus, alle Tastatur-Eingaben in anderen Google-Apps und -Diensten mitzulesen und daraus ein Profil für die persönlichen Wort-Vorschläge zu entwickeln. Es heisst: Die gesammelten Daten sollen nur lokal auf dem Gerät gespeichert sein und die Funktion soll auch zu deaktivieren sein – aber kann dies das gesunde Misstrauen, das sich bei Android-Nutzern gegenüber der „Datenkrake“ angesammelt hat, besänftigen?

Schon in den älteren Fassungen der Keyboard-Software nahm sich Google das Recht heraus, unautorisiert die Wortempfehlungen nach amerikanischen Moralvorstellungen zu zensieren und zu unterdrücken: 1400 Begriffe im englischen, etwa 70 (als öbszön oder vulgär eingeschätzte) Begriffe im deutschsprachigen Wörterbuch. Und schließlich importierte Google auch bisher schon Wörter, die ein Nutzer selbständig im User-Dictionary des Gerätes angesammelt hatte, auf seine Server, falls man Googles Backup-und-Restore-Dienst aktiviert hatte. Und schliesslich gibt es noch in den Google-Konto-Einstellungen unter dem Stichwort „Input Tools“ diesen Hinweis zur Synchronisation von Nutzerwörterbüchern: „In Ihrem Nutzerwörterbuch werden Wörter gespeichert, die Sie vor Kurzem über unsere Tools eingegeben haben….Wenn Sie die Synchronisierung aktivieren, wird Ihr Wörterbuch in allen Google-Produkten, wie Android, Gmail und Drive, synchronisiert. Momentan unterstützt das Nutzerwörterbuch nur den Pinyin-IME für Chinesisch.“ Also – eine Funktion zur Synchronisation über Googles Server ist bereits eingerichtet- nur noch nicht für alle Sprachen. Es gibt also genug Gründe, kritisch zu sein und am besten auf eine andere Tastatur-Software zu setzen, die sich nicht mit Google verbindet und nichts an diesen Konzern verrät, was man in seine Tasten eingibt.

Screenshot_2014-04-01-13-39-44Screenshot_2014-04-01-13-40-23

Ich empfehle zum alltäglichen Gebrauch die OpenSource-Tastatur Hacker’s Keyboard von Klaus Weidner. Man kann sie von F-Droid herunterladen, mittlerweile in der Version 1.37. In dieser Version ist der Nutzerschutz noch klarer herausgearbeitet, das Programm sicherer. Konnte die Software früher, ähnlich wie die Android-Tastatur auf Kontakte und Email-Adressen zugreifen, so ist diese Erlaubnis nun abgeschaltet. Nach der Installation muss man auf der Einstellungs-Seite von Android unter dem Punkt „Sprache und Eingabe“ Hacker’s Keyboard als Tastatur & Eingabemethode aktivieren und anschließend noch als Standardeingabemethode festlegen. Die unterschiedlichen Einstellungen für das Keyboard-Layout findet man auf der Tastatur etwas versteckt durch Druck auf das Doppel-Kreis-Symbol in der unteren Zeile, das unter Eingabeoptionen die „Settings for Hackers Keyboard“ öffnet. Hier kann man festlegen, ob man ein 4- oder 5-Tastenreihen-Layout (mit der klassischen Zahlenleiste) wünscht. Die Tastatur verwendet im Landscape-Modus das Layout einer PC-Tastatur.und bietet damit viele Vorteile, die andere Android-Tastaturen nicht kennen: sie hat Pfeil-Tasten, eine Delete-Taste, Funktionstasten, man kann Tasten-Kombinationen verwenden wie control-c für copy usw. Unter „Key Behavior Settings“ kann man Tastengeräusche definieren oder Gesten zum Schliessen des Keyboards festelegen. Ähnlich flexibel ist man auch bei den Einstellungen für die Wortvorschläge. Die dafür notwendigen (unzensierten) Sprachpakete findet man auf der Entwicklerseite. Wer sich mit diesem Keyboard vertraut gemacht hat, wird nur noch selten auf die Android-Tastatur umschalten.

Wenn man Hackers Keyboard aktiviert, erscheint eine Warnung „Diese Eingabemethode kann den gesamten von ihnen eingegebenen Text erfassen einschließlich personenbezogener Daten wie Passwörter und Kreditkartennummern. Sie ist Teil der App „Hackers Keyboard“. Möchten Sie diese Eingabemethode verwenden?“ Diese bedenkenswerte Warnung ist nicht speziell auf Hackers Keyboard gemünzt, sie taucht bei allen neu installierten Tastatur-Apps auf – und dieser Hinweis trifft übrigens auch zu für die vorinstallierte Android-Tastatur-App. Es empfiehlt sich daher, für Passwörter und Identifikations-Eingaben einen Passwort-Manager zu verwenden, der eine integrierte abgesicherte Tastatur verwendet.

Screenshot_2014-04-01-21-15-52Screenshot_2014-04-01-21-13-49

Der OpenSource-Passwort-Manager Keepass ist auch auf mobile Android-Geräte angepasst worden. Er speichert alle Zugangsdaten für Webseiten, die ein Login verlangen, in einer sicher verschlüsselten Datenbank(kdbx-)Datei ab. Die Version auf der Projekt-Seite des Android-Entwicklers kann diese Passwort-Datei auch in der Cloud lagern und per FTP oder WebDav öffnen, benötigt dazu aber eine Internet-Erlaubnis. Da aber nicht jeder seinem Passwort-Manager diese Erlaubnis geben will, hat der Entwickler unter dem Namen Keepass2Android Offline bei GooglePlay auch eine Version veröffentlicht, die diese Internetverbindung nicht benötigt, da sie die verschlüsselte Passwort-Datei im Speicher des mobilen Gerätes voraussetzt. Ich denke, diese Offline-Nutzung von Keepass ist der bessere Ansatz, und selbst der synchronisierte Zugriff von verschiedenen Geräten aus ist das Risiko nicht wert, das Wifi und andere drahtlosen Netze für den Passwort-Manager im Netz bietet.

Das Handling ist einsichtig, verlangt aber einwenig Übung, vor allem der Tastaturwechsel zwischen „Hackers Keyboard“ und „Keepass2Android-Keyboard“. Kommt man beim Surfen auf eine Webseite, die ein Login verlangt, dann ruft man über die Browserfunktion „Share URL“ Keepass2Android auf, öffnet mit dem zentralen Passwort die Datenbank und wählt den Eintrag, den man eingeben möchte. In diesem Moment wird die KP2A-Tastatur-Benachrichtigung in der Benachrichtigungsleiste angezeigt. Klickt man darauf, wird die Keepass-Tastatur aktiviert (beim ersten Mal muss man sie zusätzlich noch in den Systemeinstellungen aktivieren!) Wenn man nun in ein Eingabefeld klickt, erscheint auf dem Display die KP2A-Tastatur. Links unten gibt es eine KP2A-Taste. Mit einem Druck auf diese Taste kann man dann aus dem Menü den Benutzernamen und das Passwort übertragen. Ist man fertig, so klickt man auf die Tastatur-Taste neben der KP2A-Taste, um zurück zu der Standard-Tastatur zu wechseln. Versichern Sie sich in den Systemeinstellungen, dass auch dort wieder „Hackers Keyboard“ aktiviert und als Standard definiert ist. Es lohnt sich, die Handhabung einzutrainieren, denn damit gewinnen Sie einfach ein Mehr an Sicherheit!

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.