Meer praktische tools
Behalve Packet Capture zijn er nog andere analyse-tools die ook zonder root-toegang een waardevol inzicht in je dataverkeer kunnen geven. Een snel overzicht van de actieve netwerkverbindingen biedt het opensource
Net Monitor van de Secuso Research Group. De app toont de metagegevens die je kent van de Unix-tool netstat in een visueel aantrekkelijke vorm. Je ziet welke apps met welke servers contact hebben, maar je kunt helaas niet in de verbindingen snuffelen. Net Monitor biedt enkele voordelen boven netstat. De app kan bijvoorbeeld voor versleutelde verbindingen bij analysedienst SSL Labs controleren hoe veilig de crypto-configuratie van de verbindingspartner is. Die optie ('Server Validation') moet je wel aanzetten in de app-instellingen.
Als je wel eens netwerkverkeer op een Unix-systeem hebt bekeken, ken je
tcpdump. Die commandline-tool luistert het verkeer op de netwerkinterface af. Hij werkt ook op Android, maar vereist wel root-toegang. Bovendien is de tool normaliter niet standaard aanwezig op het systeem of ontbreken binaries waarvan tcpdump afhankelijk is. Daarom kun je uitwijken naar de gratis app tPacketCapture. Die werkt als lokale VPN-server en legt al het dataverkeer vast in PCAP-formaat. De trace kun je vervolgens naar een pc kopiëren en goed analyseren met Wireshark. Dat kan met Packet Capture ook voor losse conversaties, maar niet voor een complete trace. Bovendien kun je bij tPacketCapture de geheugenkaart als opslaglocatie aangeven, handig voor als je erg grote traces krijgt. In tegenstelling tot Packet Capture werkt tPacketCapture echter helemaal passief. Je kunt dus geen SSL laten omzetten naar leesbare tekst.
De analyse-app SandroProxy ziet er een beetje rommelig uit. Als je ermee aan de slag gaat word je wel beloond met een overweldigende hoeveelheid functies. De app ontsleutelt SSL-verkeer, legt PCAP-bestanden vast en biedt zelfs een webinterface. Daarmee kun je de informatie ook op een groter scherm bekijken. Het is op die manier zelfs mogelijk de doorgesluisde gegevens in een 3D-weergave te bekijken waarbij de connecties bij-
voorbeeld op een bol worden geprojecteerd. Leuk speelgoed. SandroProxy kun je op allerlei manieren aanpassen of de Java-code uitbreiden. Voor de gegevensdoorvoer moet je bij de wifiinstellingen als proxy 'localhost' op poort 8008 instellen.
Een aardige app om snel inzicht te krijgen in actieve verbindingen is Network Connections van ontwikkelaar Anti Spy Mobile. Tik je op het tabblad Current Connections op een verbinding, dan krijg je ook de administratieve gegevens voor het IP-adres van de doelserver, of die op een Abuse-lijst voorkomt en een kaartje van de locatie. Start je op een van de andere tabbladen een Live Capture, dan kun je connecties sorteren op meeste activiteit of aantal connecties om snel veelgebruikers op te sporen. Via Settings kun je bij Alerts notificaties instellen voor verborgen apps die verbinding proberen te maken. Je kunt de app wel slechts beperkte tijd gebruiken voordat je een unlock-code moet aanschaffen.
Visueel een stuk aantrekkelijker dan de meeste apps om netwerkverbindingen in de gaten te houden is
GlassWire. Deze komt van dezelfde ontwikkelaars als de gelijknamige Windows-software. In een kleurige grafiek wordt de hoeveelheid inkomende (blauw) en uitgaande (groen) data getoond. Het label 'New' geeft aan dat een app voor het eerst (sinds het starten van GlassWire) verbinding maakt. Door op dit label te tikken zie je om welke app het gaat. Standaard wordt een periode van 5 minuten getoond in de grafiek, maar via de keuzelijst linksboven kun je een langere periode instellen. Onder de grafiek vind je een lijst van apps met dataverkeer, waarin je kunt tikken om voor die app een grafiek te bekijken. Veel dieper gaat het niet, maar je krijgt wel snel een beeld van de omvang van het netwerkverkeer op je toestel en ziet via de meldingen wanneer 'nieuwe' apps contact maken.
Het is trouwens niet aan te raden om al te veel van deze apps tegelijk te installeren, ook al is het op een testapparaat. Daar wordt Android doorgaans niet stabieler van en ze kunnen elkaars overzichten 'vervuilen'. Verwijder apps na gebruik of schakel ze op zijn minst uit via het applicatiebeheer. c