Erfahrungen, welche Systemapps Netzwerkzugriff brauchen?

Ich nutze schon seit Jahren Netguard mit Calyxos und Lineageos. Dabei ist prinzipiell erst einmal Alles verboten, einschließlich deren Systemapps.

Bei den Systemapps habe ich erlaubt:
Minimal
-Root (allerdings sehe ich in Netguard keinerlei Zugriffsversuch, wird aber wohl langsfristig für die DNS Auflösung benötigt) (Gruppe 0)
-Seedvault (da ich die Sicherung auf einem Cloudspeicher hochlade) (Gruppe 10134)
-Standardruckdienst (für Netzwerkwerkdrucker) (Gruppe 10070)
-Systemaktualisierung (Gruppe 10129)
Die 10060 Gruppe
-Download (10060)
-Download Manager (10060)
-MTP-Host (10060)
-com.android.providers.media (10060)
-Töne (10060)

Bei weiteren System Apps sehe ich in Netguard versuchte Netzwerkzugriffe und konnte nach jahrelanger Nutzung noch keine negativen Auswirkungen, bei fehlenden Netzwerkzugriff feststellen.
Die 1000 Gruppe
-Android System (1000), was dann folgenden anderer Systemapps automatisch auch Netzwerkzugriff gibt:
-com.android.localtransport (1000)
-com.qualcomm.qcrilmsgtunnel (1000)
-DynamicSystemUpdates (1000)
-Eingabegeräte (1000)
-Einrichtungsassistent (1000)
-Einstellungen (1000)
-Einstellungsspeicher (1000)
-Kombinierte Standortbestimmung (1000)
-Schlüsselbund (1000)
-Telefonanrufe (1000)
-Webcamdienst (1000)
und diverse andere CustomRom spezifische Systemapps (in Netguard sehe ich dann lediglich Zugriff auf den Zeitserver, habe aber auch kein Nachteil festgestellt, wenn der Zugriff nicht erlaubt ist)

Die 1001 Gruppe
-com.android.ons (1001)
-com.android.service.ims (1001)
-MmsService (1001)
-Presence (1001)
-SIM-Toolkit (1001)
-Telefon- und SMS-Speicer (1001)
-Telefondienste (1001)
-uceShimService (1001)

sowie
-DNS daemon (Gruppe 1051)
-GPS daemon (Gruppe 1021)
-Intent Filter Verification Service (Gruppe 10061)
-MulticastDNSResponder (Gruppe 1020)
-Android System WebView (Gruppe 10139), will fonts.gstatic und update.googleapis.com aufrufen. Ist das notwendig, um WebView aktuell zu halten?

Bei allen anderen in Netguard aufgelisteten Systemapps war bei mir noch nie ein Netzwerkzugriff registriert worden

Wer kann eigene Erfahrungen beisteuern? Besonders zu den Apps der 1000 und 1001 Gruppen, und WebView (10139)?
Die Erfahrungen müssen sich nicht auf Netguard beziehen, da ich denke, dass sie auch für Rethink, AFWall+ usw. gültig sind.

Ich habe hier kürzlich ein Tablet in Betrieb genommen mit Rethink DNS und deren Implementation von Wireguard, lasse alles zu/durch eine(r) entfernte(n) Fritzbox tunneln. Im Gastnetz des Tunnelausganges gabs anfänglich etwas Schwierigkeiten beim Tunnelaufbau.

Außer für die System-Updates (Android 15, jetzt Stand März) vor dem Einrichten mit anschließendem Werksreset wurde hier gar nichts freigegeben, was nicht auch direkt verwendet wird. Alle verwendeten WLAN-Zugänge auf kostenpflichtig gesetzt und deren Verwendung allen nicht direkt genutzten Apps untersagt.

Lt. Rethink DNS tauchen dennoch im Log auf:

ANDROID (k.A. welcher UID das entspricht)
detectportal.firefox.com geblockt
github.githubassets.com erlaubt

Dynamic System Updates + 9 andere App(s)
pool.ntp.org geblockt (UID 1000)

Töne + 4 andere App(s) (com.android.providers .media, Download-Manager, Downloads, MTP-Host)
dl.google.com geblockt

Private Compute Services
dl.google.com geblockt

Google Play-Dienste + 1 andere App(s) (Google Services Framework)
die ganzen alten bekannten Google-Adressen geblockt

Google
paar weniger, auch geblockt

Android System WebView
update.googleapis.com geblockt

F-Droid
deren ganzen Serverschar erlaubt

Privacy Browser
genutzte und geblockte Adressen

1&1 TV und Filme
zattoo-Adressen erlaubt
google-Adressen geblockt

Bluetooth Firewall
google-Adressen geblockt

Firefox
bis auf die Addon-Adressen alles von Mozilla geblockt
nur gewünschtes freigegeben, z.B. das Forum hier und dnsleaktest.com
IPs der Boxen frei, aber ich sehe nur kurz den vollständigen Aufbau der Anmeldeseite und dann war es das

BoxToGo
www.almisoft.de geblockt
fritz.box (die Adresse von AVV) geblockt
firebaselogging.googleapis.com geblockt
IPs der Boxen frei (funktioniert aber gar nicht)

Smart Launcher Pro
api.smartlauncher.pro geblockt

Zapp
alles frei

Firefox klar
nur gewünschte Seiten frei

Unbekannt (1051) (DNS Dämon bei NetGuard)
eine IP des VPN vor 6 Tagen mal

baresip+
die IPs der Boxen frei (Anmeldung i.O. mehr aber kaum)

baresip
die IPs der Boxen frei (Anmeldung i.O. mehr aber kaum)

Systemaktualisierung (App des Herstellers)
zwei Server, deren Namen nach OTA-Updates aussehen, geblockt, einer mit ….com, einer mit ….cn

Leck gabs mal, als ich den WireGuard-Proxy von „Einfach“ auf „Fortgeschritten“ umgestellt habe, da hat 1&1-TV bemerkt, daß es nicht am DSL-Anschluß ist.

Alles, was ansich zur Ermittlung der nötigen Daten des Aufbaus des Tunnels erforderlich ist, funkt also unsichtbar, zumindest für Rethink DNS, an RethinkDNS vorbei.

Namensauflösung aller unerwünschten Domains nicht freigegeben, für die bringt Rethink DNS derzeit auch keine Flagge.

Systemaktualisierungen, Play System Updates und Aktualisierungen für Android System WebView gibt es so allerdings nicht.
Und momentan funktioniert der Zugriff zu den Boxen mit 192.168.1xx.1 eben nicht richtig, den ein anderes Gerät mit AFWall+ und originalem WireGuard-Tunnel zu einer der Boxen aber zu allen auch per WireGuard zu dieser Box angebundenen hinbekommt.
Dort funktionieren auch die eingerichteten IP-Phones der Boxen.
Eingehende Verbindungen sind mit Rethink DNS und NetGuard eher problematisch bzw. unmöglich(?).

Ohne Zugriff auf die gewünschten Zeitserver geht die Uhr mittlerweile 10 Sekunden nach. (Tablet letzte Woche in Betrieb genommen)

Ist jetzt das erste reine „Rethink DNS“-Gerät hier, sonst immer mit NetGuard und auch alle nicht gewünschten System-Apps geblockt, je nach Hersteller muß man für System-Updates verschiedene UIDs freigeben, ob nun für ein original Pixel 6 Pro die Play-Dienste, bei den Samsungs hier die UID 1000 oder bei dem Gerät jetzt eine UID 100xx.

Die Blockade der Zeitserver mag nicht direkt nachteilig erscheinen, wird sich aber ggfs. indirekt in Apps bemerkbar machen. Da können sich auch Fehler einschleichen, die man nicht direkt bemerkt.
Die exakte Zeit ist in vielen Szenarien essentiell, z.B. bei Synchronisation aber auch viele andere.
Man sollte zumindest darauf achten, dass alle Systeme im eigenen Netz die gleiche Zeit haben.

Die Fritzbox bietet Einstellungen zu den verwendeten Zeitservern. Ebenso kann man doer angeben, dass die Box im eigenen Netz als Zeitserver dient.
Wenn man also ohnehin immer über die eigene Box geht, könnte man die Box auch bei den Geräten als Zeitserver einstellen.
Ebenso kann man einen NTP-Server mit auf einem Pihole laufen lassen und diesen neben DNS auch als NTP einstellen.

Vielleicht hat ja das Thema von @Miss-Piggy f-droid timestamp-expected auch etwas damit zu tun.
Mein F-Droid hatte jetzt schon seit geraumer Zeit diese Meldung nicht mehr und ich hatte in Netguard ja eine Zeit lang der Gruppe 1000 Netzzugriff gewährt.

Wäre es dann sicherheitstechnisch nicht angebracht, Android System WebView (Gruppe 10139) auf alle Fälle Netzugriff zu geben?
Wie kann ich überhaupt feststellen, welche Apps WebView benötigen?

Wenn du deinem OS vertraust, würde ich Systemapps nicht den Netzwerkzugriff entziehen. Ist den Aufwand nicht wert und führt nur zu unnötigen Problemen.

Ansich wird Android WebView wie normale Apps aktualisiert. Bei dem Tablet von oben handelt es sich leider um eine herstellereigene (chinesische) Implementierung, wahrscheinlich ohne Google-Signierung, muß ich mal testen, ob ich die Kombi WebView/Trichrome Library von einem anderen Gerät einspielen kann.

Auf „Safebrowsing“ wird man wohl auch verzichten müssen, wenn man den Zugriff deaktiviert.

Man kann in den WebView DevTools unter Flags das Highlighting aktivieren. Der Privacy Browser hat einen Menüpunkt, über den man da hin kommt.

Screenshot_20250409-1134511080×748 53.9 KB

normale Ansicht in einer App(MDR Aktuell)

Screenshot_20250409-1140461079×1182 85.6 KB

mit Highlighting

Screenshot_20250409-1139511079×1146 74.2 KB

Kann man den OS, GrapheneOS mal außen vor, denn vertrauen?

Wie auch die Kuketzserie über CustomRoms zeigt, gibt es sehr wohl Gründe, außer einem zumindest aktuellen Grapheneos, nicht blind zu vertrauen.
Jetzt zu sagen, ich benutze nur noch Pixelgeräte mit Grapheneos, würde für mich angesichts guter vorhandener Geräte nicht in Betracht kommen, da sie für meine Anwendungszwecke vollkommen ausreichen.
Ich habe so um die 2015 angefangen, bei StockRoms auszuprobieren, in wieweit ein Androidsystem noch lauffähig ist, wenn ich Apps (auch Systemapps) deinstalliere bzw. deaktiviere.
Mit Netguard hatte ich dann noch mehr Möglichkeiten und war doch sehr erstaunt, wie wenig negative Auswirkungen, dies selbst auf meinen Produktivgeräten hatte und hat.

Es geht mir aber auch darum, hier vielleicht zu erfahren, ob man durch entziehen des Netzwerkszugriffs von welchen Systemapps, zwar keine negativen Auswirkungen spürt, aber eventuell sein System unsicherer macht.
Außer der WebView Systemkompunente sehe ich z.B. bei den „Intent Filter verification Service“ einiges an versuchter Kontaktaufnahme, kann aber auch bei jahrelanger Blockierung keine negativen Auswirkungen verzeichnen genauso wie bei dem Systemapps der 1001 Gruppe.

Ein umstrittener Systemdienst wäre z.B auf Geräten mit einem Qualcomm Chipset der „GPS Dameon“, der umfangreiche Standortdaten sendet, die dann 30 Tage lang bei Qualcomm gespeichert werden sollen, siehe dazu auch auf der Nitrokeyseite dem Artikel https://www.nitrokey.com/de/news/2023/smartphones-mit-verbreitetem-qualcomm-chip-senden-heimlich-private-informationen-us. Kapersky kommt wiederum in diesem Zusammenhang in einem Blogbeitrag zu dem Ergebnis:

Qualcomm verfolgt uns also (wahrscheinlich) nicht.

Ich nutze zuletzt ein Samsung und jetzt ein Moto. Im wesentlichen mit F-droid Apps. Ich habe normal ALLE Systemapps verboten. Für Systemupdates musste ich alle mit Update, bei Moto auch root erlauben. Um Anhänge runterzuladen musste ich bei Deltachat und K9 Download (temporär) erlauben.