Журналист
Журналист
- Статус
- offline
- Регистрация
- 28.09.2022
- Сообщения
- 891
- Репутация
- 886
В данной теме раскроем все настройки и манипуляции на смартфоне для максимально анонимной работы с LineageOS, половина приведенных ниже рекомендаций подходит и на обычные андроиды без кастомных прошивок.
Важно: 1 IMEI идентификатор вашего смартфона равен 1SIM карте. Если, предположим вы вставили левую сим карту в ваш телефон - оператор свяжет эти сим карты между собой и поймет, что вы один и тот же персонаж.
Меняете сим карты для смены личности - смените IMEI или смартфон для вашей же безопасности! Ну что поехали
Оглавление
1.Можно ли говорить об полной анонимизации смартфона.
2.Какие действия и настройки мы должны произвести после перепрошивки устройства?(Многие настройки можно применить на родных ОС).
3.О шифровании данных на устройстве.
4.Как правильно ограничивать доступ нашим установленным приложениям.
5.Настройки смартфона для максимально приватной работы.
6.Root/рут/права суперпользователя.
7.Все о Bootloader (Загрузчик).
8.F-Droid замена Google Play.
9.AFWall+ (Android Firewall +) Управляй всеми всевозможными разрешениями на смартфоне.
10.Рабочий профиль (Work profile) и Shelter . Замена ксяомовскому второму пространству.
Важно: 1 IMEI идентификатор вашего смартфона равен 1SIM карте. Если, предположим вы вставили левую сим карту в ваш телефон - оператор свяжет эти сим карты между собой и поймет, что вы один и тот же персонаж.
Меняете сим карты для смены личности - смените IMEI или смартфон для вашей же безопасности! Ну что поехали
Оглавление
1.Можно ли говорить об полной анонимизации смартфона.
2.Какие действия и настройки мы должны произвести после перепрошивки устройства?(Многие настройки можно применить на родных ОС).
3.О шифровании данных на устройстве.
4.Как правильно ограничивать доступ нашим установленным приложениям.
5.Настройки смартфона для максимально приватной работы.
6.Root/рут/права суперпользователя.
7.Все о Bootloader (Загрузчик).
8.F-Droid замена Google Play.
9.AFWall+ (Android Firewall +) Управляй всеми всевозможными разрешениями на смартфоне.
10.Рабочий профиль (Work profile) и Shelter . Замена ксяомовскому второму пространству.
Глава 1.
По поводу того, есть ли какие-то хитрые глубокие закладки в смартфонах от которых никакие ухищрения и знания не помогут?
Да и это все на уровне железа.
На современных смартфонах процессор, радиомодуль (GSM, 3G, LTE) изготавливаются вместе на одном чипе. И у этих чипов есть своя прошивка со своей мини операционной системой с доступом к всем внутренностям (памяти, микрофону и так далее). И ходят слухи, что в самом чипе могут быть закладки. Воспользоваться такими закладками смогут только спецслужбы, и только в том случае если на такое пойдёт производитель чипов и выдаст ключи к бэкдорам. Обезопасится от этого никак не выйдет, кроме того, что не совершать ничего особо гадкого, так как никто не будет рисковать использовать эти уязвимости только для того, чтобы прослушать как вы ругаете Путина на кухне. Для этого спец. службам достаточно какого-нибудь установленного приложения от Mail.ru или Яндекс с доступом к микрофону.Да и это все на уровне железа.
- уязвимости в драйверах к железу. Такими уязвимостями может воспользоваться любой хакер, но при нахождении таких уязвимостей каким-либо хакером информация о ней не сразу расходится к мелким хакерам-школьникам. Выход простой — периодически ставить Firmware от производителя (если вы на LOS) и хотя бы раз в месяц ставить обновления самого LOS (В первых числах месяца).
Также можно ещё применять разного рода хитрости, например вообще физически уничтожить в устройстве Wi-Fi или GSM модуль (например обрезать антенны) и иметь с собой USB модем. Или выпаять микрофон и использовать только гарнитуру.
Внимание для тех, кто хочет перепрошивать устройства под Lineage: компания Huawei (в том числе бренд Honor), на данный момент закрыли возможность разблокировки загрузчика. Но для разных устройств этой компании существуют разные обходные способы разблокировки загрузчика(встречал только за деньги).
А например Xiaomi Mi A1 продаётся на чистом Android, входит в программу Android One, не надо ждать разблокировки загрузчика и нет критичных сообщений на форумах.
Перечень всех доступных устройств вы можете найти в предыдущей теме об анонимизации смартфона.
Внимание для тех, кто хочет перепрошивать устройства под Lineage: компания Huawei (в том числе бренд Honor), на данный момент закрыли возможность разблокировки загрузчика. Но для разных устройств этой компании существуют разные обходные способы разблокировки загрузчика(встречал только за деньги).
А например Xiaomi Mi A1 продаётся на чистом Android, входит в программу Android One, не надо ждать разблокировки загрузчика и нет критичных сообщений на форумах.
Перечень всех доступных устройств вы можете найти в предыдущей теме об анонимизации смартфона.
Глава 2.
НАШИ ДЕЙСТВИЯ ПОСЛЕ ПЕРЕПРОШИВКИ
Включаем смартфон и вам предложат настроить его.
- Предварительно не вставляйте в телефон СИМ карту. Не закачиваете никаких личных данных.
- При настройке не включайте Wi-Fi, пропустите этот шаг. Также там же уберите возможность сканировать Wi-Fi сети для геолокации.
- Уберите синхронизацию времени по сети. Выставьте правильное время (если вы этого ещё не сделали при первой загрузке LOS)
- Уберите возможность делится информацией об установке с проектом LineageOS (хотя это на ваше усмотрение).
- Уберите возможность использовать местоположение приложениями (не переживайте, потом можно будет каждому приложению дать отдельно права на местоположение).
- Включите Privacy Guard по умолчанию.
- Пропускаем настройку блокировку по отпечатку пальца.
- Попросят настроить блокировку по паролю или паттерну (графическому ключу). В данном случае, если вы укажите данный пункт в новых версиях =>LOS16 должен автоматически зашифроваться ваш телефон (точнее раздел с вашими данными). Обязательно поставьте пароль и зашифруйте устройство.
- Устройство загрузится. Проверьте в настройках зашифровано ли устройство. Заблокируйте доступ в интернет (стандартными средствами) приложению SIM Toolkit и SIM App Dialog и клавиатуре. Также попробуйте отключить эти приложения (кроме клавиатуры). Чтобы найти эти приложения зайдите Apps & Notifications >See all # apps > в правом верхнем углу «Show system»
Подключите телефон к компьютеру, выберете передачу данных вместо обычной зарядки. Скачайте и скиньте программы AFWall+, Orbot на ваше устройство и установите их на устройство из приложения Files/Файлы.
- AFWall+. Открываете приложение, даёте доступ ко всему (Lan/localhost, Wi-Fi и мобильный интернет) ТОЛЬКО для Orbot и доступ к VPN только для F-Droid. Остальные приложения не должны иметь никакого доступа. В AFWall+ включаем логирование и отображение уведомлений в настройках.
- Родными средствами Android, средствами PrivacyGuard убираете по максимуму доступы всех приложений практически ко всему, что не нужно этим приложениям.
- Открываете Orbot, включаете дополнительно его как VPN, даёте доступ к VPN для F-Droid. Настраиваете подключение VPN от Orbot постоянным, и блокируйте запросы в обход VPN.
- В LOS в настройках времени и даты убираете синхронизацию по сети.
- Только теперь на данном этапе подключаетесь к рабочему Wi-Fi (или вставить сим карту)
- Настройте стандартными средствами LOS (и Android) все пункты (ниже в главе LineageOS).
- Теперь устанавливайте маркет (магазин приложений) F-Droid и оттуда скачивайте необходимы вам приложения. Так как при скачивании приложения оно может автоматически запуститься и у него могут быть лишние права (не всегда Privacy Guard для новых приложений выставляет разрешения в режим «Спрашивать»), то после установки каждого приложения останавливаете его через список приложений, очищаете данные приложения, выставляете настройки доступов и разрешений и только теперь можно этими приложениями пользоваться. И так с каждым вновь установленным приложением.
- Опционально — установите и настройте рабочий профиль через Shelter (если вы собираетесь пользоваться проприетарными приложениям, которым нужен доступ к хранилищу — крайне рекомендую установить и настроить для такого случая Shelter).
- (Для опытных юзеров) Проверяйте как настроен AFWall+ и как он блокирует DNS запросы в обход Orbot, например через https://dnsleaktest.com . В браузерах проверяйте на работу Tor через специальные сайты, например, www.deviceinfo.me .
- Важно!Если скачиваете приложения не из F-Droid (чего я крайне не советую) — проверяйте на наличие треккеров на сайте https://reports.exodus-privacy.eu.org/en/ или в приложениях Exodus Privacy, ClassyShark3xodus (Два последних приложений скачиваем в Fdroid). Там точно будут трекеры, просто это для вас очередное напоминание.
Глава 3.
Про шифрование устройства
Необходимо шифровать ваш телефон. Установка пароля или графического ключа при первом включении автоматически не означает, что устройство будет зашифровано. Особенно на старых версиях Android или на дешёвых устройствах. Также устройство может не зашифроваться при первом включении устройства, если у вас до этого стояла какая-то другая неродная (не стоковая) прошивка. Наличие шифрования можете проверить в настройках (ищите Encryption (Шифрование)). Шифруется не всё устройство, а только приложения, их данные и ваши данные. Данные системы Android не шифруются, так как по умолчанию к ним и так не должно быть доступа (если заблокирован загрузчик).
Шифрование крайне обязательно, если у вас есть недоброжелатели, нацеленные конкретно на вас. Взяв у вас телефон без шифрования они смогут вытянуть ВСЕ данные из вашего устройства — переписки, пароли, фотографии и так далее.
Но даже если таких недоброжелателей вы не встретите, то вы можете просто потерять ваше устройство, и тот кто его найдёт сможет вам сильно навредить.
Шифрование крайне обязательно, если у вас есть недоброжелатели, нацеленные конкретно на вас. Взяв у вас телефон без шифрования они смогут вытянуть ВСЕ данные из вашего устройства — переписки, пароли, фотографии и так далее.
Но даже если таких недоброжелателей вы не встретите, то вы можете просто потерять ваше устройство, и тот кто его найдёт сможет вам сильно навредить.
Глава 4.
Встроенный Firewall
Google считает, что есть так называемые «нормальные» разрешения. Это те разрешения, которые нельзя ограничить стандартными способами, и о которых вас не предупредят ни в описании Google Play, ни при установке приложения. Одним из таких разрешений является доступ в Интернет! Вы можете даже не знать, что приложение имеет доступ в интернет. Лично я пытаюсь жёстко ограничивать доступ в интернет всем приложениям, которым это не надо. Я стараюсь в принципе не давать доступ в интернет приложениям, которые имеют доступ к моим файлам. Например, приложениям для фотографирования, просмотрщикам PDF и так далее. И наоборот, те приложения, которые имеют доступ в интернет (браузеры) не должны иметь доступ к Хранилищу (Storage), контактам и так далее. Для ограничения интернета приложениям я использую два инструмента:
Встроенный в Android — это изначально встроенный во всех последних версиях Android Firewall. Но Android ограничивает возможность пользоваться этими настройками! В LOS эта возможность присутствует (не убрана). В «Settings/Настройки»- «Apps & notifications/Приложения и уведомления» выбираете приложение, там настройка «Data usage/Передача данных» и тут в LOS 5 настроек:
Встроенный в Android — это изначально встроенный во всех последних версиях Android Firewall. Но Android ограничивает возможность пользоваться этими настройками! В LOS эта возможность присутствует (не убрана). В «Settings/Настройки»- «Apps & notifications/Приложения и уведомления» выбираете приложение, там настройка «Data usage/Передача данных» и тут в LOS 5 настроек:
- Wi-Fi data/данные Wi-Fi — выключить приложению интернет по Wi-Fi
- Cellular data/Мобильные данные — выключить приложению интернет по сотовой сети
- Background data/Фоновый режим — выключить приложению доступ в интернет, когда приложение в свёрнутом состоянии (в фоновом режиме).
- VPN data — ограничивает возможность использовать сеть через VPN.
- Unrestricted data usage/Неограниченная передача данных — об этом я писала ранее. Ограничивает возможность доступа в интернет в режиме «экономии трафика»
Я стараюсь ограничивать интернет по полному, начиная со встроенного файрволла. В первую очередь при первом запуске устройства я ограничиваю доступ клавиатуре, встроенному браузеру. Но не сильно доверяю этим настройкам, так как они не могут ограничивать процессы/приложения из разряда «Core/Ядро»
Глава 5.
Заходим в стандартные настройки LineageOS
Давайте пройдёмся по настройкам LOS, которые касаются по большей части именно безопасности и приватности. Многие из них относятся и к чистой версии Google AOSP.
В Settings (Настройки) есть поиск по настройкам - удобно находить нужные параметры для изменения.
В Settings (Настройки) есть поиск по настройкам - удобно находить нужные параметры для изменения.
Network&Internet (Сеть и Интернет)
— Wi-Fi
— — Wi-Fi preferences (Настройки Wi-Fi)
— — — Turn on Wi-Fi automaticaly (Включать Wi-Fi автоматически) — нет.
— — — Open network notification (Уведомление об открытых сетях) — нет.
— Mobile network (Мобильная сеть)
— — Wi-Fi calling (Звонки по Wi-Fi) — отключить.
— — Carrier video calling (Видеозвонки) — отключить.
— Access Points Names (Точки доступа (APN))
Отключить все.
— — Wi-Fi preferences (Настройки Wi-Fi)
— — — Turn on Wi-Fi automaticaly (Включать Wi-Fi автоматически) — нет.
— — — Open network notification (Уведомление об открытых сетях) — нет.
— Mobile network (Мобильная сеть)
— — Wi-Fi calling (Звонки по Wi-Fi) — отключить.
— — Carrier video calling (Видеозвонки) — отключить.
— Access Points Names (Точки доступа (APN))
Отключить все.
Connected devices (Подключенные устройства)
— NFC — Отключайте NFC и не пользуйтесь им, только в крайних случаях и не должно быть обмена данными с посторонними чипами NFC.
— Bluetooth лучше не пользоваться и отключить, сама по себе система с множеством изъян.
— Bluetooth лучше не пользоваться и отключить, сама по себе система с множеством изъян.
Apps & notifications (Приложения и уведомления)
— Notifications (Уведомления)
—— On lock screen (Уведомления на заблокированном экране)
Ставим Не показывать уведомления
— Default apps (Приложения по умолчанию)
Внимательно просмотрите, что у установлено на разные типы приложений. Выберете доверенные приложения.
Самое главное в пункте «Browser app (Браузер)» выберайте «None (Нет)» или «Tor browser». Это необходимо, чтобы если вам прислали какую-нибудь ссылку, то вы сами выбирали бы в каком браузере открыть (в случае «None (Нет)») или чтобы она открывалась в «Tor browser». Объясню почему — вы можете нажать на ссылку в каком-нибудь мессенджере, которая будет выглядеть адекватно, типа «example.com», но на самом деле там будет ссылка типа «vk.com/away.php?to=example.com» и если вы откроете эту ссылку в своём стандартном браузере, то Вконтакте сможет понять что кто-то на этом IP открывает определённую страницу. Если вы в этом браузере были залогинены вконтакте, то вообще сразу поймёт по каким сайтам вы ходите (не просто общее наименование сайта, а конкретная страница). Но даже если в ссылке нет таких «подлостей», то всё равно вам может быть не по душе, чтобы ваш провайдер интернета знал какие вы сайты открываете и при случайном открытии ссылки в определённом браузере эта информация сразу уйдёт провайдеру.
— App permissions (Специальный доступ).
— — Device admin apps (Приложения администратора устройства)
В данном пункте не должно быть никаких приложений, кроме тех, в которых вы 100% уверены. Это очень опасное разрешение. Это разрешение даёт возможность изменять любую настройку в устройстве. Вообще, запрос на это разрешение уже очень подозрителен, даже если вы не выдали это разрешение. У меня стоит только Shelter.
— — Display over other apps (Поверх других приложений)
У меня нет приложений, которым бы понадобилась такая функция. Это функция в некоторых случаях используется вирусными приложениями, например для перехвата вводимых паролей.
— — Notification access (Доступ к уведомлением)
Нельзя давать другим приложениям читать уведомления, в которых могут быть тексты кодов из СМС и любую другую конфиденциальную информацию.
— — Picture-in-picture (Картинка в картинке)
Аналогично Display over other apps (Поверх других приложений). Эта функция нужна только проигрывателям видео, и браузерам через которые вы также хотите выводить видео отдельно.
— — Premium SMS access (доступ к платным SMS)
Никому
— Unrestricted data (Неограниченный мобильный Интернет)
Никому
— Install unknown apps (Установка неизвестных приложений)
Ни одно приложение, кроме F-Droid, не может устанавливать приложения в фоне. Обязательно всплывёт окно с запросом на установку. В данном пункте у меня стоит возможность только для Shelter и для F-Droid. Посылать запрос на установку у системного файл менеджера есть по умолчанию.
— — Usage access (Доступ к данным)
Доступ к общим данным истории использования устройста. Нельзя давать никому. Ну или специальным программам, которые для вас составляют анализ использования устройства. Внимательно давайте доступ к этой функции.
— — VR helper service (Вспомогательные VR-сервисы)
Никому не даем доступ.
— — Wi-Fi control (Управление сетями Wi-Fi)
В этой настройке надо отключить у всех приложений, кроме тех, которым это разрешение необходимо для работы.
—— On lock screen (Уведомления на заблокированном экране)
Ставим Не показывать уведомления
— Default apps (Приложения по умолчанию)
Внимательно просмотрите, что у установлено на разные типы приложений. Выберете доверенные приложения.
Самое главное в пункте «Browser app (Браузер)» выберайте «None (Нет)» или «Tor browser». Это необходимо, чтобы если вам прислали какую-нибудь ссылку, то вы сами выбирали бы в каком браузере открыть (в случае «None (Нет)») или чтобы она открывалась в «Tor browser». Объясню почему — вы можете нажать на ссылку в каком-нибудь мессенджере, которая будет выглядеть адекватно, типа «example.com», но на самом деле там будет ссылка типа «vk.com/away.php?to=example.com» и если вы откроете эту ссылку в своём стандартном браузере, то Вконтакте сможет понять что кто-то на этом IP открывает определённую страницу. Если вы в этом браузере были залогинены вконтакте, то вообще сразу поймёт по каким сайтам вы ходите (не просто общее наименование сайта, а конкретная страница). Но даже если в ссылке нет таких «подлостей», то всё равно вам может быть не по душе, чтобы ваш провайдер интернета знал какие вы сайты открываете и при случайном открытии ссылки в определённом браузере эта информация сразу уйдёт провайдеру.
— App permissions (Специальный доступ).
— — Device admin apps (Приложения администратора устройства)
В данном пункте не должно быть никаких приложений, кроме тех, в которых вы 100% уверены. Это очень опасное разрешение. Это разрешение даёт возможность изменять любую настройку в устройстве. Вообще, запрос на это разрешение уже очень подозрителен, даже если вы не выдали это разрешение. У меня стоит только Shelter.
— — Display over other apps (Поверх других приложений)
У меня нет приложений, которым бы понадобилась такая функция. Это функция в некоторых случаях используется вирусными приложениями, например для перехвата вводимых паролей.
— — Notification access (Доступ к уведомлением)
Нельзя давать другим приложениям читать уведомления, в которых могут быть тексты кодов из СМС и любую другую конфиденциальную информацию.
— — Picture-in-picture (Картинка в картинке)
Аналогично Display over other apps (Поверх других приложений). Эта функция нужна только проигрывателям видео, и браузерам через которые вы также хотите выводить видео отдельно.
— — Premium SMS access (доступ к платным SMS)
Никому
— Unrestricted data (Неограниченный мобильный Интернет)
Никому
— Install unknown apps (Установка неизвестных приложений)
Ни одно приложение, кроме F-Droid, не может устанавливать приложения в фоне. Обязательно всплывёт окно с запросом на установку. В данном пункте у меня стоит возможность только для Shelter и для F-Droid. Посылать запрос на установку у системного файл менеджера есть по умолчанию.
— — Usage access (Доступ к данным)
Доступ к общим данным истории использования устройста. Нельзя давать никому. Ну или специальным программам, которые для вас составляют анализ использования устройства. Внимательно давайте доступ к этой функции.
— — VR helper service (Вспомогательные VR-сервисы)
Никому не даем доступ.
— — Wi-Fi control (Управление сетями Wi-Fi)
В этой настройке надо отключить у всех приложений, кроме тех, которым это разрешение необходимо для работы.
Security (Безопасность)
—— Screen lock (Блокировка экрана)
Тут можно выбрать способ защиты устройства —None (Нет), Swipe (Провести по экрану), Pattern (Графический ключ), PIN (PIN-код), Password (Пароль). Если вы при установке LOS выбрали что-то из Pattern, PIN или Password, то должно было запуститься шифрование устройства. Здесь вы можете поменять тип блокировки. Настоятельно рекомендую оставить что-либо из Pattern (Графический ключ), PIN (PIN-код), Password (Пароль).
— Fingerprint (Отпечатки пальцев)
Не пользоваться, если палец установлен — убрать.
— Trust (Trust)
—— Android security patch (пакеты безопасности Anrdroid)
Данное меню показывает устранены ли у вас последние известные уязвимости. Показывает два пункта:
-Platform (Платформа)
-Vendor (Производитель)
Если у вас в данном пункте отображается, что не всё в порядке, то ищите решение на форумах. Обычно хватает просто поставить обновления «по воздуху» (OTA обновления) если у вас официальная версия LOS. Иногда надо отдельно скачать firmware (обновление от производителя) и установить его. Ежемесячные обновления безопасности, которые подготавливают в Google, включаются в прошивку LOS очень оперативно. Гораздо быстрее чем на большинстве других прошивок, даже стоковых (изначальных).
—— Encryption (Шифрование). Обязательно должно быть включено.
—— Limitation of USB (Оганичение USB)Ставим включенным.
—— LineageOS statistics (Отправка статистики)
Запрет
— Location (Местоположение)
Местоположение должно быть выключено. Включать только по необходимости. И после этой необходимости — отключать.
— «Scanning (Поиск сетей Wi-Fi и Bluetooth)» — я отключил эту функцию и для Wi-Fi и для Bluetooth.
— App-level permissions (Доступ приложений к геоданным)
Удобный список родным способом (от Android) управления доступом приложений к местоположению в виде списка.
Тут можно выбрать способ защиты устройства —None (Нет), Swipe (Провести по экрану), Pattern (Графический ключ), PIN (PIN-код), Password (Пароль). Если вы при установке LOS выбрали что-то из Pattern, PIN или Password, то должно было запуститься шифрование устройства. Здесь вы можете поменять тип блокировки. Настоятельно рекомендую оставить что-либо из Pattern (Графический ключ), PIN (PIN-код), Password (Пароль).
— Fingerprint (Отпечатки пальцев)
Не пользоваться, если палец установлен — убрать.
— Trust (Trust)
—— Android security patch (пакеты безопасности Anrdroid)
Данное меню показывает устранены ли у вас последние известные уязвимости. Показывает два пункта:
-Platform (Платформа)
-Vendor (Производитель)
Если у вас в данном пункте отображается, что не всё в порядке, то ищите решение на форумах. Обычно хватает просто поставить обновления «по воздуху» (OTA обновления) если у вас официальная версия LOS. Иногда надо отдельно скачать firmware (обновление от производителя) и установить его. Ежемесячные обновления безопасности, которые подготавливают в Google, включаются в прошивку LOS очень оперативно. Гораздо быстрее чем на большинстве других прошивок, даже стоковых (изначальных).
—— Encryption (Шифрование). Обязательно должно быть включено.
—— Limitation of USB (Оганичение USB)Ставим включенным.
—— LineageOS statistics (Отправка статистики)
Запрет
— Location (Местоположение)
Местоположение должно быть выключено. Включать только по необходимости. И после этой необходимости — отключать.
— «Scanning (Поиск сетей Wi-Fi и Bluetooth)» — я отключил эту функцию и для Wi-Fi и для Bluetooth.
— App-level permissions (Доступ приложений к геоданным)
Удобный список родным способом (от Android) управления доступом приложений к местоположению в виде списка.
System (Система)
— Languages & Input (Язык и ввод)
— —Virtual keyboard (Экранная клавиатура)
— — —Android keyboard (AOSP) (Клавиатура Android (AOSP))
— — — —Advanced (Дополнительные настройки) — включаем Show app icon (Показывать значок приложения). Это надо для того, чтобы потом удобно из списка приложений быстро ограничить доступ клавиатуры к интернету и контактам стандартными средствами Android.
— — —«Text correction (Исправление текста)»
Важно!!! Никакого личного словаря. Отключаем все галочки подряд.
— Status bar (Строка состояния)
— —Network traffic monitor (Индикатор сетевого трафика)
Включите в Display mode (Режим отображения) возможность просматривать скорость текущего интернета на скачивание и на выгрузку. Это вам поможет понять, если в какой-то момент какое-нибудь приложение в фоне начинает, что-то усиленно закачивать на устройство, или выгружать на сервера ваши данные. Также поможет предотвратить потребление мобильного трафика.
— Date & time
Убираем «Automatic date & time (Дата и время сети)», убираем «Automatic time zone (Часовой пояс сети)». По идее эти настройки должны отключить автоматическое выставление времени с серверов Google. Но не тут то было. Всё равно, даже при отключенных настройках система пытается периодически достучаться до серверов Google с ntp. Это видно из логов AFWall+ и Adaway.
ВНИМАНИЕ: Вам придётся вручную выставлять дату и время. Когда вы загружаете TWRP — то дата и время может сбиваться. Когда вынимаете батарейку, дата и время также может сбиваться. Дело в том что Orbot и Tor browser не могут запуститься, если у вас неправильно стоит дата и время. Вы можете потратить усилия, чтобы выяснить в чем проблема, но чаще всего дело в неправильном времени в системе.
— Developer options (Для разработчиков)
Пользуйтесь этими настройками аккуратно, особенно внимательно обращайте внимание на те, что касаются вмешательства в работу «железа» устройства. То есть не меняйте того, что не знаете. Например, всякие «ускорения», «экспериментальный» и так далее.
— — Running services (Работающие службы)
Родной для Android-а инструмент по просмотру списка запущенный приложений и списка приложений в кэше. Тут же можно остановить работу приложения. Если какое-то приложение почему-то запущено, хотя не должно быть — то с этим надо разбираться. Или ограничивать автозапуск, или ограничивать запуск одних приложений другими.
— — Root access (Режим суперпользователя)
Кому должны быть предоставлены права суперпользователи:
Disabled (Выключен)
Apps only (Только приложения)
ADB only (Только ADB)
Apps and ADB (Приложения и ADB)
Желательно, чтобы всегда в обычном состоянии был пункт Apps only (Только приложения). Про root я опишу позже.
— — Manage root access (Права суперпользователя)
Список приложений, имеющих root (рут) права в интерфейсе Privacy Guard с возможностью отзывы прав. Рут должен быть предоставлен только тем приложениям в которых вы уверены.
— — Android debugging (отладка Android)
Включать только при необходимости и выключать, когда не надо!
— — Revoke USB debugging authorization (Отозвать доступ для USB-отладки).
После манипуляций по ADB отзывать доступ ко всем устройствам, чтобы ОПГшное государство не могло воспользоваться вас смартфон+компьютер и подключиться к смартфону по ADB при заблокированном экране.
— —Virtual keyboard (Экранная клавиатура)
— — —Android keyboard (AOSP) (Клавиатура Android (AOSP))
— — — —Advanced (Дополнительные настройки) — включаем Show app icon (Показывать значок приложения). Это надо для того, чтобы потом удобно из списка приложений быстро ограничить доступ клавиатуры к интернету и контактам стандартными средствами Android.
— — —«Text correction (Исправление текста)»
Важно!!! Никакого личного словаря. Отключаем все галочки подряд.
— Status bar (Строка состояния)
— —Network traffic monitor (Индикатор сетевого трафика)
Включите в Display mode (Режим отображения) возможность просматривать скорость текущего интернета на скачивание и на выгрузку. Это вам поможет понять, если в какой-то момент какое-нибудь приложение в фоне начинает, что-то усиленно закачивать на устройство, или выгружать на сервера ваши данные. Также поможет предотвратить потребление мобильного трафика.
— Date & time
Убираем «Automatic date & time (Дата и время сети)», убираем «Automatic time zone (Часовой пояс сети)». По идее эти настройки должны отключить автоматическое выставление времени с серверов Google. Но не тут то было. Всё равно, даже при отключенных настройках система пытается периодически достучаться до серверов Google с ntp. Это видно из логов AFWall+ и Adaway.
ВНИМАНИЕ: Вам придётся вручную выставлять дату и время. Когда вы загружаете TWRP — то дата и время может сбиваться. Когда вынимаете батарейку, дата и время также может сбиваться. Дело в том что Orbot и Tor browser не могут запуститься, если у вас неправильно стоит дата и время. Вы можете потратить усилия, чтобы выяснить в чем проблема, но чаще всего дело в неправильном времени в системе.
— Developer options (Для разработчиков)
Пользуйтесь этими настройками аккуратно, особенно внимательно обращайте внимание на те, что касаются вмешательства в работу «железа» устройства. То есть не меняйте того, что не знаете. Например, всякие «ускорения», «экспериментальный» и так далее.
— — Running services (Работающие службы)
Родной для Android-а инструмент по просмотру списка запущенный приложений и списка приложений в кэше. Тут же можно остановить работу приложения. Если какое-то приложение почему-то запущено, хотя не должно быть — то с этим надо разбираться. Или ограничивать автозапуск, или ограничивать запуск одних приложений другими.
— — Root access (Режим суперпользователя)
Кому должны быть предоставлены права суперпользователи:
Disabled (Выключен)
Apps only (Только приложения)
ADB only (Только ADB)
Apps and ADB (Приложения и ADB)
Желательно, чтобы всегда в обычном состоянии был пункт Apps only (Только приложения). Про root я опишу позже.
— — Manage root access (Права суперпользователя)
Список приложений, имеющих root (рут) права в интерфейсе Privacy Guard с возможностью отзывы прав. Рут должен быть предоставлен только тем приложениям в которых вы уверены.
— — Android debugging (отладка Android)
Включать только при необходимости и выключать, когда не надо!
— — Revoke USB debugging authorization (Отозвать доступ для USB-отладки).
После манипуляций по ADB отзывать доступ ко всем устройствам, чтобы ОПГшное государство не могло воспользоваться вас смартфон+компьютер и подключиться к смартфону по ADB при заблокированном экране.
Какая лучшая прошивка для Android, ориентированная на конфиденциальность?
Последнее редактирование:
