Инструкция: «Как сделать смартфон анонимным»
В данной статье мы пошагово расскажем как можно достигнуть максимальной анонимности при использовании смартфона. Статья будет особенно полезна тем, кто по той или иной причине может вызвать интерес у правоохранительных органов.
Оглавление:
1.Выбраем кастомную ОС.
2.Как выбирать марку телефона для приватной работы.
3.Установка ОС на наше устройство.
4.Получение РУТ-прав.
5.Скачивание рабочих программ.
6.Выход в рабочее поле.
Гайд:
1.Выбраем кастомную ОС.
Из всех приватных ПО я выделю 4 дистрибутива:
1.CopperheadOS — достаточно сложная в установке, так что сразу отбрасываем.
2.GrapheneOS — та же самая байда, что и CopperheadOS.
3.CalyxOS — Андроид система с открытым исходным кодом с уклоном на конфиденциальность, легкая в установке.
4.LineageOS — преемник многими знакомого «CyanogenMod». Андроид система с открытым исходным кодом, неплохая встроенная защита, шифрование присутствует по дефолту, google serviсes вырезаны.
Далее будем рассматривать установку дистрибутива на примере LineageOS.
2.Как выбирать марку телефона для приватной работы.
Допустим, мы захотели установить дистрибутив LineageOS. Осторожно, клирнет — (https://download.lineageos.org/).
На сайте разработчика мы видим, что только определенный перечень мобильных устройств поддерживается для данного дистрибутива.
Из всего списка устройств отбираем на авито нужный нам гаджет (не советую покупать телефоны — где в характеристиках оставлен imei номер — данное нововведение очень настораживает)
3.Установка ОС на наше устройство.
3.1. Подключаем девайс к компьютеру.
3.2Чтобы установить кастомную прошивку на смартфон нам потребуется разблокированный загрузчик, как это сделать — смотреть на 4pda.to(Клирнет) для своего девайса . С помощью программы «adb» — ничего сложного в разблокировке нет.
3.3. После того, как разблокировали загрузчик — скачиваем и устанавливаем кастомный recovery TWRP или CMW.
Как подгрузить и установить рековери — найдете на 4pda. (TWRP — на мой взгляд более понятнее и интуитивнее будет).
3.4 Скачиваем самый последний дистрибутив ПРОШИВКИ на офф. сайте под выбранный гаджет и заливаем его в корень нашего устройства.
Далее згружаемся в bootloader через ADB командой «adb reboot bootloader» — качельками громкости листаем до «Recovery mode» и тыкаем. Загружаемся в рековери — находим свой дистрибутив на прошивку и устанавливаем.
4.Получение РУТ-прав.
После установки OC закидываем magisk.zip или SuperSu.zip в корневую папку и устанавливаем с помощью кастомного recovery.
Теперь мы получили ROOT права и уже можем постоянно генерировать свежие MAC-адреса устройств или устанавливать proxy.
5.Скачивание рабочих программ.
Самое основное — не устанавливайте Google services, которые специально вырезаны в данных дистрибутивах. Есть множество альтернатив!
Опираясь на свой, личный опыт — могу сказать, что смена imei на процессорах Snapdragon — невозможна. Только на процессорах компании MTK(серии 65**). Если лично кто-то менял imei на snapdragon — отзовитесь, по моему эта функция заблокирована на базе самого процессора.
6.Выход в рабочее поле.
Если вы собираетесь работать через левую сим-кату(можете найти множество отличных продавцов сим-карт на этом форуме), то советую каждый новый вход менять свою дислокацию.
Мой вам совет — отходите или отъезжайте ПОДАЛЬШЕ от постоянного местонахождения.
Ни в коем случае не запускайте свой рабочий телефон рядом с повседневным телефоном. Не связывайте свою обычную личность с рабочей.
Как оставаться анонимным, используя Android смартфон?
UnderPrivate
Базовая настройка.
Думаю, что если человек занимается каким либо теневым бизнесом или же серыми делами, то он в состоянии сам прошить свой девайс следуя подробным инструкциям которых на 4pda огромное множество, посему на этом заострять свое внимание не буду. Но хочу сказать что ядро лучше выбирать без поддержки usb-otg даже если оно поддерживается самим устройством.
1. Иногда ситуация складывается так что вам срочно необходимо получить доступ по ssh к своему серверу, зайти в админку сайта, заключить важную сделку в даркнете или же просто совершить перевод Bitcoin либо начать в анонимную периписку. Для того что бы все это обезопасить от ФСБ и мирового правительства злоумышленников, нужно первым делом после приобретения и прошивки левого девайса зашифровать устройство, тут все просто: заходим в настройки и шифруем. Нужно сказать только о том что цифровой пин меньше 6 символов и графический ключ не самые надежные решения, лучше пользоваться паролем, это хоть и не удобно но вполне надежно. Еще хочу отметить, что с шифрованием данных справляются лучше всего модели на процессорах Intel которые поддерживают AES-NI, да и те которые не поддерживают расширения команд AES тоже примерно так же справляются. (в разы лучше чем любые ARM камни) На этих процессорах как и на камнях от Nvidia шифрование практически не влияет на энергопотребление и скорость работы.
2. Так же первым делом нам нужно предотвратить любой возможный слив информации по сети и дополнительно себя обезопасить от всевозможной малвари которая может установиться вами или кем либо и не обязательно намеренно (фишинг и человеческий фактор никто не отменял). Для реализации этого мы воспользуемся, внезапно, фаерволом. Так как в большинстве прошивок уже вшит busybox то iptables у вас уже есть. Лучше использовать Android Firewall он хоть и давно не обновляется, но надежно работает или AFWall+ он новее но принцип работы у них одинаковый. После того как мы установили фаервол следует его настроить. Кстати AFWall+ предотвращает утечку данных еще на этапе загрузки (увы только платная версия) но ядро должно поддерживать init.d и su.d. Я же обеспечиваю это вручную правкой скрипта.
Для настройки сетевого экрана применяем режим белый список (т.е.только приложения из этого списка могут выходить в сеть, а все остальные хуй. И даже если так случится что мы случайно скачаем и установим какой либо вредоносный софт он все равно не сможет ничего украсть (биткоины к примеру) или скомпрометировать нас. Исключением является та малварь которая занимается отсылкой смс на платные номера и номера мобильного банка. Но защищенный режим о котором я расскажу ниже обезопасит и от этого.
В белом списке мы отметим только те приложения которые должны выходить в сеть.Незачем нам, чтобы в сеть выходили любые приложения, ядро linux и прочие из ядра системы. Мало ли что в них спрятано.
3. После проделанных действий по настройке фаервола нам нужно удалить кастомное рековери. Тупо его удалить не получится, так что придется его перезаписать дефолтным. Это необходимо для того что бы никто не смог прошить модернизированное ядро или создать дамп зашифрованного раздела для его последующего криптоанализа. Это не обезопасит нас от выпайки флешь памяти и изучения ее содержимого через программатор но усложнит задачу злонамеренным лицам.
4. Так же для обеспечения дополнительной безопасности необходимо отключить отладку по USB в разделе настроек «для разработчиков». И возможность подключения телефона как флешь карту или MPT устройство в разделе настроек «память».
5. Следующим шагом необходимо обезопасить себя, передаваемые вами данные и вашего собеседника от фейковых сот которые могут использовать спец. службы и энтузиасты для просушки разговоров и перехвата трафика. Для этого мы установим программу SnoopSnitch или GSM Spy Finder если у вас чипсет отличный от Qualcomm. Эти приложения своевременно предупредят нас о появлении неизвестных ранее вышек сотовой связи и потенциальной угрозе прослушки.
6. Для совсем параноидальных личностей как например я рекомендую удалить поддержку GPS или ГЛОНАСС, для этого необходимо будет перекомпилировать ядро и убрать поддержку GPS в конфигурационном файле. Если же у вас нет возможности или времени перекомпилировать ядро, то можно просто удалить соответствующие вашему набору микросхем либы и модули ядра, информацию по вопросу что именно удалять, можно найти в комментариях git репозитория или в документак к исходным текстам вашего ядра.
7. Следует настроить защищенный режим, это вообще должно быть первым пунктом, сразу после включения прошитого телефона, но вспомнил о нем я в последнюю очередь.((( Я иду по пути наибольшей безопасности и включаю его даже для системных приложений. Это обеспечит некий режим обучения, вы сами во время использования устройства выберите каким приложениям разрешать доступ, и к каким видам ваших данных (контакты, смс, учетные записи и т.д.).
8. Для того что бы обеспечить анонимный выход в интернет нам необходимо установить приложение Orbot и настроить его для проксификации всех приложений (требуется root доступ) через тор. Я рекоммендую создать 2 профиля правил фаервола.
1. Где заблокирован выход любым приложениям и
2. где разрешен выход в сеть только доверенным приложениям. На 1е правило переключаться когда Orbot отключен и нет необходимости выхода в интернет, а 2 активировать когда Orbot работает в режиме проксификации всего трафика.
9. Самым последним делом проверим наш телефон на распространенные уязвимости приложениями Stagefright Detector и Bluebox Security Scanner. Если эти приложения выявили какие либо уязвимости то следует предостеречь себя от использования определенного контента или функций устройства в зависимости от описания уязвимости пока не дождетесь оф. сборки обновленной версии андроид для вашего устройства.
Итог.
В качестве итога пожалуй надо сказать, что хоть выше и были приняты меры по обеспечению анонимности и безопасности, полностью уповать на них все равно не стоит и есть вероятность, что в какой либо сервис, ядро или исполняемый файл окружения встроен бэкдор, возможно оно прописано в код ядра тем, кто выложил исходники, а может быть вы просто станете жертвой уязвимости ПО и малвари. Но это уже крайняя степень паранойи. Так же всегда следует использовать свежие версии прошивок и пользоваться телефонами для которых код поддерживается в актуальном состоянии. И я все же надеюсь, что опытный и внимательный пользователь при подобном подходе сможет использовать смартфон для ведения дел наравне с ноутбуком и ПК.
P.S.: Хочу подчеркнуть что описывается именно базовая анонимизация и обеспечение безопасности, есть и более радикальные способы, но они требуют более подробного описания модификация ядра и окружения, и будут применимы только к определенным наборам микросхем.
Анонимность и конспирация
Когда дело касается обычного домашнего компютера, вопрос анонимности решается элементарно. Последняя версия операционной системы с открытыми исходниками, open source браузер с отключенным JavaScript, Tor, смена MAC-адресов, замена Dropbox на личный Rsync-сервер, отказ от всех сервисов, требующих подтверждения личности, — вот, собственно, и все, что необходимо для сокрытия самого себя и обеспечения нормального уровня анонимности.
Ситуация со смартфонами гораздо сложнее. Данные устройства как будто бы сделаны для того, чтобы нас отслеживать, и делают они это постоянно, независимо от того, пользуемся мы ими активно или просто звоним. Современный смартфон сливает информацию по разным фронтам одновременно:
Синхронизация данных с серверами производителя смартфона и/или операционной системы. Тот же Android по умолчанию сливает на серверы Google наши контакты, информацию о местоположении, данные кредитной карты, намеченные события в календаре, фотографии, документы, созданные в Google Docs. Стоковые прошивки многих смартфонов остаются на связи с серверами производителя, а во многих случаях принуждают пользователя создать на их серверах аккаунт.
Открытые Wi-Fi-сети в Макдаках и прочих Сабвеях не предлагают никаких средств защиты трафика, так что он может быть легко перехвачен третьей стороной (да хоть самим админом).
Большое количество сторонних приложений не шифруют трафик и отправляют на удаленные серверы данные об устройстве и его владельце, даже не спрашивая последнего.
Сети стандарта GSM не обеспечивают средств аутентификации абонентов, позволяя любому желающему перехватить трафик с помощью базовой станции, приобретенной за 1000 долларов. А если тобой заинтересовались серьезные организации, то метод триангуляции позволит узнать твое местоположение с точностью до ста метров.
Внутри каждого смартфона находится встроенная миниатюрная и не побоюсь этого сказать засекреченная RTOS с закрытыми исходниками, о возможностях которой знает только производитель мобильного чипа и спецслужбы, с которыми данный производитель тесно сотрудничает. Нетрудно предположить, что такая ОС может выдать твое местоположение и отправить личную инфу кому надо.
В целом смартфон как сказал один мой хороший приятель — это просто решето, через которое течет все и всегда. К счастью, многие из его дыр мы таки можем залатать.
Смартфон под управлением Android и LineageOs
Понятно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие неблагодарное. Нет открытых исходников — нет доказательств отсутствия скрытых закладок. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гугло-фон.
И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки LineageOs и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры).
Когда эти требования будут выполнены, берем смартфон в руки,получаем root права(получить(скачайте этот файл,разархивируйте и запустите bat файл), регистрируемся в Google play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно отказываемся от установки Google Apps. Их придется принести в жертву великому богу конфиденциальности.
После первой загрузки CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики. Разумеется, от выполнения этих процедур, следует отказаться. Далее приступим к начальной настройке прошивки. Идем в настройки и отмечаем следующие пункты:
- Беспроводные сети ==> Еще ==> NFC ==> Отключить.
- Безопасность ==> Блокировка экрана ==> PIN-код.
- Безопасность ==> Неизвестные источники.
Ничего особенного, стандартные опции. Потом нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя, подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального, случайные координаты и прочее. Чтобы его активировать, идем в Настройки Конфиденциальность потом Защищенный режим и включаем опцию Защищенный режим по умолчанию. Теперь он будет активироваться для всех устанавливаемых приложений.
Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол). По умолчанию Privacy Guard настроен таким образом, чтобы спрашивать юзера каждый раз, когда приложение пытается получить доступ к личным данным (это видно на скрине «Privacy Guard в действии»). Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу).
F-Droid, Tor и Брандмауэр
Следующий шаг — установка F-Droid, Tor и настройка брандмауэра. Первый нам нужен по причине отсутствия Google play, а также любой его замены, которой мы могли бы доверять. В отличие от них, F-Droid содержит только открытый софт, что фактически дает гарантию безопасности софта. Приложений в репозитории F-Droid немногим больше 1100, но среди них есть практически все, что нужно, включая браузеры, твиттер-клиенты, рабочие столы, виджеты погоды и даже Telegram.
Orbot Tor (Tor для Android), в свою очередь, позволит нам оставаться анонимными при использовании Сети. Брандмауэр позволит заблокировать входящие соединения и перенаправить трафик всех установленных приложений в Orbot.
Сначала устанавливаем F-Droid. Для этого достаточно открыть сайт F-Droid со смартфона и скачать последнюю версию клиента. Запускаем его, находим приложение Orbot и устанавливаем. Далее переходим на страницу DroidWall со смартфона скачиваем APK-пакет и устанавливаем.
Теперь нам необходимо создать набор правил iptables для DroidWall (по умолчанию он умеет только включать/отключать доступ приложений к Сети). Можно было бы сделать это вручную, но ребята из проекта Tor уже все сделали за нас. Достаточно только скачать ZIP-архив, распаковать, подключить смартфон с помощью USB-кабеля и запустить инсталляционный скрипт:
$ ./install-firewall.shРаботает этот скрипт только в Linux и требует, чтобы был установлен Android SDK, а на смартфоне активирован режим отладки (Настройки О телефоне Семь тапов по пункту Номер сборки, далее Настройки Для разработчиков Отладка по USB).
Что делает скрипт?
- Добавляет инициализационный скрипт, который блокирует на этапе загрузки системы все входящие и исходящие подключения (во избежание утечек).
- Устанавливает скрипт для DroidWall, позволяющий перенаправить все подключения в Tor (с применением нескольких воркараундов для известных багов Tor).
- Блокирует все подключения извне.
- Устанавливает три скрипта, открывающих доступ к Сети в обход Tor для стандартного браузера, ADB и LinPhone. Первый может понадобиться, если есть необходимость войти в captive portal в открытых WiFi-сетях, второй для возможности удаленной отладки, третий нужен приложению LinPhone, реализующему SIP-клиент с зашифрованным каналом связи.
Когда все скрипты будут установлены, запускаем DroidWall, переходим в Меню Еще Установить сценарий и вводим в первом открывшемся поле строку . /data/local/firewall-torify-all.sh, нажимаем кнопку «ОК». Возвращаемся на главный экран и отмечаем галочками приложения, которые должны получить доступ к Сети (Orbot можно не отмечать, он и так получит доступ благодаря скрипту). Вновь открываем меню и выбираем пункт «Брандмауэр отключен», чтобы активировать файрвол.
Затем запускаем Orbot и следуем инструкциям, но ни в коем случае не включаем поддержку root; чтобы прописанные в скрипте правила работали правильно, Orbot должен работать в пространстве пользователя в режиме прокси. В конце нажимаем на кнопку в центре экрана, чтобы включить Tor. В статусной строке появится иконка Tor, а это значит, что теперь все данные пойдут через него.
Что мы не учли?
Описанная выше конфигурация дает возможность исключить практически все «традиционные» утечки данных. После включения смартфон будет отрезан от Сети ровно до того момента, пока не произойдет автозапуск DroidWall и Orbot. DroidWall, в свою очередь, отрубит от Сети любые приложения, которые мы предварительно не отметили галочками, а другие завернет в Tor.
На смартфоне нет ни одного левого приложения или скрытого в прошивке вредоноса, который смог бы отправить конфиденциальную инфромацию на удаленные серверы. Если такое приложение и будет установлено в систему, оно попадет под действие системы Privacy Guard, которая исключит любые утечки информации даже в том случае, когда в обычной ситуации они бы имели место. Если каким-то образом в системе заведется вредонос, он будет ограничен сразу по трем фронтам: SELinux отрежет возможность скрытого получения root, Privacy Guard не даст возможность слить важные конфиденциальные данные, DroidWall не даст возможность получить доступ к сети до тех пор, пока пользователь сам этого не захочет.
Остается открытым лишь один вопрос: как быть с бэкдорами в проприетарных компонентах и GSM-сетями. К моему большому сожалению, полностью защититься от данной угрозы пока невозможно: даже несмотря на присутствие SELinux, троян, зашитый в firmware, вполне может добыть доступ к данным в обход Android, принимая команды от злоумышленника путем GSM-команд. Впрочем, трафик, проходящий по сотовым сетям, таки будет защищен.
Заключение
Если вы помните, был такой фильм, «Джонни-мнемоник» с Кину Ривз в главной роли, рассказывающий о людях с имплантатами, которые могли переносить важные конфиденциальные данные. За такими людьми охотились не то что спецслужбы, а просто все, каждый хотел тот кусочек информации, который хранился в имплантате мнемоника. Их рвали на части и разрезали лесками, убивали, только для того, чтобы добыть секретную информацию. Сказка. Абсурд. Но почему-то уже такой знакомый.
В общем, берегите себя и свои личные данные. Сегодня это становится все сложнее.
Спасибо за прочтение!
- ✅Основной канал — https://t.me/under_public
- ☠️ Приватный канал — https://t.me/joinchat/AAAAAEmM-bkL9Pv7KLyL7w
- HackAli — cамые интересные хакерские товары с Aliexpress!
- Termux, please — 100% termux
- Linux, please — всё о Linux
- TG-канал форума: https://t.me/darksploit0x41
- Наш форум: https://darksploit.su/
- Чат — https://t.me/UnderChats
Со всеми предложениями и идеями для статей пишите нашему боту @undermbot
Также вы можете присылать ваши статьи в бота (оформляйте в телеграфе), я их просмотрю, если всё ОК — опубликую статью на канале с указанием автора.
Мануал по полной настройке Андройд для анонимности
В предыдущей теме об аноноимизации смартфона на базе андроида, мы рассказали о самой перспективной ОС на базе LineageOS, которую стоит рассматривать параноикам, антипутинистам, криптопанкам, игрокам в теневой сфере и обычным людям, которые ценят свою приватность.
Все о LineageOS, как ее установить, перечень поддерживаемых девайсов и все о смене IMEI на чипах МТК вы найдете по ссылке https://telegra.ph/Instrukciya-Kak-sdelat-smartfon-anonimnym-05-22
В данной теме раскроем все настройки и манипуляции на смартфоне для максимально анонимной работы с LineageOS, половина приведенных ниже рекомендаций подходит и на обычные андроиды без кастомных прошивок.
Важно: 1 IMEI идентификатор вашего смартфона равен 1SIM карте. Если, предположим вы вставили левую сим карту в ваш телефон — оператор свяжет эти сим карты между собой и поймет, что вы один и тот же персонаж.
Меняете сим карты для смены личности — смените IMEI или смартфон для вашей же безопасности! Ну что поехали
Оглавление
1.Можно ли говорить об полной анонимизации смартфона.
2.Какие действия и настройки мы должны произвести после перепрошивки устройства?(Многие настройки можно применить на родных ОС).
3.О шифровании данных на устройстве.
4.Как правильно ограничивать доступ нашим установленным приложениям.
5.Настройки смартфона для максимально приватной работы.
6.Root/рут/права суперпользователя.
7.Все о Bootloader (Загрузчик).
8.F-Droid замена Google Play.
9.AFWall+ (Android Firewall +) Управляй всеми всевозможными разрешениями на смартфоне.
10.Рабочий профиль (Work profile) и Shelter . Замена ксяомовскому второму пространству.
Глава 1.
По поводу того, есть ли какие-то хитрые глубокие закладки в смартфонах от которых никакие ухищрения и знания не помогут?
Да и это все на уровне железа.
- На современных смартфонах процессор, радиомодуль (GSM, 3G, LTE) изготавливаются вместе на одном чипе. И у этих чипов есть своя прошивка со своей мини операционной системой с доступом к всем внутренностям (памяти, микрофону и так далее). И ходят слухи, что в самом чипе могут быть закладки. Воспользоваться такими закладками смогут только спецслужбы, и только в том случае если на такое пойдёт производитель чипов и выдаст ключи к бэкдорам. Обезопасится от этого никак не выйдет, кроме того, что не совершать ничего особо гадкого, так как никто не будет рисковать использовать эти уязвимости только для того, чтобы прослушать как вы ругаете Путина на кухне. Для этого спец. службам достаточно какого-нибудь установленного приложения от Mail.ru или Яндекс с доступом к микрофону.
- уязвимости в драйверах к железу. Такими уязвимостями может воспользоваться любой хакер, но при нахождении таких уязвимостей каким-либо хакером информация о ней не сразу расходится к мелким хакерам-школьникам. Выход простой — периодически ставить Firmware от производителя (если вы на LOS) и хотя бы раз в месяц ставить обновления самого LOS (В первых числах месяца).
Также можно ещё применять разного рода хитрости, например вообще физически уничтожить в устройстве Wi-Fi или GSM модуль (например обрезать антенны) и иметь с собой USB модем. Или выпаять микрофон и использовать только гарнитуру.
Внимание для тех, кто хочет перепрошивать устройства под Lineage: компания Huawei (в том числе бренд Honor), на данный момент закрыли возможность разблокировки загрузчика. Но для разных устройств этой компании существуют разные обходные способы разблокировки загрузчика(встречал только за деньги).
А например Xiaomi Mi A1 продаётся на чистом Android, входит в программу Android One, не надо ждать разблокировки загрузчика и нет критичных сообщений на форумах.
Перечень всех доступных устройств вы можете найти в предыдущей теме об анонимизации смартфона.
Глава 2.
НАШИ ДЕЙСТВИЯ ПОСЛЕ ПЕРЕПРОШИВКИ
Включаем смартфон и вам предложат настроить его.
- Предварительно не вставляйте в телефон СИМ карту. Не закачиваете никаких личных данных.
- При настройке не включайте Wi-Fi, пропустите этот шаг. Также там же уберите возможность сканировать Wi-Fi сети для геолокации.
- Уберите синхронизацию времени по сети. Выставьте правильное время (если вы этого ещё не сделали при первой загрузке LOS)
- Уберите возможность делится информацией об установке с проектом LineageOS (хотя это на ваше усмотрение).
- Уберите возможность использовать местоположение приложениями (не переживайте, потом можно будет каждому приложению дать отдельно права на местоположение).
- Включите Privacy Guard по умолчанию.
- Пропускаем настройку блокировку по отпечатку пальца.
- Попросят настроить блокировку по паролю или паттерну (графическому ключу). В данном случае, если вы укажите данный пункт в новых версиях =>LOS16 должен автоматически зашифроваться ваш телефон (точнее раздел с вашими данными). Обязательно поставьте пароль и зашифруйте устройство.
- Устройство загрузится. Проверьте в настройках зашифровано ли устройство. Заблокируйте доступ в интернет (стандартными средствами) приложению SIM Toolkit и SIM App Dialog и клавиатуре. Также попробуйте отключить эти приложения (кроме клавиатуры). Чтобы найти эти приложения зайдите Apps & Notifications >See all # apps > в правом верхнем углу «Show system»
Подключите телефон к компьютеру, выберете передачу данных вместо обычной зарядки. Скачайте и скиньте программы AFWall+, Orbot на ваше устройство и установите их на устройство из приложения Files/Файлы.
- AFWall+. Открываете приложение, даёте доступ ко всему (Lan/localhost, Wi-Fi и мобильный интернет) ТОЛЬКО для Orbot и доступ к VPN только для F-Droid. Остальные приложения не должны иметь никакого доступа. В AFWall+ включаем логирование и отображение уведомлений в настройках.
- Родными средствами Android, средствами PrivacyGuard убираете по максимуму доступы всех приложений практически ко всему, что не нужно этим приложениям.
- Открываете Orbot, включаете дополнительно его как VPN, даёте доступ к VPN для F-Droid. Настраиваете подключение VPN от Orbot постоянным, и блокируйте запросы в обход VPN.
- В LOS в настройках времени и даты убираете синхронизацию по сети.
- Только теперь на данном этапе подключаетесь к рабочему Wi-Fi (или вставить сим карту)
- Настройте стандартными средствами LOS (и Android) все пункты (ниже в главе LineageOS).
- Теперь устанавливайте маркет (магазин приложений) F-Droid и оттуда скачивайте необходимы вам приложения. Так как при скачивании приложения оно может автоматически запуститься и у него могут быть лишние права (не всегда Privacy Guard для новых приложений выставляет разрешения в режим «Спрашивать»), то после установки каждого приложения останавливаете его через список приложений, очищаете данные приложения, выставляете настройки доступов и разрешений и только теперь можно этими приложениями пользоваться. И так с каждым вновь установленным приложением.
- Опционально — установите и настройте рабочий профиль через Shelter (если вы собираетесь пользоваться проприетарными приложениям, которым нужен доступ к хранилищу — крайне рекомендую установить и настроить для такого случая Shelter).
- (Для опытных юзеров) Проверяйте как настроен AFWall+ и как он блокирует DNS запросы в обход Orbot, например через https://dnsleaktest.com . В браузерах проверяйте на работу Tor через специальные сайты, например, www.deviceinfo.me .
- Важно!Если скачиваете приложения не из F-Droid (чего я крайне не советую) — проверяйте на наличие треккеров на сайте https://reports.exodus-privacy.eu.org/en/ или в приложениях Exodus Privacy, ClassyShark3xodus (Два последних приложений скачиваем в Fdroid). Там точно будут трекеры, просто это для вас очередное напоминание.
Глава 3.
Про шифрование устройства
Необходимо шифровать ваш телефон. Установка пароля или графического ключа при первом включении автоматически не означает, что устройство будет зашифровано. Особенно на старых версиях Android или на дешёвых устройствах. Также устройство может не зашифроваться при первом включении устройства, если у вас до этого стояла какая-то другая неродная (не стоковая) прошивка. Наличие шифрования можете проверить в настройках (ищите Encryption (Шифрование)). Шифруется не всё устройство, а только приложения, их данные и ваши данные. Данные системы Android не шифруются, так как по умолчанию к ним и так не должно быть доступа (если заблокирован загрузчик).
Шифрование крайне обязательно, если у вас есть недоброжелатели, нацеленные конкретно на вас. Взяв у вас телефон без шифрования они смогут вытянуть ВСЕ данные из вашего устройства — переписки, пароли, фотографии и так далее.
Но даже если таких недоброжелателей вы не встретите, то вы можете просто потерять ваше устройство, и тот кто его найдёт сможет вам сильно навредить.
Глава 4.
Встроенный Firewall
Google считает, что есть так называемые «нормальные» разрешения. Это те разрешения, которые нельзя ограничить стандартными способами, и о которых вас не предупредят ни в описании Google Play, ни при установке приложения. Одним из таких разрешений является доступ в Интернет! Вы можете даже не знать, что приложение имеет доступ в интернет. Лично я пытаюсь жёстко ограничивать доступ в интернет всем приложениям, которым это не надо. Я стараюсь в принципе не давать доступ в интернет приложениям, которые имеют доступ к моим файлам. Например, приложениям для фотографирования, просмотрщикам PDF и так далее. И наоборот, те приложения, которые имеют доступ в интернет (браузеры) не должны иметь доступ к Хранилищу (Storage), контактам и так далее. Для ограничения интернета приложениям я использую два инструмента:
Встроенный в Android — это изначально встроенный во всех последних версиях Android Firewall. Но Android ограничивает возможность пользоваться этими настройками! В LOS эта возможность присутствует (не убрана). В «Settings/Настройки»- «Apps & notifications/Приложения и уведомления» выбираете приложение, там настройка «Data usage/Передача данных» и тут в LOS 5 настроек:
- Wi-Fi data/данные Wi-Fi — выключить приложению интернет по Wi-Fi
- Cellular data/Мобильные данные — выключить приложению интернет по сотовой сети
- Background data/Фоновый режим — выключить приложению доступ в интернет, когда приложение в свёрнутом состоянии (в фоновом режиме).
- VPN data — ограничивает возможность использовать сеть через VPN.
- Unrestricted data usage/Неограниченная передача данных — об этом я писала ранее. Ограничивает возможность доступа в интернет в режиме «экономии трафика»
Я стараюсь ограничивать интернет по полному, начиная со встроенного файрволла. В первую очередь при первом запуске устройства я ограничиваю доступ клавиатуре, встроенному браузеру. Но не сильно доверяю этим настройкам, так как они не могут ограничивать процессы/приложения из разряда «Core/Ядро»
Глава 5.
Заходим в стандартные настройки LineageOS
Давайте пройдёмся по настройкам LOS, которые касаются по большей части именно безопасности и приватности. Многие из них относятся и к чистой версии Google AOSP.
В Settings (Настройки) есть поиск по настройкам — удобно находить нужные параметры для изменения.
Network&Internet (Сеть и Интернет)
— Wi-Fi
— — Wi-Fi preferences (Настройки Wi-Fi)
— — — Turn on Wi-Fi automaticaly (Включать Wi-Fi автоматически) — нет.
— — — Open network notification (Уведомление об открытых сетях) — нет.
— Mobile network (Мобильная сеть)
— — Wi-Fi calling (Звонки по Wi-Fi) — отключить.
— — Carrier video calling (Видеозвонки) — отключить.
— Access Points Names (Точки доступа (APN))
Connected devices (Подключенные устройства)
— NFC — Отключайте NFC и не пользуйтесь им, только в крайних случаях и не должно быть обмена данными с посторонними чипами NFC.
— Bluetooth лучше не пользоваться и отключить, сама по себе система с множеством изъян.
Apps & notifications (Приложения и уведомления)
— Notifications (Уведомления)
—— On lock screen (Уведомления на заблокированном экране)
Ставим Не показывать уведомления
— Default apps (Приложения по умолчанию)
Внимательно просмотрите, что у установлено на разные типы приложений. Выберете доверенные приложения.
Самое главное в пункте «Browser app (Браузер)» выберайте «None (Нет)» или «Tor browser». Это необходимо, чтобы если вам прислали какую-нибудь ссылку, то вы сами выбирали бы в каком браузере открыть (в случае «None (Нет)») или чтобы она открывалась в «Tor browser». Объясню почему — вы можете нажать на ссылку в каком-нибудь мессенджере, которая будет выглядеть адекватно, типа «example.com», но на самом деле там будет ссылка типа «vk.com/away.php?to=example.com» и если вы откроете эту ссылку в своём стандартном браузере, то Вконтакте сможет понять что кто-то на этом IP открывает определённую страницу. Если вы в этом браузере были залогинены вконтакте, то вообще сразу поймёт по каким сайтам вы ходите (не просто общее наименование сайта, а конкретная страница). Но даже если в ссылке нет таких «подлостей», то всё равно вам может быть не по душе, чтобы ваш провайдер интернета знал какие вы сайты открываете и при случайном открытии ссылки в определённом браузере эта информация сразу уйдёт провайдеру.
— App permissions (Специальный доступ).
— — Device admin apps (Приложения администратора устройства)
В данном пункте не должно быть никаких приложений, кроме тех, в которых вы 100% уверены. Это очень опасное разрешение. Это разрешение даёт возможность изменять любую настройку в устройстве. Вообще, запрос на это разрешение уже очень подозрителен, даже если вы не выдали это разрешение. У меня стоит только Shelter.
— — Display over other apps (Поверх других приложений)
У меня нет приложений, которым бы понадобилась такая функция. Это функция в некоторых случаях используется вирусными приложениями, например для перехвата вводимых паролей.
— — Notification access (Доступ к уведомлением)
Нельзя давать другим приложениям читать уведомления, в которых могут быть тексты кодов из СМС и любую другую конфиденциальную информацию.
— — Picture-in-picture (Картинка в картинке)
Аналогично Display over other apps (Поверх других приложений). Эта функция нужна только проигрывателям видео, и браузерам через которые вы также хотите выводить видео отдельно.
— — Premium SMS access (доступ к платным SMS)
— Unrestricted data (Неограниченный мобильный Интернет)
— Install unknown apps (Установка неизвестных приложений)
Ни одно приложение, кроме F-Droid, не может устанавливать приложения в фоне. Обязательно всплывёт окно с запросом на установку. В данном пункте у меня стоит возможность только для Shelter и для F-Droid. Посылать запрос на установку у системного файл менеджера есть по умолчанию.
— — Usage access (Доступ к данным)
Доступ к общим данным истории использования устройста. Нельзя давать никому. Ну или специальным программам, которые для вас составляют анализ использования устройства. Внимательно давайте доступ к этой функции.
— — VR helper service (Вспомогательные VR-сервисы)
Никому не даем доступ.
— — Wi-Fi control (Управление сетями Wi-Fi)
В этой настройке надо отключить у всех приложений, кроме тех, которым это разрешение необходимо для работы.
Security (Безопасность)
—— Screen lock (Блокировка экрана)
Тут можно выбрать способ защиты устройства —None (Нет), Swipe (Провести по экрану), Pattern (Графический ключ), PIN (PIN-код), Password (Пароль). Если вы при установке LOS выбрали что-то из Pattern, PIN или Password, то должно было запуститься шифрование устройства. Здесь вы можете поменять тип блокировки. Настоятельно рекомендую оставить что-либо из Pattern (Графический ключ), PIN (PIN-код), Password (Пароль).
— Fingerprint (Отпечатки пальцев)
Не пользоваться, если палец установлен — убрать.
— Trust (Trust)
—— Android security patch (пакеты безопасности Anrdroid)
Данное меню показывает устранены ли у вас последние известные уязвимости. Показывает два пункта:
Если у вас в данном пункте отображается, что не всё в порядке, то ищите решение на форумах. Обычно хватает просто поставить обновления «по воздуху» (OTA обновления) если у вас официальная версия LOS. Иногда надо отдельно скачать firmware (обновление от производителя) и установить его. Ежемесячные обновления безопасности, которые подготавливают в Google, включаются в прошивку LOS очень оперативно. Гораздо быстрее чем на большинстве других прошивок, даже стоковых (изначальных).
—— Encryption (Шифрование). Обязательно должно быть включено.
—— Limitation of USB (Оганичение USB)Ставим включенным.
—— LineageOS statistics (Отправка статистики)
— Location (Местоположение)
Местоположение должно быть выключено. Включать только по необходимости. И после этой необходимости — отключать.
— «Scanning (Поиск сетей Wi-Fi и Bluetooth)» — я отключил эту функцию и для Wi-Fi и для Bluetooth.
— App-level permissions (Доступ приложений к геоданным)
Удобный список родным способом (от Android) управления доступом приложений к местоположению в виде списка.
System (Система)
— Languages & Input (Язык и ввод)
— —Virtual keyboard (Экранная клавиатура)
— — —Android keyboard (AOSP) (Клавиатура Android (AOSP))
— — — —Advanced (Дополнительные настройки) — включаем Show app icon (Показывать значок приложения). Это надо для того, чтобы потом удобно из списка приложений быстро ограничить доступ клавиатуры к интернету и контактам стандартными средствами Android.
— — —«Text correction (Исправление текста)»
Важно. Никакого личного словаря. Отключаем все галочки подряд.
— Status bar (Строка состояния)
— —Network traffic monitor (Индикатор сетевого трафика)
Включите в Display mode (Режим отображения) возможность просматривать скорость текущего интернета на скачивание и на выгрузку. Это вам поможет понять, если в какой-то момент какое-нибудь приложение в фоне начинает, что-то усиленно закачивать на устройство, или выгружать на сервера ваши данные. Также поможет предотвратить потребление мобильного трафика.
— Date & time
Убираем «Automatic date & time (Дата и время сети)», убираем «Automatic time zone (Часовой пояс сети)». По идее эти настройки должны отключить автоматическое выставление времени с серверов Google. Но не тут то было. Всё равно, даже при отключенных настройках система пытается периодически достучаться до серверов Google с ntp. Это видно из логов AFWall+ и Adaway.
ВНИМАНИЕ: Вам придётся вручную выставлять дату и время. Когда вы загружаете TWRP — то дата и время может сбиваться. Когда вынимаете батарейку, дата и время также может сбиваться. Дело в том что Orbot и Tor browser не могут запуститься, если у вас неправильно стоит дата и время. Вы можете потратить усилия, чтобы выяснить в чем проблема, но чаще всего дело в неправильном времени в системе.
— Developer options (Для разработчиков)
Пользуйтесь этими настройками аккуратно, особенно внимательно обращайте внимание на те, что касаются вмешательства в работу «железа» устройства. То есть не меняйте того, что не знаете. Например, всякие «ускорения», «экспериментальный» и так далее.
— — Running services (Работающие службы)
Родной для Android-а инструмент по просмотру списка запущенный приложений и списка приложений в кэше. Тут же можно остановить работу приложения. Если какое-то приложение почему-то запущено, хотя не должно быть — то с этим надо разбираться. Или ограничивать автозапуск, или ограничивать запуск одних приложений другими.
— — Root access (Режим суперпользователя)
Кому должны быть предоставлены права суперпользователи:
Apps only (Только приложения)
ADB only (Только ADB)
Apps and ADB (Приложения и ADB)
Желательно, чтобы всегда в обычном состоянии был пункт Apps only (Только приложения). Про root я опишу позже.
— — Manage root access (Права суперпользователя)
Список приложений, имеющих root (рут) права в интерфейсе Privacy Guard с возможностью отзывы прав. Рут должен быть предоставлен только тем приложениям в которых вы уверены.
— — Android debugging (отладка Android)
Включать только при необходимости и выключать, когда не надо!
— — Revoke USB debugging authorization (Отозвать доступ для USB-отладки).
После манипуляций по ADB отзывать доступ ко всем устройствам, чтобы ОПГшное государство не могло воспользоваться вас смартфон+компьютер и подключиться к смартфону по ADB при заблокированном экране.
Как замаскировать смартфон?
Есть цель сохранить максимально возможную анонимность в общественной вафле со смарта. К примеру уже на смарт поставил фаервол, что-бы случайно какие-нибудь приложения не спалили. Но всё кажется не то. Сделал динамичным mac. Как мне кажется всё учёл, но всё-таки мог пропустить какую-нибудь деталь. К примеру IMEI. Может ли он определиться в вафле? Если да, то имеет ли смысл эмулировать его? Желательно ли отключить на время личные симки? У моего смарта идёт 2 разъёма под сим, значит 2 IMEI? Забыл сказать, что так-же необходимо скрыть свое местоположение на время пробывания в зоне вифи. А IMEI может передавать в фоне сотам данные даже с отключенными, либо вообще вытащенными симками? Для профилактики думаю сделать переустановку андроида. Хотя там у меня был Рут, а значит даже после удаления некоторые программы могут самостоятельно за пуститься и обойти фаервол. Или нет? Может лучше как-нибудь эмулировать дройд в дроиде? Хз. Есть же какие-то еще персональные данные, которые нужно учесть? mac,IMEI. К примеру я знаю что в вафле палятся модель телефона, версия ос и т.д. Может какие-нибудь приложения для изменения этих данных? Посоветуйте, пожалуйста, разобраться где паранойя, а где нет и посоветуйте приложения-фильтры если они нужны вообще. Впринципе, я-же не собераюсь делать что-либо противозаконное, меня интересует лишь техническая составляющая только данной темы.
- Вопрос задан более трёх лет назад
- 8194 просмотра
Комментировать
Решения вопроса 1
Кир aka Dober @dobergroup
Что-то знаю про РЭР и РЭБ
К примеру IMEI. Может ли он определиться в вафле?
Нет. Но его может использовать какое-то приложение на смарте в качестве идентификатора, если приложение передает данные в открытом виде (моловероятно, но теоретически) — то анализируя трафик его можно извлечь.
Желательно ли отключить на время личные симки?
С какой целью? Сим-карты не взаимодействуют с wi-fi сетью.
У моего смарта идёт 2 разъёма под сим, значит 2 IMEI?
Да. Но на некоторых китайцах они могут быть одинаковыми.
А IMEI может передавать в фоне сотам данные даже с отключенными, либо вообще вытащенными симками?
С выключенной передачей ничего не передается. С включенной, когда телефон зарегистрирован в сети — да, периодически при процедуре Location Update передается.
Хотя там у меня был Рут, а значит даже после удаления некоторые программы могут самостоятельно за пуститься и обойти фаервол. Или нет?
Ничего не понимаю. Как что-то может запустится после того, как его удалаили?
К примеру я знаю что в вафле палятся модель телефона, версия ос и т.д. Может какие-нибудь приложения для изменения этих данных?
Для кого палятся? Для администратора сети? Для третьего лица, которое мониторит трафик?
Смотрите. Модель смарта берется из мак-адреса. Вы пишете, что его меняете. В заголовке http-запроса браузер передают некоторые данные об ОС. Если нужно их подменять — посмотрите в сторону XPrivacy например.
Да, есть еще не всегда очевидные утечки, но их обсуждать не имеет смысла, пока Вы не сформулируете точнее, от кого и при каких условиях скрывается информация