Comments 212
На Samsung уже есть встроенный подобный функционал - KNOX
В статье описан универсальный для Android механизм
а почему бы не "голосовать кошельком"? вот уж говнопотанкофф и яндекс-поделия к жизненно необходимым точно не относятся
Яндекс сразу побежит жаловаться государству - "Это как так? У нас убытки жеж!". Государство скажет - "Ну Окээй, вот вам 100500 миллионов!"
Эти 100500 миллионов государство откуда возьмёт? Да из нашего же кармана. Точно так же как и с говновозом говновазом произошло.
И напомню, что уже с мая обещают драть брать 150 рублей за гигабайт зарубежного трафика.
Государство сейчас из всех кошельков доступных берет средства на исключительно одну вещь. Все остальное это государство (или конкретных лиц) не интересует.
Так что Яндекс и прочих прокинут так же как и Самолет недавно. Денег нет, держитесь.
Это кстати очень полезно, в некотором смысле. Крупный бизнес привык, что может получать бесплатные бабки просто по звонку своим пацанам в правительство, а тут вдруг кинули, предложили решать свои проблемы за свой счёт. Представляю, как неприятно удивлены мажоритарии Самолёта. Все эти годы нормально же общались, льготную ипотеку замутили, разогнали цены на недвижку в 2 раза на пустом месте из ничего, и вдруг что-то случилось.
Самолет сами те еще разводилы. Траблы с их домами тоже известны.
Вечно давать не сможет. Ни говновазу, ни тем более Яндексу.
Ну давайте попробуем...
Прежде всего, хотелось бы понять, чем заменить Яндекс карты и Яндекс навигатор? Живём по компасу, с бумажными картами и стоим наугад в пробках?
Такси... Ну для совсем маленьких городов выкручиваются локальными группами в мессенджерах, но для крупного города эффективность Яндекса выше в разы, а конкурентов не осталось. Значит на такси не ездим?
Далее... Яндекс диск посылаем, а какая альтернатива? Зарубежные сервисы либо сами блокируют нас, либо могут послать в любой момент. Облако мэйл.ру - так они себя будут вести как тот же Яндекс. Итого - без сетевого хранилища.
Покупки... Яндекс Маркет - иногда там бывает сильно дешевле, но допустим. Но ведь Озон, Мегамаркет, Авито, Купер, ВБ - делают (или будут) то же самое. Даже Алиэкспресс в нашем сегменте - через прокладку ВК. Платить местным "перекупам" в оффлайновых лавчонках?
Медиасервисы - если хочется что-то смотреть на русском языке, то это российские сервисы, на заграничных мало того, что очень мало контента, так они же еще и сами нас блокируют, со своей стороны...
Итого, такси в тридорога, без онлайн покупок, без навигации, без контента... Все это не жизненно необходимо? Для жизни вообще, без телефона или интернета - да, можно обойтись. Если от этого всего отказаться, так телефон можно выкидывать - он как будто и не нужен будет больше ни для чего.
(И да, разговоры там тоже пишутся и слушаются... Если хотелось сказать какую-нибудь благоглупость типа "дык, телефон, чтобы звонить").
2 ГИС?
Яндекс диск посылаем, а какая альтернатива?
Self-hosted Seafile (ну или Nextcloud). Ну или зарубежный Dropbox - вполне себе оплата даже белорусской картой из банка под частичными санкциями проходит.
Медиасервисы - если хочется что-то смотреть на русском языке, то это российские сервисы, на заграничных мало того, что очень мало контента, так они же еще и сами нас блокируют, со своей стороны...
Если медиасервис не хочет получать деньги от пользователя ну или не хочет предоставлять оплаченную услугу и требует странного (вроде отключения VPN) и при этом сервис нужен - ищем тот который не так себя не ведет. Например - тот который начинается на kino и заканчивается на pub
Яндекс карты
OSM And+
Про пробки...ходят слухи (c) что "Magic Earth. Российские дороги (OSM), российские пробки (не знаю, откуда, но точные). Встроенный видеорегистатор, озвучка названий улиц системным TTS-движком (если нет гуглового, можно поставить RHvoice)."
Движение общественного транспорта ни в OSM And+, ни даже в 2ГИС (оно в последнем есть, но конкретно в моём городе нет троллейбусов – а они для меня – основной способ передвижения) не отследить. Карта как карта мне не нужна, я достаточно хорошо по городу ориентируюсь, а вот транспорт и пробки – критично.
Я.такси работает в браузере.
Всё работает в браузере, но с надоедливыми плашками "установите приложение, так удобнее", которые всплывают из раза в раз. Пока их закроешь - уже бесишься. Да и психологически удобнее (imho) когда приложухи, да при том что понимаю их критичности, но всё же (на смартфоне) браузер отдельно, там может быть много вкладок достаточно открыто (10-15), а приложения отдельно ( Те же все "Яндексовые" и банковские), чтоб не путаться в одном браузере или тогда их надо открывать в другом браузере. Сворачивать при этом неудобно - так как "сворачивается" весь браузер с вкладками, а не одна отдельная вкладка, а приложения открытые можно свернуть спокойно.
психологически удобнее (imho) когда приложухи
Чтобы привести в баланс эти интересы, достаточно просто не иметь столько пустого места, чтобы устанавливать все эти приложения. Тогда придётся обращаться к ним через браузер, и все будут довольны.
В firefox на андроиде открыть нужный сайт, затем три точки( настройки), Add app to Home screen и веб-страница будет загружаться как отдельное приложение.
И также в Firefox можно поставить адблок и заблокировать надоедливые плашки. И вообще любой элемент, который вам не нравится, можно заблокировать, в отличие от приложения, кстати.
А придётся терпеть неудобства, покуда бандиты нарушают Конституцию страны и на них нет управы.
Плашки и прочие баннеры же блокируются связкой uBlock+uMatrix. Как пользователь мобильного огнелиса, с помощью таких расширений давно уже не вижу плашек и прочего мусора.
Любой сайт может определить использование VPN или прокси по косвенным признакам:
берем IP адрес клиента. Дальше несколько вариантов на выбор:
если клиент заказывает такси или еду в Москве а по GeoIP у него Германия, значит скорее всего у него VPN или прокси. Ну или клиент из Германии заказывает такси для кого-то в России, да?
по IP определяем AS и ее принадлежность. Если повезет, то по базе сразу понимаем, что IP принадлежит хостингу а вовсе не оператору связи. Значит VPN или прокси. Или сотрудник хостинга заказывает такси с рабочего места в корпоративной сети, такое может быть.
делаем реверс DNS для этого IP и смотрим на результат. В случае VPN на какой-нибудь виртуалке получаем чаще всего имя виртуалки у хостера. Значит VPN или прокси.
по IP определяем часовой пояс той местности, котоую определили по базе GeoIP. С помощью скрипта в коде веб-страницы определяем часовой пояс устройства. Существенная разница указывает на VPN или прокси. Ну или клиент так сильно забил на синхронизацию времени, что у него показывается 11 утра вместо 11 вечера а ему все равно.
вставляем в код страницы невидимый пиксель, доступный только по HTTP (без шифрования трафика, <img src="http://наш_пиксель?идентификатор_клиента" width=1 heigth=1>). Если от клиента приезжает запрос пикселя с заголовком X-Forwarded-For, значит это прокси, он еще и реальный IP клиента спалит таким образом. Но это сейчас очень редко срабатывает.
доступный только по HTTP
а каким образом CORS обойдете? Браузер даже не отправит такой запрос
Я в код страницы https://evilsite.com/index.php вставляю тег <img src="http://evilsite.com/pixel.gif?user_id=456789">.
evildomain.com не находится в HSTS Static Preload List (это важно).
Для браузера это обычная страница с картинкой-хотлинком. Браузер запрашивает http://evilsite.com/pixel.gif?user_id=456789 и получает в ответ 200 OK, content-type: image/gif. Если запрос GET http://evilsite.com/pixel.gif?user_id=456789 прошел через HTTP-прокси то с некоторой вероятностью тот добавит в ответ X-Forwarded-For и демаскирует IP клиента.
Заказывать со стационарника. Позвонить и попросить кого-нибудь заказать со стационарника.
Это всё решается нормальным роутингом, когда на российские IP идём напрямую, без VPN. Еще и работать будет чуть быстрее и меньше зарубежного трафика потратит.
на незаблокированный сайт необязательно заходить через прокси
Зачем мне роутить российский трафик через квн? На андроиде можно засплитить через sing-box или nekobox.
Последний пункт не понял.
Во первых браузер не станет его загружать по http если страница на https. Во вторых, кто вставит в запрос X-Forwarded-For, впн чтоли?
А зачем запускать я такси через впн? Ру сайты напрямую, остальные через впн.
Разве этот невидимый пиксель не будет убит на подлете опцией "Block Mixed Content" в uMatrix?
Карты/навигатор, такси и доставку вы используете не весь день, даже не часы. Не проблема запустить ненадолго без ВПН. Карты есть браузерная версия.
А в целом никто не заставляет использовать ВПН, удалите его и пользуйтесь всеми благами чебурнета, пока можете. Ну либо купите второй телефон БУшный за 3-4 тр и поставьте весь говнософт туда. Не надо ныть, варианты предлагайте. Не предлагаете - проходите, не задерживайтесь, спасибо за понимание. Конструктивная критика приветствуется, нытье - нет.
Замените Гугл картами, на Пхукете они тут лучше работают, чем Яндекс
На Гугл картах не то что моего дома нет, района нет, даже земли на которой он стоит весь район нет. И это СПб. Особенно удобно в ТГ было смотреть гео трекинг, по сути по компасу искать приходилось.
Яндекс карты и Яндекс навигатор
Osmand
Учитывая что яндекс пытался* собирать данные ещё раньше, то лучше полностью отказаться в пользу актуальных для нас аналогов. (Выборка более менее лучших из худших?)
*- https://habr.com/ru/articles/915732/
Также не забываем, что есть ещё PWA приложения и просто ссылка на сайт.
Есть еще проблема с белыми списками. Если есть потребность использовать навигатор в дороге, когда активны белые списки, то придется использовать навигатор из белых списков и он будет стучать независимо от бренда.
Поэтому голосовать кошельком можно двумя способами: использовать бумажные карты или жить за границец.
Слышал, что "посмотреть на русском" можно на рутрекере. Придумают же такое... /s
чем заменить Яндекс карты и Яндекс навигатор
Такси… эффективность Яндекса выше в разы, а конкурентов не осталось
Яндекс диск посылаем, а какая альтернатива?
Яндекс Маркет - иногда там бывает сильно дешевле
Да, с монополистами такое внезапно случается.
P.S. Извиняюсь за правку, редактор комментов в новой версии хабра … (мат поскипан)
Мне кажется, факт монополии тут не совсем в тему. Яндекс-диск — не монополия, есть гугл, эппл, дропбокс, да мега в конце концов. А карты — регионо-специфичная вещь. То есть либо у вас есть хорошие карты от монополиста, либо у вас нет хороших карт.
Это же не у меня, а у ТС ехал яндекс через яндекс?
есть гугл, эппл, дропбокс
Пока есть. Это временная недоработка.
либо у вас есть хорошие карты от монополиста, либо у вас нет хороших карт.
Я давно не был в РФ, и от этого несколько отвык. Мне в гуглоплее по запросу “navigacija” выпадает десятка три приложений, кстати, среди них чуть ли не десяток русскоязычных. У вас что, совсем все так печально стало?
То есть вы сначала написали, что Яндекс монополист, а теперь спрашиваете у меня, так ли это.
Э-э… я отвечал ТСу, перечислившему яндекс очень-очень много раз, и сказавшему, что ничего другого нет. Это довольно точный признак монополии, нес па?
Когда вы высказались, что либо карты от монополиста, либо никаких, я решил проверить. Проверил у себя - не так. Переспрашиваю у вас, вдруг я или ТС ошиблись.
Что не так?
Либо у вас есть хорошие карты от монополиста-стукача, помогающего преступникам нарушать законы РФ, либо у вас нет хороших карт.
К слову, такси просто вызываются голосом звонком оператору. И это будет скорее всего тот же Яндекс. Но не нужно никакого приложения.
чем заменить Яндекс карты
Google Maps и тысячи иных.
Яндекс Такси
По телефону их вызвать нельзя?
Яндекс диск посылаем, а какая альтернатива?
Google Drive, OneDrive, Yahoo, Proton, тысячи их. Инетересно, как они вас пошлют? Паспорт проверят или по IP вычислят? Оформите себе американский PayPal и Google Play и
Если хочется что-то смотреть на русском языке, то это российские сервисы
Вот вы прямо вообще насмешили. В Youtube больше всего в любом языке. Если вы про кино, то неужели кто-то юзает стримминговые сервисы? Есть же Rutracker!
Ну и чтобы второй раз не вставать -- оформите себе американский PayPal и Google Play и покупайти всё, что хотите. Уверен, как его пополять без комиссии на техническом ресурсе пояснять не нужно?
говнопотанкофф
Проблема в том, что к другим ру-банкам эти же законы применимы а у тинькова хоть технически более менее адекватно все. Нет, есть конечно варианты...
крипта и чтонибудь вроде Antarctic Wallet для оплаты по СБП
МИР-совместимые карты от банков дружественных стран вроде Белоруси
Но с зарплатой таким способом могут быть сложности.
Через некоторое время в песочницу надо будет те программы, которые хотите защитить, а не от которых защититься. Если не уже...
Уже поздно голосовать кошельком, нужно было раньше. Это монополии, выбора особо не оставили.
Я бы проголосовал за открытую систему где сам все можешь настроить на свой страх и риск но увы такое не получило широкой известности, а значит если есть то стоит как крыло от боинга.
Было уже похожее
Чем это лучше универсального для андроида "частного пространства" кроме создания ярлыков? Как с изоляцией у нативного способа?
Частное пространство не универсально для андроида.
Частное пространство как раз и есть основа Island и shelter.
Это понятно. Не на всех устройствах его без них можно включить. Из-за чего мы и возвращаемся к теме статьи.
Частное пространство ≠ рабочий профиль. Island/shelter работают как раз в рабочем профиле, а второе пространство - это фича, в основном, китайфонов типа сяоми для дублирования прог (2 вк с 2 разными акками).
Вообще, проще создать 2 пользователя прям на устройстве и переправить туда весь русофт. Пусть себе тусуется изолировано в /storage/emulated/1.
Минус KNOX в том что он запрещает выдавать приложениям ВООБЩЕ ЛЮБЫЕ разрешения. Если с невозможностью записать голосовухи в том же ВК мириться можно, то вот пользоваться приложением банка без возможности сканить QR коды уже так себе
Мне понравилась статья, но на айфоне так нельзя сделать, я бы взял отдельный телефон на андроиде, полностью под отечественные приложения, скорее всего придется разделять мир на свободный и на наш «особый».
На айфоне в этом плане с правами доступа приложений сильно лучше. Да и любая слежка приведёт к блокировке приложения в сторе.
С правами доступа - соглашусь, доступ к фото, контакты, уведомления работать начинают только после того как сам разрешишь. Без контактов правда все мессенджеры занимаются терроризмом, когда с новым человеком связаться хочешь.
Насчёт сети, увы, не так всё хорошо, per app firewall (даже стороннего) очень не хватает :(
Сбер, Тинёк и прочие давно заблокированы в сторе. Те приложения, которыми мы пользуемся, проникают в сторы обманным путём. Слежка в них может быть любая.
Только это не работает. Так можно помешать получить доступ к файлам, контактам и списку приложений, но с сетью сложнее.
Перенос приложений в отдельный профиль не мешает этому приложению видеть факт использования VPN, не мешает подключаться к портам на loopback и не препятствует получить список сетевых интерфейсов и отправить через них трафик. Даже если вы настроили per-app VPN.
Да о недостатках я написал. Но на примере Т-банка можно видеть, что информацию о наличии VPN он получать перестал. Понятное дело, что они будут развивать способы извлечения этой информации. Но пока, пока помогает.
"Перестал просить отключить VPN" и "перестал получать информацию о наличии VPN" - утверждения со слабой причинно-следственной связью.
Но это же легко проверить! Можно ли Wireshark или иной сетевой инструмент поставить в телефон?
Не понимаю, что вы собираетесь проверить с помощью сетевого анализатора. Факт отправки трафика в тоннель и факт получения информации о наличии тоннеля в системе в общем случае тоже не связаны.
Но в том-то и смысл, что банковские приложения не работают через VPN. Можно ли посмотреть на какие сайты и через что они стучатся?
На какие - можно посмотреть легко, просто настроив proxy fiddler какой нибудь и указав его в настройках wifi в телефоне, а что в трафике - только взломав приложение.
Из заголовка и посыла статьи сложилось впечатление, что смысл - отправить приложения, которые собирают информацию о наличии тоннеля, в песочницу, чтобы ограничить им такую возможность. Что на текущий момент средствами ОС Android нереализуемо.
Если смысл просто пустить приложение в обход тоннеля, не заботясь о том, известно ли приложению о наличии тоннеля - ну ок, сегодня засовывание приложения в рабочий профиль работает, завтра перестанет 🤷 Это ж все упирается в реализацию детекта в самом приложении, и в общем случае приложению для детектирования тоннеля трафик куда-то слать необязательно.
Что касается сетевого анализатора для телефона - да, есть такой, PCAPdroid называется. Вот только он свой VpnService имплементирует, чтобы собирать трафик без использования root-доступа. Другими словами, с ним у вас банковское приложение не запустится.
Да почему не работают? Т, альфа, сбер есть на телефоне, все работают при включенном WG, ни разу на плашку впн не пожаловались
У меня только одно приложение чекает впн, это приложение бристоля. Но на работу приложения не влияет, просто рекомендация выключить
Слушайте, ну там программа пока (пока!) без ИИ.
В одном окружении она видя VPN сразу же жалуется.
В другом - не жалуется.
То есть можно с очень большой вероятностью говорить, что она больше не видит VPN.
Конечно можно предполагать там наличие нечёткой логики, ИИ или что-то ещё, где она при том что видит VPN уже на него не жалуется. Но я считаю, что такое вряд ли
Я не знаю, как там у тбанка сейчас реализовано и как будет завтра, но у меня какое-то другое приложение (то ли другого банка, то ли маркетплейса, не помню точно) с месяц показывало эту плашку про впн при подключении просто к домашнему вайфаю. Безо всяких впн и средств обхода. И недавно перестало.
Чего там разработчики за логику понакрутили - остается только догадываться.
Повторюсь. У вас цель - убрать плашку и заставить приложение работать прямо сейчас. Цель, заявленная в статье изначально, несколько иная. И она указанным в статье способом не может быть достигнута.
На хабре была ж серия статей на тему почему это не очень поможет:
если кратко - качаем https://github.com/xtclovver/RKNHardering и https://github.com/cherepavel/VPN-Detector и запускам под VPN, в песочнице и без. И смотрим. А потом идем на https://habr.com/ru/news/1020902/ и https://habr.com/ru/news/1020186/ и читаем.
К сожалению есть способы поймать и split
А как можно помешать? Глубокое редактирование через adb?
Без root будто бы никак, если в системе создаётся tun интерфейс.
Сейчас добавляют такой вариант селектора для правил, может другие клиенты сделают аналогично.
Зашёл сюда ради этого комментария
Отправим стукачей в ГУЛАГ
Уже решил, что тут мануал по тому, как реальных стукачей послать в реальный концентрационный лагерь. А оно вон оно что... Впрочем хоть так -- уже неплохо.
Это делается встроенным рабочим профилем без бубна. Разумеется все приложения от красных должны жить там вместе с рустором. Заодно удобно замораживаются одной кнопкой и не тратят батарею понапрасну.
Это если у вас на смартфоне есть рабочие профили.
Разумеется все приложения от красных должны жить там вместе с рустором.
У меня телефон с рустором самопроизвольно перезагружается раз в два дня, поэтому я этот самый рустор скачиваю, ставлю, обновляю приложения и сношу. Поэтому насчёт жить с рустором — не, нафиг, даже если отселить его на остров :)
Думаю, что самым надёжным вариантом пока что будет покупка второго телефона и установка стукачей там.
Пока есть возможность покупки двух сим карт в одни руки.
А зачем симка в "гос" телефоне? Наоборот, пусть он получает интернет только по WiFi. Звонить по нему некуда. Коды все пусть приходят на нормальный телефон. Если вдруг нормальный телефон потеряли или его украли, то на нем не будет установленных приложений, что не даст укравшему подсказки что у вас к примеру т-банк есть. А если уведут "гос" телефон, так и вообще весь контроль у вас, т к он без симки. За одно не сможет шпионить, когда не подключен через WiFi.
Для вида, если кто решит проверить (слышал, что ныне полицаи не законно требуют показать смартфон) можно туда воткнуть заблокированную сим и если что сделать виноватый вид, мол понятия не имею, ещё пять минут назад всё было в порядке...
Это всё равно что, заняв очередь с пятницы на субботу, обсуждать выбор охлаждающей мази. Нет, товарищи, противно это всё.
А я решил не прятать использование VPN. Пусть знают что я использую его. Я только звшитил авходящий зарубежный ip чтобы его не заблокировали.
А то будут расказвать что им удалось снизмть использование VPN.
Это ведь естественно для жизни в цивилизации. Две стороны одного явления, получая блага от жизни в массовом обществе постоянно будешь натыкаться на выстроенные в нём ограничения. Любая современная система устанавливает контроль над вашей собственностью, над вашим телом и добровольным обменом между людьми.
Теперь контроль и правила начинают расцветать в цифровой сфере. Если эти изменения окажутся устойчивыми и всеобъемлющеми (размещавшись о всё человечество), то уверен через поколения занимать очередь с пятницы станет культурной традицией.
Мне бы хотелось указать на то, что суть любой цивилизации и культуры в подавлении частного, и противными могут оставаться, в том числе, уже укоренённые явления, ни с целью стремления к примитивизму, а как напоминание о взаимоотношениях между элементом и системой.
Контроль и подавление как самоцель! Шикарно! Но нет. Контроль - это инструмент для координации общественной жизни, а не самоцель. Смысл контроля, в идеале, служить социуму, пытаясь создавать баланс, а не навязывать собственную тотальность и неизбежность оборачивая это в ложные смыслы и прикрываясь "общим благом". В вашем случае контроль теряет служебную функцию и становится механизмом подчинения. Любите твёрдую руку и чтобы пожёстче?
Добавлю и к этому "взаимоотношениях между элементом и системой". Система - это не сущность, а обобщенное понимание правил взаимодействия, терпимых и воспроизводимых правил. Система, как распределённое понимание порядка, находится в головах, в представлениях людей. В реале работают лишь её акторы, те же самые люди, действующие через институты и прочую инфраструктуру, которую сами и насоздавали. А вот когда значимая часть общества или ключевые группы перестают воспроизводить прежние правила и начинают действовать по-другому, тогда и возникает, мать её, революция!
Контроль и подавление как самоцель
Я не писал о целях, речь шла о наблюдаемых проявлениях. Не считаю имеющим смысл вообще размышлять о целях происходящего за пределами собственной (иллюзорной) субъектности.
Контроль - это инструмент для координации общественной жизни
Я не вижу оснований под такой телеологией (как и под любой иной). Можете наделять наблюдаемые явления целями и смыслами, из чего не следует, что они их имеют. Вы пытаетесь взглянуть на контроль, как на нечто целое, с понятными границами и утвердить, что у этого неохватного «целого» есть единая цель (или что она возможна), то есть приписать объекту мистическое свойство, недоступное проверке.
Смысл контроля, в идеале, служить социуму, пытаясь создавать баланс, а не навязывать собственную тотальность и неизбежность оборачивая это в ложные смыслы и прикрываясь “общим благом”
“Смысл”, “в идеале”, “служить” - вы выстраиваете свою фикцию на моральных основаниях, за счет которой и начинаете наблюдать противоречивость меж непротиворечивого. Интересно , как в вашем представлении будет выглядеть “сбалансированный” контроль “служащий” социуму, и при этом не являющийся тотальным и не создающим собственные смыслы. Например, вся правовая сфера построена на созданном для неё же языке и тотальности.
В вашем случае контроль теряет служебную функцию и становится механизмом подчинения
В моём случае никаких служебных функций не существует.
Любите твёрдую руку и чтобы пожёстче?
Это вы увидели в моих словах, призывающих видеть подавление частного во всех проявлениях общего?
Наш человек. В идеале - чтобы на нормальный телефон эти приложения невозможно было бы установить чисто технически...
А без телефона можно ходить ещё ? например кнопочный кинул дома. Для этих целей подойдет смартфон без сим или без GSM модуля (не всегда), так называемый LDU - Live Demo Unit ( "живой демонстрационный образец"), обычно бывают Samsung-и, по сути планшет тот же получается, как раз на него можно мах впихнуть и остальное г., всё раньше хотел себе такой купить. Бываю они на авито, может быть где-то еще, я не знаю, вот теперь появилась реальная причина в очередной раз на авито.
А зачем симка в "гос" телефоне? Наоборот, пусть он получает интернет только по WiFi. Звонить по нему некуда.
Следующий оборот государственного накидного ключа с трещоткой: для работы сертифицированных государством приложений–шпионов, выявляющих VPN, нужна СИМ-карта, зарегистрированная на физлицо.
Все меры из статьи на самом деле бесполезны. Android и в knox и в secure iceland и в любом другом варианте использования второго профиля - имеет общий сетевой стек и спокойно отвечает на вопросы - есть у вас ВПН (отдельный tun интерфейс) и висит ли proxy на каком нибудь localhost.
Есть модуль ixposed, который скрывает впн от приложений, но он пока очень нестабильный и само собой требует рут. Так что лучшее, что можно сделать - раздельное туннелирование, чтобы не спалить ip впн-а.
А по поводу того, что приложения заранее внедрили функционал определения ВПН - я как разработчик приложения не из белого списка - ответственно заявляю - что как минимум мы (а скорее всего все остальные) - внедряли его потому, что саппорт завалили жалобы от пользователей, которые ходили везде через vpn, и из-за этого наблюдали существенную деградацию сервиса. А не в рамках какой-то там подготовки. И внедрено оно сейчас у всех скорее всего самым лобовым способом - просто спросить у connetivity manager - есть ли работающий впн.
Так что лучшее, что можно сделать - раздельное туннелирование, чтобы не спалить ip впн-а.
Рабочий способ есть, в той же теме https://habr.com/ru/articles/1020080/#comment_29797336
Ждем пока в остальных клиентах реализуют. В клиенте Амнезии уже PR с фиксом висит.
Это не решение для дырявого per-app split tunneling (или у вас ссылка не та). Это решение для висящего голой жопой SOCKS-прокси. Уязвимость по ссылке - в архитектуре сетевого стека Android, он позволяет приложениям напрямую обращаться к сетевому устройству VPN (tun0) через setsockopt(SO_BINDTODEVICE, “tun0”)
Решение есть, но реализовано в 2,5 клиентах.
У как минимум приложения которое сейчас в белом списке есть два детекта. Первый это плашка а второй - блокирующее окно с предложением отключить (и кнопочкой отключить - сделано через попытку поднять свой). Внезапно второй детект проверяет вовсе НЕ connectivity manager, он проверяет можно ли вообще достучатся до api-сервера и если нельзя - показывается. При этом если по каким то причинам в конкретной сборке api-сервер живет в другом месте (например - доступен только через специфический VPN) - будет это самое блокирующее окно, подразумевается что если у вас доступ к таким сборкам есть - вы знаете что делать.
Ключевой момент выше подняли. Не важно спалили ли сам факт наличия впн.
Главный вопрос... не спалить сами сервера.
Изоляция с разделением, это приложение ходит через впн, а это напрямую. Оно работает?
А разве есть хоть какой-то смысл скрывать ip сервера, на котором vpn крутится?
Ведь по идее, у РКН есть доступ ко всему траффику через их "коробки" и будет достаточно связать лишь факты "У пользователя включен впн" - "У пользователя в это же время отправлялись пакеты на такой-то подозрительный ip"
Есть смысл, если у пользователя поднят частный сервер для себя и ближайшего окружения.
У впс у каждого свой IP? Просто интересно? Я тут попу рву, не запалить свой ip. (раздал на 20+ устройств, всем Split-tunneling сам настроил) МАХа ни у кого не установлено. А дядя может на другом порту IP сидеть, и спалит, я в попе?
Я просто хз - сотни сайтов на одном IP сидят. Если 140мильенов Россиян себе по VPS купят, адресов хватит? каждому свой?
Простите за Ламерство
У впс у каждого свой IP?
Зависит от условий. Обычно да, 1 vps = 1 адрес IPv4.
Справочная информация: в общем случае, если поискать, есть те кто сдают только с IPv6, или с IPv4 за NAT (могут как давать набор проброшенных портов, так и нет). Случаев когда твой IPv4 за NAT, но порты тебе пробрасывают с другого IP - не встречал, но допускаю существование даже столь извращенного сервиса
будет достаточно связать лишь факты "У пользователя включен впн" - "У пользователя в это же время отправлялись пакеты на такой-то подозрительный ip"
А если у меня будет выключен vpn, но косвенные признаки будут указывать на обратное, и я специально буду отправлять пакеты на какой-то ip? Если они будут так просто делать выводы, думаю, это будет чревато массовыми сбоями (хотя их это, скорее всего, не волнует)
Изоляция с разделением, это приложение ходит через впн, а это напрямую. Оно работает?
Не стоит на это сильно рассчитывать, от каких-то проверок это защитит, но лучше просто иметь разные ip на входе и выходе vps
Я не знаю зачем вы банковские приложения туда поместили - тот же Тинькофф банк спокойно через браузер работает, даже вход по отпечатку. Все банки имеют аналогичные по виду приложений - " кабинеты ' через браузер хром.
Не получится так. Надо брать Pixel и ставить GrapheneOS, там есть многопользовательский режим. При переключении на другого пользователя, все процессы текущего убиваются и загружается другой пользователь из второго контейнера. Программы тестирования RKNHardering и YourVPNDead ничего не находят - проверено в GrapheneOS.
"Отправим стукачей в ГУЛАГ"
Если подушнить, то название неверное. ГУЛАГ это главное управление лагерей, а не сам контрационный лагерь. Эту же ошибку совершал главный неполживец прошлого.
Кстати, скрыть ip квн таким образом действительно ли получится? По методичке тех самых приложения должны будут обращаться к connetivity manager, а песочница от этого не спасет. И тогда смысл в песочнице отпадает и уже точно нужен второй телефон.
проверил, wb пишет что использую vpn -_-
Я использовал Shelter и сделал наоборот. Т.е. перенес в рабочий профиль пару приложений, которым нужен туннель. "Стукачи" остались в основном профиле и перестали бузить, кроме WB. Оно каким-то образом и дальше могло видеть мой туннель, хотя работать не перестало, просто в углу интерфейса висел кружок с надписью "VPN". Так что оно прошло нахрен с пляжа вообще.
Отправим стукачей в ГУЛАГ
JFYI: Акроним «ГУЛАГ» расшифровывается как «Главное Управление Лагерей». Таким образом, ваш заголовок призывает отправить стукачей на руководящие должности.
программы из жизненно важного для среднего гражданина списка
Как странно, у меня этот список пуст. Я, видимо, недостаточно средний.
Мы ответим им тем, что
… перейдём на тупые как пробка мобилы )
Правда и там не всё ладно: Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы.
Далёкий 2021, между прочим.
Без права переписки.
«10 лет без права переписки» это эвфемизм для смертной казни. Применительно к ПО таковым будет отказ от установки всякого говна на мобилу, а не отдельные контейнеры для оного.
Однако давайте закончим с пафосом
…
И цифровой ГУЛАГ для всего этого мусора, отребья, остаётся последней мерой, что мы можем им отмерить - высшей мерой социальной справедливости!
Вы же несколькими абзацами ранее обещали покончить с пафосом?
Скриншот 5: основной список приложений
Приложение УК на скриншоте позволяет сузить место вашего вероятного нахождения со всей России до нескольких не самых дешёвых домов в Москве.
Для человека, который обеспокоен приложениями, «стучащими куда надо», такая непоследовательность выглядит по меньшей мере странно. Вы бы ещё скан паспорта в статье выложили.
Резюмируя: Лучший способ борьбы со стукачами — исключить их из своего круга общения. Всё остальное суть есть профанация.
… перейдём на тупые как пробка мобилы )
Уже не получится. В моём вовсе не медвежьем углу, а даже, на минуточку, подмосковном наукограде, тупые, как пробка, мобилы, а это мобилы, в которых только 2G, уже перестали принимать входящие звонки, спасибо, что СМС ещё доходят с оповещением о том, что кто-то там звонил тогда-то и с такого-то номера. И на смартфонах, пока не включишь VoLTE, звонки до тебя тоже не доходят. Так что тупые звонилки уже можно просто выкинуть.
трояны и бекдоры на кнопочниках, ну-ну, я могу ходить с nokia чисто кнопочной (2g) и что "сливать" им особо нечего будет; список контаков и звонков ? кнопочник (2/3G) вообще даже без браузера (на какие-то можно опера мини накатать, ну я не буду), а так "для браузера" по хорошему нужен 4G (то бишь "мобильный интернет") и так как и кучи приложений там нету, а кто подписался на кнопочниках на платную "змейку", ну тут уж извиняйте...
Вы статью по ссылке читали? Там речь не только о том, что вам будут подписки навязывать, но и о том что в кнопочных может быть RAT с приёмом команд из C&C (даже если в меню отсутствует пункт "Интернет" и браузер), что позволяет использовать вашу сим-карту "в тёмную" - регистрироваться в различных сервисах, перехватывать сообщения с кодами авторизации, продавать в аренду на сервисе "виртуальных номеров" - а там уже на что фантазии у арендатора хватит...
В magicOS на honor есть private space, он является полноценным вторым профилем, то есть не имеет, как некоторые писали, проблем с тем, что из песочницы всё равно видно все интерфейсы подключений, в нём всё отдельно
Мыслительные категории «стукач» и «не стукач» в голове у вменяемых людей отсутствуют.
Просто мне нравится смотреть ролики с лекциями о космосе на YouTube, я участвую в жизни одного из популярных дистрибутивов Linux, я читаю книги и слушаю подкасты по философии и так далее. Не знаю, кому “наверху” пришла в голову идея, что я должен быть от всего этого отрезан. Не могу объяснить, почему это произошло.
Учавствуйте в жизни редос/астралинукс, читайте филоcофию александра дугина, ктож вам мешает </sarcasm>
Вообще, с последними изменениями в плане слежки, я прихожу к жесткому выводу:
- Придется уволить все российские приложения и пользоваться соответствующим сервисами через браузер.
Соответственно, какие сервисы нормально юзать через браузер?
- яндекс такси
- яндекс карты
- т-банк
Здравствуйте автор, в целом всё понятно, но нужно ли давать ему право администратора чтобы создавать рабочий профиль?
Главное .
Прекратить пользоваться сервисами яндекса. Особенно яндекс-браузером на компьютере - это главный троян. И на телефоне. Для всех скамных троянских приложений, должен быть троянский телефон отдельный.
Shelter ещё есть для этих же целей
А зачем все эти извраты? Проще все РФ сервисы на отдельный смартфон ставить.
Не забывайте про браузер и сайты с я.метрикой (а это процентов 95 от всех русскоязычных сайтов). Придётся ведь и за этим следить.
И простого разделения на .ru-домены, которые ходят напрямую, и все остальные (ходят через зарубежье) тут недостаточно т.к. сайт (или метрика) в любой момент может запросить трекалку с домена .com и получить ваш "внешний" адрес
Погодите сейчас они найдет как определить изоляцию и все эти банки просто перестанут работать в них. Лучше судя по всему отдельный телефон
Тем временем, данный ресурс рвет соединение при включенном bbdpi. Со дна постучались, да, хабр?
В веб версии умеют всеми этими темными делами заниматься? В целом то не внапряг просто удалить большинство таких приложений
Напрямую получить состояние сетевых интерфейсов они, конечно, не могут. Зато могут поотправлять запросы на домены из разных зарубежных зон и посмотреть под каким IP вы туда ходите. Если на ya.ru вы зашли из РФ, а на some-metric-tracker.io - из Нидерландов, то тут явно что-то нечисто, а значит, надо ваш нидерландский IP слить в РКН, который радостно заблокирует к нему доступ из РФ.
А если ещё вспомнить про я.метрику, которая есть но почти всех российский сайтах, то становится понятно, что от этого точечно не защититься
Еще процентов десять сбили с пути виртуального сопротивления своей риторикой.
Идея ставить "что попало" вместо того, "что положено", для масс неспециалистов тоже слабо выглядит. Лично я, например, до установки приложения выдерживаю время (05, год и 1,5) и "количество загрузок".
Увы. И RKNHardering, и YourVPNDead внутри этой штуки успешно всё детектят, в том числе и выходной адрес.
Клиент v2RayTun, Split Tunneling + Per App Tunnelling
Мда, совсем все печально с изоляцией сети на Андроиде... Или как минимум на Origin OS 6.
Попробовал несколько вариантов: insular из темы, "изолированное пространство" (по замыслу ОС это "карантин" для подозрительных приложений), "система конфиденциальности" (типа запароленный лаунчер с отдельным пространством для приложений) и даже второй профиль андроида - везде YourVPNDead детектил v2RayTun, запущенный в основном пространстве, по открытому socks5.
Проверил также различные эмуляторы - Virtual Master, VPhoneOS, VMOS, F1 VM.
Ситуация аналогичная, все видят хостовую сеть, без возможности изоляции.
Вроде как VPhoneOS позволяет изолировать сети эмуляторов друг от друга, но сам эмулятор не позволяет дать клиентскому приложению разрешение на понятие виртуальной сети
Если вы настроить доступ через прокси в v2rayng то тогда ничего не сдетектят
Слишком большие надежды на это ПО. Island и shelter это песочницы на уровне namespace, а не VM. Вы отправляете "стука" на "работу" в коллектив, а вместо домашней общаги. Со всеми вытекающими последствиями.
Трафик идет на прямую без скрытия ip
Контакты палятся те, которые вы в это пространство закините и дав permission
Файлы палятся те, которые вы в это пространство закините и дав permission
Метрики так же отлично собираются через анатику. Фингерпринт (тут в зависимости от настроек) и системные метки будут одинаковы
Про аппаратный трекенг вообще мимо - ему доступно все.
Вы не знаете кто стучит, кому и когда.
Эта мера вас не обезопасит даже от рекламных сетей.
Тоже думаю, что это полумеры. Нужна открытая прошивка с root, чтобы использовать ядерные механизмы Linux для действительно мощной изоляции, возможно - патчинг отдельных библиотек и утилит или даже системных вызовов, чтобы в output подменять или затирать искомые данные.
Есть GrapheneOS там есть нормальный подход с этому всему с описанием и обучающими материалами. Это всегда комплекс мероприятий. А самое главное ты должен целиком и полностью понимать модель угроз и что ты делаешь.
p.s. а вот этот весь движ какая-то религиозная секта. За оскорбление чувств которых тут сливают карму.
Через месяц придумают, что приложения будут видеть, что запущены в песочнице и начнут отказываться запускаться))
Купил отдельный Ру-фон за 8к и всё
Читаю комментарии - смеюсь... Вот пройдет лет 20-30... И вот эти все борцы за свободу интернета как нынешние пенсионеры будут хвалить текущее время, рассказывать какое мороженное вкусное было и голосовать за очередного Путина, со словами вернём все взад... Я общаюсь со своими родителями и родственниками которые были молоды в период развала совка - сейчас как конченные дебилы совкодрочат... Вы такими же будете???
Нечего заниматься полумерами - не нравится концлагерь - уесжай пока есть возможность, попытка обустроить барак - глупость...
Для меня статья интересная. Подсказали мне вариант защиты. Ну а остальное, типа потрындеть, то неудобно, это неудобно. Гос....во делает главное неудобным и если кто-то подсказывает вариант решения, спасибо ему.
ГУЛАГ - расшифровывается Главное Управление ЛАГерями... И вот я прочитал заголовок "Отправим стукачей в ГУЛАГ" и сижу думаю, как и зачем отправлять стукачей в Главное Управление? Открываю статью, читаю:
Мы ответим им тем, что отправим стукачей в цифровой ГУЛАГ
ну точно, сейчас про внедрение Trojan на сервера Роскомнадзора будет! Ух ты! Пошел налил чай предвкушая огненный контент, но... оказалось автор просто не понимает употребляемых терминов и статья вообще не о том (((
Осталось дождаться, когда все провайдеры должны будут иметь линк только до РКН, то же самое и для всех сервисов. Вот это будет веселуха. Кстати, лет 10 назад в Таджикистане продвигали идею Единого коммутационного центра, надо поинтересоваться, чем это закончилось.
К чему все это если приведенные мероприятия никак не помешают определению наличия включенного впн?
Два телефона и всё. Один для мусора(банки, вк, макс, госуслуги...), второй для денег(крипта) и VPN и других нормальных приложений
А если использовать VPN только в нужное время (просмотр ролика на YouTube о космосе, например), а затем отключать - разве это не вариант? И/или настроить раздельное туннелирование, тоже не поможет?
Интересно, как так получилось, что из всего множества комментов, никто даже не думает в сторону борьбы с причинами? Так далеко не уедем
Просто ради любопытства, что будет, если подсунуть фейковый IP адрес в качестве VPN сервера, его забанят?
Статья напомнила мне одну замечательную историю.
Как из всего общества вычленить только преступников? Всё очень просто. Необходимо, чтобы они имели некий критерий, который отличал бы их от добропорядочных граждан. Как это сделать?
ФБР и Интерпол запустили и продвигали через доверенных лиц в криминальной среде бренд ANOM — якобы «сверхзащищённые» смартфоны, которые невозможно прослушать.
Это были обычные смартфоны (зачастую Google Pixel), в которых была удалена стандартная ОС и установлено специальное приложение для обмена сообщениями. Функции звонков, почты и GPS в них были отключены.
В систему шифрования был внедрен «бэкдор». Каждое сообщение, отправленное через ANOM, автоматически пересылалось на серверы ФБР, где расшифровывалось и анализировалось в реальном времени.
В ходе беспрецедентной по масштабу и технической изощренности операции против организованной преступности более 800 человек задержаны в 16 странах мира, изъяты тонны наркотиков, сотни единиц оружия, миллионы наличности, предотвращено около сотни убийств.
Теперь возвращаемся к статье.
Как из всего общества вычленить только определённую группу лиц? Всё очень просто. Необходимо, чтобы они имели некий критерий, который отличал бы их от других граждан. Как это сделать? Необходимо на их смартфоны установить репозиторий F-Droid и приложение Insular/Island. Но как это сделать? Необходимо их убедить сделать это самостоятельно. Для этого можно создать статью на популярном ресурсе, где будет рассказано о пользе этого приложения, о свободе слова и т.д.
Если мы разработчики репозитория F-Droid или приложения Insular/Island, то всё хорошо, больше ничего делать не требуется, так как нужная нам группа пользователей уже у нас.
Если мы не являемся владельцами репозитория F-Droid или приложения Insular/Island, то нам необходимо их скомпрометировать\взломать, чтобы получить доступ к нужной нам группе пользователей.
Первичная задача по выделению из общества определённой группы лиц успешно решена, а что с ним делать, это уже будут решать владельцы F-Droid и Insular/Island, либо те, кому они могут эти данные передать\продать.
Недавно на Хабре были статьи по разбору приложений MAX и Telega, где изучался каждый байт и каждая функция этих приложений, но почему-то никто не сделал ничего похожего для Insular/Island. Вместо этого все резко побежали ставить себе новое приложение, о котором ещё вчера ничего не знали.
Если быть параноиком, то им нужно быть до конца.
На Youtube есть такой ролик, рекомендую ознакомиться (найдите по названию):
Обращение к айтишникам про блокировку ВПН
Скриншот
а приложения на этом острове могут обновляться?
выключил автообновление для всех программ
Яндекс-всемирная особо опасная хакерская группировка с уполномоченными правами и опекой РКН
А если с shelter такое сделать?
Устранить первопричину всех этих недоразумений идея не возникала?
Ищем пуговицу (ц) день радио
Если наши права не соблюдают (статья 29 Конституции), то обязанности мы тоже можем не соблюдать (платить налоги).
И как именно вы предлагаете это сделать? Ну вот как настроить раздельное туннелирование я в силу профессии худо-бедно представляю. Как устранить причину нет - образование и род деятельности не те. Может статью напишете для новичков, по шагам?
Всю свою жизнь ходил с двумя телефонами, мне так удобнее. Теперь, придётся с тремя ходить.
А если приложения просто стоят, но в данный момент не запущены. Они всё равно видят впн?
Блин, дайте кармы, лайк автору поставить не могу :/
Увы, это лишь спрячет факт того, что на телефон установлены VPN приложения. Запустите YourVPNDead в изолированном профиле, и увидите, как много информации можно получить даже оттуда. Нужно выключать ВПН при заходе в российские приложения, а так же как-то предотвратить их работу в фоновом режиме.
Установлено приложение Шелтер. Запихнул я туда ВБ. Исключил из квн весь шелтер, запустил - ВБ все равно пишет "выключи впн"
Не ждумаю что инсулар чем то принципиально отличается. Так что метод не очень рабочий
Отправим стукачей в ГУЛАГ