Вчера вышла статья, якобы потребитель пошел по магазинам, искать себе новый телефон для установки туда мессенджера Макс. На Хабре комментаторы в большинстве своем решили: это всё из-за недоверия народного! Допустим. А что, сразу телефон отдельный покупать надо?

В этой статье подробнее освещу подход с установкой недоверенного мессенджера Max в "рабочий профиль" на Android, который отгораживает приложения от основного профиля. Обойдемся сегодня без покупки нового гаджета.

Что такое "рабочий профиль" ?

Он же Work Profile. В общих чертах: это другое пространство приложений, отдельно от основного ("персонального"). Разграничивается доступ к данным, например список контактов, хранимые файлы и фото. Ни основной, ни рабочий профили не влияют на друг друга, между собой без вас не общаются. Изначальной целью Гугла было дать возможность пользоваться одним телефоном как для личных, так и рабочих целей.

Если цель стоит минимизировать доступ шальным пальчикам непонятно какого приложения вполне себе хороший подход. Например, приложение незнакомое установить-попробовать или тот же СКАМ.

Вот так приложение контактов выглядит на ��еле. Сверху: рабочий профиль, снизу: основной. Сверху контактная книга пока пуста, а снизу я свою настоящую замазал.

Показано приложение контакты в мультиоконном режиме. Один раз из рабочего профиля и из основного.
Показано приложение контакты в мультиоконном режиме. Один раз из рабочего профиля и из основного.
Еще пример: двухоконный Firefox и наглядное разделение на группы

Кстати, у Samsung есть еще свой Secure Folder aka "Папка Knox". Получается, наплодить можно аж три пространства. И да, работает.

На домашнем экране помечены, какие приложения относятся к основному профилю, какие к рабочему и Secure Folder.
На домашнем экране помечены, какие приложения относятся к основному профилю, какие к рабочему и Secure Folder.
Сверху темный Firefox рабочего профиля, снизу светлый от основного в мультиоконном режиме.
Сверху темный Firefox рабочего профиля, снизу светлый от основного в мультиоконном режиме.

Если подробнее о профилях:

  • Принцип: всё, что произошло в Вегасе одном профиле, в нём и остаётся. К соседу в гости ходить нельзя.

  • Можно установить дважды одно и то же приложение. Друг о друге они знать не будут. Им можно задать разные настройки и системные разрешения* (зависит от версии системы).

  • Отдельный подраздел файловой системы, папки-файлы-фотки разделены; также телефонная книга, отдельные рингтоны и т. п.

  • Даже при выданных разрешениях, у приложения по определению меньше доступа, так как оно не в основном профиле, где у пользователя хранится всё-всё-всё.

  • Начиная с Android 11+, приложения рабочего профиля не имеют доступа к SMS или MMS основного профиля.ссылка

  • Разделены учетки (например, можно иметь по аккаунту Google в каждом профиле: разные почты, Google Play и т.д.)

  • Весь профиль можно временно заморозить в настройках системы.

  • У каждого профиля своё VPN-соединение, если используется. (-> необязательно гонять все приложения через VPN)

  • Обновления приложений ставятся системой только один раз и затрагивают все профили.

  • Общий буфер обмена (копирование текста)

  • Тот же механизм работы, что и у нового Private Space. Если телефон свежий и он уже есть, то выбирайте сами, что куда устанавливать.

  • (англ.) история изменений касательно work profiles

Не путать только с разными пользователями на одном устройстве. Разные пользователи — это как перезаход под другим пользователем на Windows. Например, приложения прежнего совсем отключаются. А над своим рабочим профилем вы сам себе хозяин и приложения работают одновременно.

Какие требования к телефону?

Android 10+ (минимальная из-за Max), желательно 6+ ГБ оперативной памяти, чтобы на все приложения хватило, если телефоном активно пользуетесь. Свободного места на диске много не нужно.

Минимальный набор приложений

Приложения можно установить по ссылкам, пролистав вниз к списку версий, там "Скачать APK". Или сперва установить F-Droid или Neo Store и потом устанавливать через него. Как разрешить установку скачанных сторонних APK — найдете. Надеюсь.

Shelter

https://f-droid.org/ru/packages/net.typeblog.shelter/

Пользуюсь именно им и писать инструкции буду по нему. Простой. Настраивает рабочий профиль и дает склонировать (читай: установить впервые) приложение в другом профиле.

Эти два приложения — не более, чем способ управлять системой, чтобы ей сказать: "создай здесь рабочее пространство, а эта программа будет им от лица пользователя управлять". Рычаг управления. Всё остальное уже встроено в систему. Поэтому от удаления самого Shelter никуда не денется рабочее пространство уже настроенное в системе.

Insular

https://f-droid.org/fr/packages/com.oasisfeng.island.fdroid/

Альтернатива Shelter. Любители могут взять и рассказать, чем он лучше.

SaveTo…

https://f-droid.org/en/packages/xyz.myachin.saveto/

После кнопки "поделиться" принимает файл и дает его сохранить где хочется. Например, в другом профиле (установить надо в обоих профилях). Примечание: за перенаправление отвечает система, приложение напрямую по-прежнему не может выйти за границы профиля. Неудобно только, что после передачи слишком часто названия файлов теряются.

У некоторых файловых менеджеров есть схожий функционал.

Как передать файл и�� одного профиля в другой

Меню "поделиться" немного замысловатое. Если вы находитесь в укороченном меню, то надо будет сначала нажать на "другие приложения":

Если вы уже в полном меню, то остается переключить вкладку, чтобы передать в приложение другого профиля.

Scrambled Exif

https://f-droid.org/ru/packages/com.jarsilio.android.scrambledeggsif/

Удаляет EXIF метаданные (дата съемки, модель телефона, GPS-расположение) при отправлении фото кому-то.

Пользоваться просто:

  1. выбрать фото в галерее

  2. нажать поделиться, выбрать Scrambled Exif

  3. еще раз поделиться, теперь набрать получателя

Что ещё можно установить

Aurora Store

https://f-droid.org/ru/packages/com.aurora.store/

По желанию. Использую для установки приложений вместо Google Play, не входя таким образом в аккаунт. Чаще работает, чем не работает... то есть с этим проблемы бывают.

F-Droid

https://f-droid.org/ru/packages/org.fdroid.fdroid/

Официальное приложение одноименного магазина свободных приложений F-Droid. Интерфейс сложноват для новичка.

Neo Store

https://f-droid.org/ru/packages/com.machiav3lli.fdroid/

Новое приложение для магазина F-Droid. Легче в использовании, попробуйте его.

Установка рабочего пространства

Сперва обычным путем устанавливается Shelter. Запускаем. После нескольких пояснительных экранов с текстом (которые внимательный читатель, конечно же, прочтет в режиме далее-далее) Shelter начнет подготовку рабочего пространства.

Что будет при удалении Shelter?

Как я уже писал выше, настроенное пространство никуда не денется. Однако управление пространством закрепляется за оригинальным приложением. Может получиться, что после удаления и переустановки Shelter, он не станет снова "администратором рабочего пространства". В этом случае может понадобится полный снос рабочего пространства через настройки системы. Для Samsung меню называются так:

  1. Настройки системы

  2. Снизу, "Учетные записи и архивация"

  3. "Управление учетными записями"

  4. Снизу/сверху выбрать вкладку "Рабочий"

  5. "- Удаление рабочего профиля"

  6. Подтвердить (удаляется полностью)

Далее через Shelter создается новое рабочее пространство с нуля.

Скриншот: Shelter, "Установка не выполнена"

По завершении Shelter покажет список установленных приложений. Можно переключиться между Основным и "Shelter" (рабочим) профилями. Отсюда же нужные приложения по нажатию клонируем из основного профиля в свеженький рабочий. Самый минимум: магазины приложений, файловый менеджер, галерею, браузер. Надо же как-то выйти в интернет, чтобы добровольно установить СКАМ?

Shelter: клонирование из основного профиля
поиск в списке приложений в Shelter
поиск в списке приложений в Shelter

Выходим на домашний экран телефона, переходим в список приложений. Там теперь сверху виднеется переключатель между профилями. Можно запустить нужное приложение из выбранного профиля. Или сразу забрать себе ярлык поближе, на домашний экран.

Меню с приложениями теперь дает оба профиля на выбор

Заметьте, что у рабочего профиля приложения помечены синим чемоданом (на этом телефоне так).

Как что устанавливать в рабочем пространстве?

Способа два:

  • Устанавливается приложение как обычно через основное пространство, а потом при помощи Shelter клонируется в рабочее. Из основного можно после этого удалить. (Показано выше на примере Firefox)

  • В рабочем пространстве отдельно устанавливаются магазины приложений. Так можно устанавливать новые приложения внутри напрямую.

Воспользовавшись склонированным Firefox, я установил RuStore (apk) только внутри рабочего профиля, потом там же Max (тык). И для чистоты изоляции окончательно перенес туда остальные поделия компании VK: Одноклассников (ОК) и VK Messenger.

Как видно по белой иконке справа внизу, RuStore открыт внутри рабочего профиля

Итог

Мессенджер Макс установлен в своей псевдо-песочнице без доступа к основным данным польз��вателя. Увидеть сможет он только то, что пользователь туда (в рабочий профиль) сам добавит.

Ну а если пользователь старательно войдет в аккаунт Google внутри рабочего профиля и тот возьмет и синхронизирует все контакты вовнутрь... то останется старательного пользователя только поздравить. Конфиденциальность в ваших руках (и руках ваших знакомых).

Не хэппи энд

Мессенджер настолько национальный, сильный и независимый, что помимо 9 членов СНГ, зарегистрироваться можно ещё лишь с грузинским номером.

Ладно, могу с чистой совестью удалить :)

Картинки списка стран

FAQ

"Это несекурно!" — На самом-то деле, Android очень даже хорошо приложения разделяет. От инвазивных, практически зловредных методов не спасет: Localhost-атака: как Meta* и Яндекс следят за пользователями Android. Пусть мобильные разработчики прокомментируют, что еще течет или не течет.

"Лучше второй телефон!" — Любая паранойя за ваши деньги. Номер всё равно оформлен на вас.

"Надо просто не давать разрешения приложению" — В теории это работает отлично, на практике... даже если приложение не впадает в while-loop в нарушение гайдлайнов Google Play, продолжая запрашивать разрешение, то оно может продолжать вставлять палки в колеса, пока не разрешите. В списке чатов голые номера вместо публичного имени в WhatsApp? Всего лишь-то постфактум закрыт доступ к контактам.

"Я поставил Max в другой профиль, у него нет доступа к контактам, теперь всё зашибись!" — А ваши знакомые тоже его в профиле отгородили, или у всего круга ваших знакомых весь список контактов давно на сервер загружен? В том числе и вы? А другие приложения? VK, VK Messenger, Одноклассники, WhatsApp, Telegram, кого там еще можно для примера назвать?

"Батарею будет быстрее сажать" — если Android новых версий, то приложениям рабочего профиля можно проставить другие разрешения/настройки, вплоть до больших ограничений работы в фоне. Так или иначе, влиять будет минимально. Я пользуюсь рабочим профилем лет 5, разницы не вижу.

PS: По поводу ошибок и дополнений кричать в личку или цивилизованно себя вести в комментариях. Особенно, если упустил подводные камни, не очевидные обычному пользователю. Рекламы ТГ сегодня не будет.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Уже пришлось установить Max?
12.17%Да, пользуюсь14
9.57%Да, вынудили11
12.17%Нет, но придется14
66.09%Нет, оказываю сопротивление76
Проголосовали 115 пользователей. Воздержались 15 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Каким образом установили/планируете пользоваться? (несколько вариантов)
15%Обычная установка12
20%Отдельно на втором устройстве (телефон, ...)16
25%На Android, но в другом профиле20
15%На компьютере через виртуалку/эмулятор/песочницу12
51.25%Всё ещё активно отказываюсь пользоваться41
5%Обычная установка, но планирую закрутить гайки4
0%Замудренная установка, но планирую раскрутить гайки (достало всё)0
Проголосовали 80 пользователей. Воздержались 23 пользователя.