Как я избавлялся от Google на Android

image

Недавно на работе получил задачу от руководителя: сделай так чтобы телефон android не сливал данные гуглу.  Можете представить мой восторг (и предвкушение) ибо спустя 2 недели тестов я вполне уже чувствовал себя человеком который прошивает телефоны на радиорынке (ничего личного, просто не мой профиль). Прочел отличную статью и понабравшись опыта решил немного дополнить. Статья кстати отличная, рекомендую к прочтению.

Давайте рассмотрим несколько альтернативных операционных систем якобы без сервисов гугла, и выясним действительно ли они не общаются с гуглом. Подготовился я к слову основательно, для тестов даже приобрел девайс "pixel 3", так как GrapheneOS работает только с устройствами от google.



Хотел протестировать еще:


  • /e/ Но к сожалению моего девайса не было в списке
  • PostmarketOS Та же проблема
  • PinePhone Было желание приобрести тестовый девайс. Но после обзора на youtube, желание пропало, так как он очень тормозит, и сложно его представить в роли смартфона для повседневного пользования.

GrapheneOS


На первый взгляд система позиционирует себя как максимально безопасная и анонимная. Есть пару нюансов которые мне не понравились:


  1. Нет доступа к root
  2. Отстукивание на серверы Google:

Ничего необычного, этот сервис называется Captive portal используется для андроид с 4 версии. При наличии root можно выбрать другие независимые сервера или на крайняк поднять свой. Но такой возможности нет и приходится довольствоваться услугами google. Также разработчик утверждает что использование других серверов в качестве альтернативы нежелательно, по причине того что телефон будет более узнаваем в толпе, но говорит, что такая функция находится в разработке (правда имеет маленький приоритет)


LineageOS


LineageOS является более популярной операционной системой. Но к ней тоже очень много вопросов. Абсолютно чистая система умудряется стучать гуглу в особо крупных количествах. Вот данные которые я снял со своего маршрутизатора, и сделал небольшую табличку. Маршрутизатор снифил трафик с телефона 3 дня, повторюсь, что телефон я откатил до заводских настоек и ничего не устанавливал и никуда не логинился.
image


Существует несколько способов ограничить доступ телефона к google:


  • Использование firewall. В моем случае я использовал afwall+, его можно скачать в магазине f-droid или же в aurora store, который можно скачать там же
  • Второй способ, менее радикальный и более трудоемкий. Он заключается в подмене сервисов. Настройка на службах альтернатив google.

Каждый способ требует root права. Описывать как их получить не буду, так как есть огромное количество статей на эту тему, и в зависимости от модели телефона инструкция может меняться. Я использовал magisk


Использование firewall


Ну с этим, думаю, понятно. Блокируем все, и разблокируем по мере необходимости (для AFwall+ понадобятся root права). В android 10 добавили модуль Network Stack Permission Config module. Если заблочить данный модуль то система будет говорить что у данной сети нет доступа к интернету. image image
Тем не менее интернет будет работать в обычном режиме. Так как у меня гугловый девайс Pixel 3, то были подозрения что устройство общается с google на hardware уровне. Но они развеялись после того как заблокировал все и снял дамп с роутера. Результаты показали что за двое суток устройство дальше внутренней сети не ушло.


Подмена сервисов


Необходимо настроить следующие сервисы:


  • DNS
  • Captive Portals
  • WebView
  • Hostfile

DNS


По дефолту LineageOS использует гугловые dns 8.8.8.8, было бы не плохо заменить их на cloudflare 1.1.1.1. Идеальным решением будет использовать vpn и завернуть туда весь трафик, в противном случае для каждой wifi сети надо будет вбивать руками кастомные dns. Альтернативой является установка приблуды через magisk "CloudflareDNS4Magisk", или какой-либо другой с магазина, но там на свой страх и риск. Как по мне лучше с гугловыми dns, чем непонятным магазинным софтом.


Captive Portals


Captive portal — сетевой сервис, требующий от подключившегося к сети пользователя выполнить некоторые действия для получения доступа в Интернет. Обычно используется для взимания платы, аутентификации абонента либо показа рекламы. Настроим его что-бы он стучался не на google.


Дальнейшая инструкция подразумевает то, что вы уже получили root через magisk




Присоединяем телефон по USB, запускаем терминал (linux;macos) и заходим в shell, ./adb shell, и переходим в режим админа su. Может отбить: permission denied, в этом случае заходим в magisk и даем shell рута.
image

image


Далее вводим следующие команды. Я выбрал заменить google на магазин f-droid


settings put global captive_portal_mode 0
settings put global captive_portal_detection_enabled 0
settings put global wifi_watchdog_on 0
settings put global wifi_watchdog_background_check_enabled 0
settings put global captive_portal_server f-droid.org
settings put global captive_portal_https_server "https://f-droid.org"
settings put global captive_portal_http_server "http://f-droid.org"
settings put global captive_portal_fallback_url "http://f-droid.org"
settings put global captive_portal_other_fallback_urls "http://f-droid.org"

Вы также можете выбрать другой сервер. Ниже будет предоставлено несколько альтернатив, либо же вы можете поднять свой собственный


http://captiveportal.kuketz.de
http://elementary.io/generate_204
http://httpstat.us/204

WebView


Советую заменить браузер на "duck go browser" который можно найти на aurora store


Hosts


Желательно заблокировать следующие сайты в файле hosts. Так как мы блокируем google нужно выбрать другой поисковик, предлагаю этот.


google.com/gen_204
accounts.google.com:443
connectivitycheck.gstatic.com/generate_204
google.com:443
s3.amazonaws.com:433
collector-hpn.ghostery.net:443
cmp-cdn.ghostery.com:443
api.ghostery.net:443
cdn.ghostery.net:433
updates.signal.org:433
googleads.g.doubleclick.net:433
fonts.googleapis.com:433
api.cleanapk.org:433
clientservices.googleapis.com:443
ssl.google-analytics.com:443
bahn.de:443
deutschebahn.sc.omtrdc.net:443
assets.adobedtm.com:443
cdn.optimizely.com:443
settings.crashlytics:443
firebaseremoteconfig.googleapis.com:433
graph.facebook.com:433
http://xtrapath1.izatcloud.net/xtra3grcej.bin
http://xtrapath2.izatcloud.net/xtra3grcej.bin
http://xtrapath3.izatcloud.net/xtra3grcej.bin

Выводы:


Огромное количество информации сливается даже при кастомных прошивках которые, позиционируют себя как свободные от google. А по факту когда снимаешь дамп трафика то мягко говоря удивляешься.


P.S.


Если вы выберете второй способ, то все-равно не пренебрегайте использованием firewall, я неделю проверял данные с роутера, пробовал разные варианты (что будет если заблокировать эту службу, а что если эту). Оказалось что это самый надежный способ. Как и любая настройка firewall, блокируем все, разблокируем по надобности.


P.P.S.


Изучал вопрос приватности и решил поделится с Хабром, так как Хабр часто делится со мной. Может кому-то это будет полезно. Спасибо если дочитали до конца.

Средняя зарплата в IT

111 000 ₽/мес.
Средняя зарплата по всем IT-специализациям на основании 7 268 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 122

    +9
    Ждём избавления от Microsoft на Windows
      +5
      Уже есть, называется Windows 10 Ameliorated
        +4
        Да, великолепная замена:
        However, AME does not allow for the installation of critical security patches, by means of regular Windows Updates,
        ,
        а главное: где гарантия того, что замена тоже ничего не сливает «налево»? :-)
          0
          а главное: где гарантия того, что замена тоже ничего не сливает «налево»? :-)
          Имеется инструкция по сборке своего образа из официальной винды.
            +6
            XP можно собрать из исходников ))
              0
              интересно дождаться независимых аудитов кода хр, на предмет того была ли эта система без встроенного шпионства и бэкдоров
                +1
                Мне интересно, бригаде какого размера это будет под силу? Всё же там наверняка много легаси начиная с NT3.5, горы мертвого кода, множество веселых костылей. Это всё добро писалось лет 10, за сколько его адекватно сумеет понять команда аудита?
          +5
          И ещё куча подобных «сборочек от Васянапро2k20» на любом торрент-трекере.
          +1
          айфон без эппл уже сделали

          image
          0
          Интересно, куда и зачем «стучит» LineageOS
            +1
            Куда ясно… А зачем? По зашифрованному трафику не сильно много разберёшь… Надо будет чуть позже провести «mitm»
              +13

              Вы ставили LineageOS готовый имидж с сайта или собирали сами? Я себе собирал без приложения «Updater» и без Google Apps — в итоге из всего упомянутого с посте списка оно стучалось лишь в ожидаемые места ("generate_204", обновления AGPS, NTP, может ещё куда-то). И всё это можно отключить штатными настройками.

                0
                Ставил имидж с сайта. Спасибо за информацию. На выходных попробую собрать сам. Я даже не подумал об этом. Не зря статью решил опубликовать)
                  +1

                  Рекомендую сниффить DNS запросы, тогда становится понятнее, куда стучится. Например, обновления AGPS — там вначале он по одному урлу идёт, потом его редиректит на CDN.


                  Если есть силы в код лезть, то можно за основу взять LineageOS и надёргать интересных патчей из других, например https://github.com/CopperheadOS


                  Кстати, CopperheadOS, кажется, на Pixel 3 должна работать тоже. Но собранную продают за деньги. Зато все исходники на гитхабе есть, можно собрать её.

                    0
                    Спасибо! гляну что это за покемон)
              0
              Вот мои изыскания.
              Также firestore.googleapis.com зачем-то обрабатывает линки в приложениях (Webview?).
              И в схожей по тематике теме писали что www.google.com — это блоб в Требушете.
              +1
              Captive Portal я бы не менял по соображениям совместимости с гостевыми сетями WiFi
                –1
                Если сервер доступен, а у надежных провайдеров типа f-droid я думаю высокий показатель, то проблем быть не должно. Единственное в чем я неуверен и надо сходить протестить куда-то, это как оно будет работать в той ситуации когда у гостевой сети есть хотспот с рекламой, к примеру аэропорт. В любом случае пользоваться гостевыми wifi сетями не лучшая затея.
                  +3
                  Если сервер доступен, а у надежных провайдеров типа f-droid я думаю высокий показатель
                  Вы не учитываете ограничения доступа из России.
                  У 7-zip.org тоже был высокий показатель, это не помешало ему быть недоступным несколько лет, за компанию с Telegram.
                    0

                    Формально, captive portal должен при любом обращении на 80/443 порт редиректить на веб страничку. Разными способами это делается.


                    Но мне встречались хотспоты, которые просто режут обращение, например, на ya.ru или любой другой сайт. Но при этом правильно реагируют на известные урлы типа google/generate_204 (не пробовал apple'овский).

                      0
                      Значит моя теория по поводу того что с хотспотами могут быть проблемы верна ) Спасибо за коментарий!
                        0
                        Да, именно эту проблему я и имел в виду)
                        0

                        Как можно с 443 порта делать редирект, если там https? Вы же не сможете ответиь от имени гугла....

                          0
                          Можно ответить простым http, скорее всего вас поймут.
                            +3
                            Ммм, а в какой момент отвечать? Это ж не http соединение, где клиент сразу после TCP хендшейка шлёт что ему надо. В https должно сначала установиться безопасное соединение. Без этого клиент не расскажет, что ему надо.
                            0

                            С неправильным или самоподписанным сертификатом — «кушайте, что дают». В Азии и не такое можно найти. Не знаю, работает ли такое на телефонах, т.к. с ноутбука curl'ом смотрел.

                            0
                            Ммм, то есть если у меня девайс не детектит captive portal, то чтобы хоть как-то залогиниться в такой сетке нужно зазубрить адреса всевозможных generate_204? Интересненько…
                              0
                              А зачем зубрить? Просто на любой http выдавайте переадресацию на своб страницу авторизации, на https можно попробовать тоже http ответ отдавать. первым от самый запрос на captive portal и поймаете, скорее всего.
                                0
                                Это ответ для админов вида «сделайте нормально». Что делать юзеру, попавшему на такое?
                          0
                          Я его вообще вырубил, приватность дороже условно бесплатного WiFi.
                            0
                            Иногда бывают ситуации, когда надо подключиться к сети, а есть только такой публичный wifi.
                          +3
                          Занимательная статья. +1. Рассказали бы тогда заодно уж и о том, как и чем смогли заменить
                          1) Youtube App
                          2) Google Drive App
                          3) Google Photos App
                          4) Google Keep App
                          и главное, стоило ли оно того? Особенно когда действительно все проблемы можно решить установкой хорошего Firewall поверх системы.
                            +5
                            Спасибо! Это сугубо лабораторная для уникальных кейсов.
                            Что касается Youtube app, то есть альтернативные плееры в aurora store. Но при этом не получится туда залогиниться и подключить свой «youtube premium». Что касается остальных сервисов я ими не пользовался, не могу ответить.
                            К сожалению приватность требует жертв… Тут решать вам, стоят ли эти неудобства того или нет
                              0
                              Замена конечно есть, это Вы правильно написали. Только насколько они будут безопасней в плане приватности по сравнению с оригинальными решениями от Гугл, или где гарантия того, что через 3-6 месяцев, набрав популярность, не начнут сливать данные налево? ;-) А потому задача может легко превратиться в борьбу с ветряными мельницами. Вообще, меня ваша лабораторная немного пугает и смешит своей параноидальностью, это ведь что-то из серии: «Наш человек должен будет пробраться в самый тыл врага, выполнить миссию и по возможности вернуться назад незамеченным. Что нам для этого понадобится?».
                                0

                                Решается отключением WiFi и 3G/4G данных.

                                  0
                                  Вот именно. +1. Без отключений всяких Гуглов. И желательно не пить чай в пути, чтоб не отравиться Новичком ))
                                    0

                                    Хорошо быть Неуловимым Джо!

                                      +1

                                      В шапочке из фольги)

                                        0
                                        Неуловимый, потому-что нафиг никому не нужен :D?
                                          +3
                                          Ваша статья — это ведь результат поиска компромисса между малым бюджетом и игрой в приватность. Если так хочется спрятаться от Гугл, то проще купить что-нибудь на iOS или BlackBerry. Хотя я понимаю, что если с детства смотреть фильмы про Штырлица и увлекаться шпионскими романами, в которых наш разведчик, переодевшись собакой, проникает в святая святых потенциального врага и остаётся незамеченным, то понимание «проще» может быть немного другим :=)
                                              0
                                              Ну не «завсегда», но сольет данные на ура если посчитает вас преступником (вон недавно Apple сказали что будут сканировать личные фото и если найдут в них издевательства над детьми то сами настучат в FBI). Но в любом случае Apple гораздо лучше в плане приватности Android или Windows, по крайней мере и позиционирует себя так и не было замечено ничего вопиющего. С другой стороны девайсы Apple отвязать от Apple посложнее будет чем Android от гугла.
                                                0

                                                Невозможно отвязать полностью от эпол и полноценно пользоваться устройством. Разве, что старые маки до 2015 гю. вкл.

                                                +1
                                                Яблоко завсегда сольёт всё АНБ и прочим.

                                                Ага, поэтому ФБР ходило к Cellebrite и платило деньги за взлом айфона пять-си одного поехавшего стрелка?
                                                Эппл при запросе из ФБР дать им бэкдор или модифицированную версию айоси для форензики — послали фбр-овечек далеко-далеко, и ничего им не было.
                                                  0
                                                  Очевидно, послали их на универсальном бекдоре на все устройства. По запросу на конкретную личность они сливают всё что у них есть и даже гордятся скоростью.
                                                    –1

                                                    Тут нужно добавить, что по законному запросу суда. Который, в отличие от некоторых других судов, требует веские основания.

                                                    +1
                                                    Это была публичная история, которая красиво подняла рейтинги и надолго оставила след в массовой мифологии. А тот девайс федералы потом взломали.
                                                    0
                                                    У BlackBerry все еще есть телефоны на своей оси, это специальная серия на Андроиде
                                                      +1
                                                      А вы поищите старые, доандроидные, Blackberry. Тот же Z30 еще можно найти на ебее или али (как минимум, refubrished, но для экспериментов хватит).

                                                      Там стоит Blackberry OS 10 (последняя версия 10.3.3) которая по сути своей есть QNX 8.0.0 (так она откликается на uname -a в терминале).

                                                      В дополнение к тому там есть подсистема андроид 4.3 с полностью выпиленными гуглосервисами.

                                                      Т.е. там можно ставить как нативные приложения (написанные на C++ + Qt) из их родного магазина BB World (вроде бы все еще действует), так и андроидные (те, что не привязаны к гуглосервисам) из Amazon AppStore или иных альтернативных источников или прямо в виде apk.

                                                      Правда, там нет понятия root. Нигде не видел свидетельств того, что кому-то удалось самостоятельно получить права суперпользователя на QNX.

                                                      Кстати, Blackberry сервера заблокированы в РФ. Так что для получения Blackberry ID (нужен, например, чтобы что-то устанавливать из BB World), необходимо на телефоне поднимать VPN (что несложно — у того же ZoogVPN все настройки опубликованы на сайте, если бесплатный аккаунт на 2Гб в месяц, платный без ограничений тоже недорог — $30 на два года).

                                                      Боишься что кто-то чего-то куда-то сливает — просто отключаешь автозапуск VPN и вперед. Включишь руками только когда это реально нужно.
                                            +2
                                            Только насколько они будут безопасней в плане приватности по сравнению с оригинальными решениями от Гугл

                                            Распределённостью.

                                            Если Гугл решит сливать данные налево, то уйдут все данные.
                                            Если один из владельцев стороннего сервиса решит сливать данные, то уйдёт только часть данных.
                                              0
                                              :-) Знаете, вот меня на занятиях по информационной безопасности в университете учили немного по-другому оценивать риски слива: чем больше разных вендоров, каждый из которых заменяет какой-то модуль одного крупного вендора (типа Гугл), тем больше вероятность слива у какого-то одного или нескольких из них (да, Вы правы, могут уйти не все данные, а часть, но не факт...). А что касается психо-паттерна «не доверяю Гугл», то смотрите мой комментарий выше про альтернативы на iOS и BlackBerry, либо другие.
                                                +1
                                                Если человек А знает что кто-то это Вася Пупкин проживающей по улице Строителей, а человек В знает что кто-то это тренер который вышел с тюрьмы за то что рядом с девочкой на лавочке посидел это одно дело. А когда обоими этими данными обладает одно лицо то это уже совсем другое. Как раз на ИБ этому тоже учили. Что если можно разделить информацию на части и утечка одной из частей не является критичной — то нужно дробить и максимально сильнее. (Хотя это речь была о сотрудниках — чтобы никто не знал полной картины, а каждый только свою часть, и максимально ограничивая человека в доступах. Например два ключа для запуска ракеты. N частей пароля у N*(1-2) человек.)
                                                  0
                                                  да, Вы правы, могут уйти не все данные, а часть, но не факт...

                                                  Да, может и не всё утечёт, а только часть у одного вендора.
                                                  Но факт, что утечёт только часть данных.

                                                  смотрите мой комментарий выше про альтернативы на iOS и BlackBerry, либо другие

                                                  Не уловил причинно-следственной связи между обеспечением распределённости и смены одного централизованного обработчика данных на другого.
                                                  Конкретно: Смена гугла на iOS/Blackberry — не добавит распределённости.
                                                    +1
                                                    Да, может и не всё утечёт, а только часть у одного вендора.
                                                    Но факт, что утечёт только часть данных.


                                                    Я имел в виду, что если набрать в поисковике новостной заголовок типа «Google deletes another 25 Android apps caught stealing user data, including Facebook credentials», то легко понять масштаб существующей проблемы: есть масса приложений, которые воруют и отправляют не только свои (необходимые для их функционирования), но и чужие данные, относящиеся к другим приложениям. Хотя топик-стартер Фейсбуком не пользуется и блокирует его, поэтому может счесть пример непоказательным :-) Статья у него все равно интересная, какие бы сомнения вокруг ее полезности не существовали.
                                                    Кстати, насколько эффективнее по сравнению с Корпорацией Добра работает команда F-Droid по обнаружению таких приложений в своем маркетплейсе — это тоже хороший вопрос, ибо топик-стартер нативный гугловский маркетплейс поспешил поменять, как мне кажется, несильно вдаваясь в этот вопрос, а то что хрен редьки может оказаться не слаще — это всплывет позже, когда выяснится что в отличие от гугловского маркетплейса ворующие пароли приложения пролежали в Ф-Дроид маркете на 1 неделю дольше…

                                                      0
                                                      В F-Droid открытый код и повторяемые сборки. Там будет сложно разместить каку.
                                                        0
                                                        Google deletes another 25 Android apps caught stealing user data, including Facebook credentials

                                                        Это мальца не в тему, ибо речь идёт о приложениях, которые просили войти через ФБ. Они так и форму входа через Google могли показывать.

                                                        У меня, в качестве хобби, есть проект на эту тему, который старается распаковывать (apk, dex, pe, so) и искать подозрительные закладки:
                                                        execinfo.ru

                                                        Но пока он шибко неавтоматизирован.
                                                  +1

                                                  Для ютуба есть опенсорсный NewPipe и он довольно долго уже существует.
                                                  Но иногда перестает работать из-за того что гугл меняет алгоритм.
                                                  Но это не часто и в принципе вполне жизнеспособный вариант.

                                                    0
                                                    Я пытался его применять в течение полугода, и на один день срабатывания было три дня ошибки :( потом надоело. Автор молодец, но гугель уж очень часто что-то там подкручивает
                                                  +1
                                                  есть например newpipe с f-droid store
                                                  +2
                                                  Смотря что именно вам нужно от каждого из приложений. Так-то видео можно и в браузере смотреть, фотографии в любой галерее по вкусу, для заметок/напоминаек тоже полно приложений.
                                                    0
                                                    А кстати, что есть из заметок/напоминалок, использующих персональный сервер?
                                                      0
                                                      Exchange-совместимые вам в помощь ;)
                                                        +1
                                                        Nextcloud и небольшая россыпь открытых приложений для взаимодействия с ним.
                                                        0

                                                        Joplin

                                                      0
                                                      1) youtube vanced
                                                      2) яндекс диск
                                                      +4
                                                      Изучал вопрос анонимности и решил поделится с Хабром

                                                      С анонимностью это ничего общего не имеет. Анонимность — это не выделяться из большинства. Если 90% устройств определяют тот же captive portal через Google, то и вам придётся.

                                                      То, что вы имели в виду, называется «приватность».
                                                        0
                                                        Спасибо за замечание. Сейчас поправлю
                                                        +3
                                                        Странно что сразу не нашли связку LineageOS + MicroG.
                                                          +2

                                                          Как решили вопрос с геолокацией и пушами?

                                                            0
                                                            Геолокация через GPS, на современных чипах задержка позиционирования не особо критична. Есть альтернативные сервисы локации по вышкам, на том же f-droid, но мне не удалось заставить их работать.
                                                              0

                                                              У меня получалось через UnifiedNlp, но это работало как-то через раз. Иногда надо было снести его и поставить заново. Иногда простая перегрузка телефона помогала. На более старых версиях Андроида это всё как-то проще ставилось.

                                                            0
                                                            collector-hpn.ghostery.net:443
                                                            cmp-cdn.ghostery.com:443
                                                            api.ghostery.net:443
                                                            cdn.ghostery.net:433


                                                            Чем не угодила тула, сделанная *специально* для блокировки всяких трекеров и предотвращения утечки персональных данных и вообще слива вашей информации куда бы то ни было?
                                                            +4

                                                            А можно было просто новые телефоны Хуавей купить. Туда захочешь — Гугл-сервисы не поставишь.

                                                              0
                                                              Поддерживаю! Сервисы то поставишь, но с бубном. И функция клон приложения просто бомба. Два вайбера, два ватсапа на каждую карточку свой. Приложения ставлю ручками, без магазинов.
                                                                +6
                                                                Меняем американские зонды на китайские, так? Лично мне Китай кажется опаснее
                                                                  +3
                                                                  Для среднего хабровчанина необходимость оказаться в американской юрисдикции гораздо вероятнее, чем в китайской.
                                                                    +2

                                                                    В американской юрисдикции на порядки ниже риск задержания: нужно, к примеру, торговать оружием, в то время, как в Китае достаточно запостить что-то против CCP/Пуха.

                                                                      +4
                                                                      Рассказывая про свою работу в Женеве, Сноуден упоминал, что был в шоке от того, с какой лёгкостью его коллеги были готовы ломать судьбы людей, если была хоть малейшая вероятность извлечь пользу для себя.
                                                                  0
                                                                  там свои сервисы от хаувей
                                                                  0

                                                                  neverssl.com как captive тоже можно

                                                                    +3

                                                                    Уже писал на эту тему на Хакере (https://xakep.ru/2019/06/28/android-privacy/), но повторюсь. Подавляющее большинство того, что у автора "ой, а гугл следит" не представляет абсолютно никакой угрозы, и решается удалением GApps. Жизнь без них вполне себе возможна. А на полном серьезе рассказывать, что кто-то будет следить через пустой generate_204 — даже не смешно уже

                                                                      +1
                                                                      Прочту вашу статью. Спасибо)
                                                                        0
                                                                        Перед тем как давать ссылку убедитесь что статья открывается не только у вас.
                                                                          0
                                                                          Как сейчас не знаю, но раньше на generate_204 Гугл получал сравнительно уникальный юзер агент. Т.о. это информация: таймстамп, ИП, почти уникальный ID.
                                                                            0
                                                                            IP толком ничего не дает, кроме иногда города, и тот не всегда корректно определяется. Время запроса определяет тоже примерно ничего. Юзерагент одинаковый для всех телефонов данной партии, а частенько (когда производитель забивает на обновления) и для всей модели. В любом случае, без этого 204 некорректно работает детект Captive Portal, так что со сферическим фингерпринтингом по IP в вакууме придется смириться
                                                                          0
                                                                          А почему updates.signal.org попал в список блокировки?
                                                                            0
                                                                            Как альтернатива — можно купить телефон от Huawei и попробовать как оно без гугла «из коробки» (sarcasm) Хотя если честно — почитал как народ мучается — так что не советую.
                                                                              0
                                                                              А я вот сам удалил (ну как удалил, через Magisk скрыл) все эти ваши гугл сервисы и доволен как слон.
                                                                              +3
                                                                              А в чём принципиальное различие DNS cloudflare от гугловского?
                                                                                0
                                                                                Разные провайдеры. Теоретически, гуглоDNS, как более известный, может попасть под блокировки (привет, Беларусь), а Cloudflare почему-то обошла повальная популярность в гайдах по настройке сети, так что он может оказаться более живуч
                                                                                  0
                                                                                  Разные провайдеры.

                                                                                  А суть одна, не?
                                                                                  Если человек уходит от гугла, какой смысл переходить на Cloudflare/Facebook/Microsoft/Любая другая корпорация?
                                                                                    0
                                                                                    Согласен! С другой стороны, не свой же DNS поднимать. Всё равно все остальные сервера (кроме таковых от чрезмерно приватных, вроде нас), принадлежат корпорациям. Поэтому, так или иначе, наши запросы все равно видны, и что м хотим спрятать — тоже не вполне понятно. Просто гугл с превеликим удовольствием прилепит еще и вои DNS запросы к цифровому профилю, а Cloudflare такого, хочется верить, не имеет
                                                                                      0
                                                                                      Есть opennic и прочие запущенные добровольцами сервера.
                                                                                        0
                                                                                        А к кому они по итогу ходят с запросами? Правильно, к Гуглу, CF и прочим. Так что факт запроса скрыть не получится, а при использовании Chrome/Opera/другого не вполне свободного браузера утечка DNS запроса а чей-то публичный сервер резко становится не такой и критичной, ибо браузер сам с превеликим удовольствием сольет автору не только посещенные сайты, но и URL (читай про Google Safe Browsing), время посещения и вообще все, что Гугл или другая излишне доброжелательная корпорация хочет о нас знать
                                                                                          +2
                                                                                          А к кому они по итогу ходят с запросами?

                                                                                          К корневым серверам?
                                                                                +3

                                                                                Ну да, главное чтоб Американский Гугл не получил данные. А вот Китайской разведке через китайские прошивки — это нездоровье))
                                                                                [sarcasm]

                                                                                  0
                                                                                  подготовился основательно

                                                                                  Нет упоминания microG


                                                                                  Подготовился плохо.

                                                                                    –2
                                                                                    На первый взгляд система позиционирует себя как максимально безопасная и анонимная. Есть пару нюансов которые мне не понравились:

                                                                                    Нет доступа к root

                                                                                    GrapheneOS по объективным характеристикам самая секъюрная ОС в данный момент, одним из факторов которого является возможность блокировки загрузчика, пользуясь Verified Boot.
                                                                                    Наличие root-доступа на устройстве это очень грубая ошибка с точки зрения безопасности, именно поэтому в GrapheneOS его нет.
                                                                                    generate_204

                                                                                    Жуть то какая!
                                                                                      +2

                                                                                      если получение рута требует интеракции с пользователем — никакой проблемы нет

                                                                                        0
                                                                                          +2
                                                                                          Можно просить пользователя ввести рутовый пароль, как на всех линуксовых системах. Случайно пароль ввести проблематично.
                                                                                          –1
                                                                                          Наличие root доступа означает, что любой зверь с уязвимостью эскалации прав получит полный доступ к девайсу (accessibility service).
                                                                                          Если вас устраивает подобный риск и вы полностью уверены в отсутствии уязвимостей своего устройства — рут будет безопасен.
                                                                                            +1
                                                                                            Нет, не означает. Разберитесь в вопросе сначала.
                                                                                            У вас и так целая пачка рутовых процессов работает. И что? Все доступ получают?

                                                                                            Про уязвимости вообще смешно.
                                                                                            Как раз через уязвимости рут получить можно вне зависимости от того, разлочен у вас загрузчик или нет. Посмотрите, например, эпичнейший mtk-su. Обще-линуксовых тоже хватало (2017-8890). И даже частных, типа 2019-2215 или 2020-0041.
                                                                                              0
                                                                                              Почитал. Действительно, оказался неправ, и работает оно по-другому, однако root это безопасным, конечно, не делает. Чтобы сформулировать свою позицию, приведу цитату исследователя безопасности madaidan, одного из разработчиков Whonix:
                                                                                              Rooting your device allows an attacker to easily gain extremely high privileges. Android's architecture is built upon principle of least privilege. By default, unrestricted root is found nowhere in the system thanks to the full system SELinux policy. Even the init system is not unrestricted root. Exposing privileges far greater than any other part of the OS to the application layer is very silly.

                                                                                              It does not matter if you have to whitelist apps that have root. An attacker can fake user input by for example, clickjacking or they can exploit vulnerabilities in apps that you have granted root to.

                                                                                              People often try to argue that if root was insecure then why does Linux allow root. Linux does not have a security model like Android does. On the usual Linux system, gaining root is extremely easy.

                                                                                              Иными словами, наличие root доступа означает потенциально полную компроментацию устройства при наличии любых UI или application layer уязвимостей.
                                                                                          +2

                                                                                          Глянул мельком.
                                                                                          1) changelog стремный, они что, штптные политики SElinux повыбрасывали, пытаясь завести свое полелие под R ?


                                                                                          2) мечты о tee, такие мечты


                                                                                          3) где исходники ?

                                                                                            +1
                                                                                            Нужно было глядеть не мельком.

                                                                                            По сравнению с Linage:
                                                                                            1. Verified boot
                                                                                            2. Rollback protection
                                                                                            3. Full sandboxing
                                                                                            4. Accurate patch levels

                                                                                            Говоря доступным языком, Graphene заточен под безопасность, Linage больше о приватности.

                                                                                            штптные политики SElinux повыбрасывали

                                                                                            Что говорят разработчики:
                                                                                            «The sandbox and system protections are highly reliant on SELinux in Android. It is essentially the entire sandbox and the whole reason virtually nothing in Android has root (even init is restricted). The sandbox is quite important and sadly this is something every OEM does differently. Lineage devices too. However, there are two types of builds you can use with Android (more than that, but two relevant options): user and user-debug builds. User debug builds used in secure variants of Android like stock and secured variants like Graphene or Calyx. The user-debug builds disable portions of the sandbox to allow access for better debugging»

                                                                                            где исходники ?

                                                                                            github.com/GrapheneOS
                                                                                            +1

                                                                                            Когда можно будет достаточно базовые вещи делать на собственном телефоне без рута (посмотреть сохраненные пароли WiFi, полностью запретить кому-нибудь доступ в интернет, т.е. фаервол, решать уверен приложение и как работает), тогда рут будет и не нужен. А пока без рута по сути и телефон не твой.

                                                                                            0

                                                                                            Собственно на 4pda масса товарищей, могущих проконсультировать относительно сбора своей прошивки.
                                                                                            Замена гуглосервисов на micro или pico версию — часть общепринятых практик.
                                                                                            Подбор альтернатив для проприетарных приложений — из той же оперы. F-droid — один из магазинов свободных приложений помогает определиться в выборе нужного ПО.
                                                                                            С рутованным смартфоном даже при установке magisk могут возникнуть трудности при использовании банковских клиентов и оплатой через NFC.
                                                                                            Но и это тоже решаемо.

                                                                                              0
                                                                                              Честно говоря с NFC возникли самые большие проблемы. Раньше можно было использовать приложение тинькоф как клиента NFC, теперь они работают только через Google Pay
                                                                                              +3
                                                                                              Файл hosts может содержать только домены.
                                                                                                –1
                                                                                                s3.amazonaws.com:433
                                                                                                Интересно, а у вас правда что-то на S3 писало файлы напрямую или только читало статику? Обычно у амазона для всяких веб сервисов используется Cloudflare, а не прямой доступ к S3.
                                                                                                Ну и к гуглу это отношения не имеет, у них своё облако и сервисы скорее будут использовать GCP.
                                                                                                  –3
                                                                                                  получил задачу от руководителя: сделай так чтобы телефон android не сливал данные гуглу

                                                                                                  Какой перспективный стартап — затеять такую конкуренцию с Google, чтобы всерьез опасаться утечки ноу-хау… Не иначе, второй Яндекс рождается.
                                                                                                    0
                                                                                                    Перешить основную ось — пол беды. А что делать со осями, которые находятся в защищенных областях? Ведь их (да, их может быть от одной и больше) практически невозможно выковырять с устройства — тем самым производители железяк все еще имеют доступ на устройство.
                                                                                                      0
                                                                                                      Ничего не делать. Это служебные оси, которые нужны для защиты криптографической инфраструктуры (TEE) и связи (baseband firmware).
                                                                                                      0
                                                                                                      Интересно, f-droid.org тоже при каждом обращении отдает 204? (это к возможности его использования вместо других адресов captive порталов)
                                                                                                        0
                                                                                                        А я переживаю, что в топовых китайских гуглофонах отсутствуют сервисы Гугл и после покупки устанавливать подозрительную прошивку совершенно не хочется. Пришлось остановиться на последней модели в сервисами от Гугла.
                                                                                                          0
                                                                                                          можно покупать некитайские топовые

                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                        Самое читаемое