freedbka 25 сентября 2020 в 13:16

Как я избавлялся от Google на Android

Информационная безопасность

Из песочницы

Недавно на работе получил задачу от руководителя: сделай так чтобы телефон android не сливал данные гуглу. Можете представить мой восторг (и предвкушение) ибо спустя 2 недели тестов я вполне уже чувствовал себя человеком который прошивает телефоны на радиорынке (ничего личного, просто не мой профиль). Прочел отличную статью и понабравшись опыта решил немного дополнить. Статья кстати отличная, рекомендую к прочтению.

Давайте рассмотрим несколько альтернативных операционных систем якобы без сервисов гугла, и выясним действительно ли они не общаются с гуглом. Подготовился я к слову основательно, для тестов даже приобрел девайс "pixel 3", так как GrapheneOS работает только с устройствами от google.

Хотел протестировать еще:

/e/ Но к сожалению моего девайса не было в списке
PostmarketOS Та же проблема
PinePhone Было желание приобрести тестовый девайс. Но после обзора на youtube, желание пропало, так как он очень тормозит, и сложно его представить в роли смартфона для повседневного пользования.

GrapheneOS

На первый взгляд система позиционирует себя как максимально безопасная и анонимная. Есть пару нюансов которые мне не понравились:

Нет доступа к root
Отстукивание на серверы Google:
- HTTPS: https://www.google.com/generate_204
- HTTP: http://connectivitycheck.gstatic.com/generate_204
- HTTP fallback: http://www.google.com/gen_204
- HTTP other fallback: http://play.googleapis.com/generate_204

Ничего необычного, этот сервис называется Captive portal используется для андроид с 4 версии. При наличии root можно выбрать другие независимые сервера или на крайняк поднять свой. Но такой возможности нет и приходится довольствоваться услугами google. Также разработчик утверждает что использование других серверов в качестве альтернативы нежелательно, по причине того что телефон будет более узнаваем в толпе, но говорит, что такая функция находится в разработке (правда имеет маленький приоритет)

LineageOS

LineageOS является более популярной операционной системой. Но к ней тоже очень много вопросов. Абсолютно чистая система умудряется стучать гуглу в особо крупных количествах. Вот данные которые я снял со своего маршрутизатора, и сделал небольшую табличку. Маршрутизатор снифил трафик с телефона 3 дня, повторюсь, что телефон я откатил до заводских настоек и нечего не устанавливал и никуда не логинился.

Существует несколько способов ограничить доступ телефона к google:

Использование firewall. В моем случае я использовал afwall+, его можно скачать в магазине f-droid или же в aurora store, который можно скачать там же
Второй способ, менее радикальный и более трудоемкий. Он заключается в подмене сервисов. Настройка на службах альтернатив google.

Каждый способ требует root права. Описывать как их получить не буду, так как есть огромное количество статей на эту тему, и в зависимости от модели телефона инструкция может меняться. Я использовал magisk

Использование firewall

Ну с этим, думаю, понятно. Блокируем все, и разблокируем по мере необходимости (для AFwall+ понадобятся root права). В android 10 добавили модуль Network Stack Permission Config module. Если заблочить данный модуль то система будет говорить что у данной сети нет доступа к интернету.
Тем не менее интернет будет работать в обычном режиме. Так как у меня гугловый девайс Pixel 3, то были подозрения что устройство общается с google на hardware уровне. Но они развеялись после того как заблокировал все и снял дамп с роутера. Результаты показали что за двое суток устройство дальше внутренней сети не ушло.

Подмена сервисов

Необходимо настроить следующие сервисы:

DNS
Captive Portals
WebView
Hostfile

DNS

По дефолту LineageOS использует гугловые dns 8.8.8.8, было бы не плохо заменить их на cloudflare 1.1.1.1. Идеальным решением будет использовать vpn и завернуть туда весь трафик, в противном случае для каждой wifi сети надо будет вбивать руками кастомные dns. Альтернативой является установка приблуды через magisk "CloudflareDNS4Magisk", или какой-либо другой с магазина, но там на свой страх и риск. Как по мне лучше с гугловыми dns, чем в непонятным магазинным софтом.

Captive Portals

Captive portal — сетевой сервис, требующий от подключившегося к сети пользователя выполнить некоторые действия для получения доступа в Интернет. Обычно используется для взимания платы, аутентификации абонента либо показа рекламы. Настроим его что-бы он стучался не на google.

Дальнейшая инструкция подразумевает то, что вы уже получили root через magisk

Присоединяем телефон по USB, запускаем терминал (linux;macos) и заходим в shell, ./adb shell, и переходим в режим админа su. Может отбить: permission denied, в этом случае заходим в magisk и даем shell рута.

Далее вводим следующие команды. Я выбрал заменить google на магазин f-droid

settings put global captive_portal_mode 0
settings put global captive_portal_detection_enabled 0
settings put global wifi_watchdog_on 0
settings put global wifi_watchdog_background_check_enabled 0
settings put global captive_portal_server f-droid.org
settings put global captive_portal_https_server "https://f-droid.org"
settings put global captive_portal_http_server "http://f-droid.org"
settings put global captive_portal_fallback_url "http://f-droid.org"
settings put global captive_portal_other_fallback_urls "http://f-droid.org"

Вы также можете выбрать другой сервер. Ниже будет предоставлено несколько альтернатив, либо же вы можете поднять свой собственный

http://captiveportal.kuketz.de
http://elementary.io/generate_204
http://httpstat.us/204

WebView

Советую заменить браузер на "duck go browser" который можно найти на aurora store

Hosts

Желательно заблокировать следующие сайты в файле hosts. Так как мы блокируем google нужно выбрать другой поисковик, предлагаю этот.

google.com/gen_204
accounts.google.com:443
connectivitycheck.gstatic.com/generate_204
google.com:443
s3.amazonaws.com:433
collector-hpn.ghostery.net:443
cmp-cdn.ghostery.com:443
api.ghostery.net:443
cdn.ghostery.net:433
updates.signal.org:433
googleads.g.doubleclick.net:433
fonts.googleapis.com:433
api.cleanapk.org:433
clientservices.googleapis.com:443
ssl.google-analytics.com:443
bahn.de:443
deutschebahn.sc.omtrdc.net:443
assets.adobedtm.com:443
cdn.optimizely.com:443
settings.crashlytics:443
firebaseremoteconfig.googleapis.com:433
graph.facebook.com:433
http://xtrapath1.izatcloud.net/xtra3grcej.bin
http://xtrapath2.izatcloud.net/xtra3grcej.bin
http://xtrapath3.izatcloud.net/xtra3grcej.bin

Выводы:

Огромное количество информации сливается даже при кастомных прошивках которые, позиционируют себя как свободные от google. А по факту когда снимаешь дамп трафика то мягко говоря удивляешься.

P.S.

Если вы выберете второй способ, то все-равно не пренебрегайте использованием firewall, я неделю проверял данные с роутера, пробовал разные варианты (что будет если заблокировать эту службу, а что если эту). Оказалось что это самый надежный способ. Как и любая настройка firewall, блокируем все, разблокируем по надобности.

P.P.S.

Изучал вопрос приватности и решил поделится с Хабром, так как Хабр часто делится со мной. Может кому-то это будет полезно. Спасибо если дочитали до конца.

Теги:

Хабы:

Информационная безопасность

Комментарии 110

tea1975 25 сентября 2020 в 13:35
+8
Ждём избавления от Microsoft на Windows
- KuroElfenLied 25 сентября 2020 в 13:47
  +4
  Уже есть, называется Windows 10 Ameliorated
  - AH89 25 сентября 2020 в 14:11
    
    +5
    Да, великолепная замена:
    
    However, AME does not allow for the installation of critical security patches, by means of regular Windows Updates,
    ,
    а главное: где гарантия того, что замена тоже ничего не сливает «налево»? :-)
    - dvrpd 25 сентября 2020 в 23:26
      
      0
      
      а главное: где гарантия того, что замена тоже ничего не сливает «налево»? :-)
      Имеется инструкция по сборке своего образа из официальной винды.
      - sumanai 26 сентября 2020 в 09:25
        
        +6
        
        XP можно собрать из исходников ))
        
        Oplkill 26 сентября 2020 в 13:32
        
        0
        
        интересно дождаться независимых аудитов кода хр, на предмет того была ли эта система без встроенного шпионства и бэкдоров
        
        remzalp 28 сентября 2020 в 10:59
        
        0
        
        Мне интересно, бригаде какого размера это будет под силу? Всё же там наверняка много легаси начиная с NT3.5, горы мертвого кода, множество веселых костылей. Это всё добро писалось лет 10, за сколько его адекватно сумеет понять команда аудита?
  - dartraiden 25 сентября 2020 в 14:31
    
    +5
    И ещё куча подобных «сборочек от Васянапро2k20» на любом торрент-трекере.
- imm вчера в 13:39
  0
  айфон без эппл уже сделали
interprise 25 сентября 2020 в 13:44
0
Интересно, куда и зачем «стучит» LineageOS
- freedbka 25 сентября 2020 в 14:00
  +1
  Куда ясно… А зачем? По зашифрованному трафику не сильно много разберёшь… Надо будет чуть позже провести «mitm»
  - snp 25 сентября 2020 в 14:30
    
    +12
    Вы ставили LineageOS готовый имидж с сайта или собирали сами? Я себе собирал без приложения «Updater» и без Google Apps — в итоге из всего упомянутого с посте списка оно стучалось лишь в ожидаемые места ("generate_204", обновления AGPS, NTP, может ещё куда-то). И всё это можно отключить штатными настройками.
    - freedbka 25 сентября 2020 в 14:43
      
      0
      
      Ставил имидж с сайта. Спасибо за информацию. На выходных попробую собрать сам. Я даже не подумал об этом. Не зря статью решил опубликовать)
      - snp 25 сентября 2020 в 14:50
        
        +1
        
        Рекомендую сниффить DNS запросы, тогда становится понятнее, куда стучится. Например, обновления AGPS — там вначале он по одному урлу идёт, потом его редиректит на CDN.
        
        Если есть силы в код лезть, то можно за основу взять LineageOS и надёргать интересных патчей из других, например https://github.com/CopperheadOS
        
        Кстати, CopperheadOS, кажется, на Pixel 3 должна работать тоже. Но собранную продают за деньги. Зато все исходники на гитхабе есть, можно собрать её.
        
        freedbka 25 сентября 2020 в 18:08
        
        0
        
        Спасибо! гляну что это за покемон)
- nobodysu 26 сентября 2020 в 02:53
  0
  Вот мои изыскания.
  Также firestore.googleapis.com зачем-то обрабатывает линки в приложениях (Webview?).
  И в схожей по тематике теме писали что www.google.com — это блоб в Требушете.
lokkiuni 25 сентября 2020 в 13:45
+1
Captive Portal я бы не менял по соображениям совместимости с гостевыми сетями WiFi
- freedbka 25 сентября 2020 в 14:31
  –1
  Если сервер доступен, а у надежных провайдеров типа f-droid я думаю высокий показатель, то проблем быть не должно. Единственное в чем я неуверен и надо сходить протестить куда-то, это как оно будет работать в той ситуации когда у гостевой сети есть хотспот с рекламой, к примеру аэропорт. В любом случае пользоваться гостевыми wifi сетями не лучшая затея.
  - dartraiden 25 сентября 2020 в 14:33
    
    +3
    Если сервер доступен, а у надежных провайдеров типа f-droid я думаю высокий показатель
    Вы не учитываете ограничения доступа из России.
    У 7-zip.org тоже был высокий показатель, это не помешало ему быть недоступным несколько лет, за компанию с Telegram.
  - snp 25 сентября 2020 в 14:39
    
    0
    Формально, captive portal должен при любом обращении на 80/443 порт редиректить на веб страничку. Разными способами это делается.
    
    Но мне встречались хотспоты, которые просто режут обращение, например, на ya.ru или любой другой сайт. Но при этом правильно реагируют на известные урлы типа google/generate_204 (не пробовал apple'овский).
    - freedbka 25 сентября 2020 в 14:46
      
      0
      
      Значит моя теория по поводу того что с хотспотами могут быть проблемы верна ) Спасибо за коментарий!
      - lokkiuni 25 сентября 2020 в 14:50
        
        0
        
        Да, именно эту проблему я и имел в виду)
    - alexxz 25 сентября 2020 в 23:02
      
      0
      
      Как можно с 443 порта делать редирект, если там https? Вы же не сможете ответиь от имени гугла....
      - tmin10 26 сентября 2020 в 12:36
        
        0
        
        Можно ответить простым http, скорее всего вас поймут.
        
        alexxz 26 сентября 2020 в 15:46
        
        +3
        
        Ммм, а в какой момент отвечать? Это ж не http соединение, где клиент сразу после TCP хендшейка шлёт что ему надо. В https должно сначала установиться безопасное соединение. Без этого клиент не расскажет, что ему надо.
      - snp 26 сентября 2020 в 21:32
        
        0
        
        С неправильным или самоподписанным сертификатом — «кушайте, что дают». В Азии и не такое можно найти. Не знаю, работает ли такое на телефонах, т.к. с ноутбука curl'ом смотрел.
    - sleirsgoevy 26 сентября 2020 в 00:32
      
      0
      
      Ммм, то есть если у меня девайс не детектит captive portal, то чтобы хоть как-то залогиниться в такой сетке нужно зазубрить адреса всевозможных generate_204? Интересненько…
      - tmin10 26 сентября 2020 в 12:38
        
        0
        
        А зачем зубрить? Просто на любой http выдавайте переадресацию на своб страницу авторизации, на https можно попробовать тоже http ответ отдавать. первым от самый запрос на captive portal и поймаете, скорее всего.
- sumanai 26 сентября 2020 в 09:27
  0
  Я его вообще вырубил, приватность дороже условно бесплатного WiFi.
  - tmin10 26 сентября 2020 в 12:38
    
    0
    Иногда бывают ситуации, когда надо подключиться к сети, а есть только такой публичный wifi.
AH89 25 сентября 2020 в 14:05
+3
Занимательная статья. +1. Рассказали бы тогда заодно уж и о том, как и чем смогли заменить
1) Youtube App
2) Google Drive App
3) Google Photos App
4) Google Keep App
и главное, стоило ли оно того? Особенно когда действительно все проблемы можно решить установкой хорошего Firewall поверх системы.
- freedbka 25 сентября 2020 в 14:18
  +5
  Спасибо! Это сугубо лабораторная для уникальных кейсов.
  Что касается Youtube app, то есть альтернативные плееры в aurora store. Но при этом не получится туда залогиниться и подключить свой «youtube premium». Что касается остальных сервисов я ими не пользовался, не могу ответить.
  К сожалению приватность требует жертв… Тут решать вам, стоят ли эти неудобства того или нет
  - AH89 25 сентября 2020 в 14:46
    
    0
    Замена конечно есть, это Вы правильно написали. Только насколько они будут безопасней в плане приватности по сравнению с оригинальными решениями от Гугл, или где гарантия того, что через 3-6 месяцев, набрав популярность, не начнут сливать данные налево? ;-) А потому задача может легко превратиться в борьбу с ветряными мельницами. Вообще, меня ваша лабораторная немного пугает и смешит своей параноидальностью, это ведь что-то из серии: «Наш человек должен будет пробраться в самый тыл врага, выполнить миссию и по возможности вернуться назад незамеченным. Что нам для этого понадобится?».
    - snp 25 сентября 2020 в 14:52
      
      0
      
      Решается отключением WiFi и 3G/4G данных.
      - AH89 25 сентября 2020 в 14:58
        
        0
        
        Вот именно. +1. Без отключений всяких Гуглов. И желательно не пить чай в пути, чтоб не отравиться Новичком ))
        
        snp 25 сентября 2020 в 15:08
        
        0
        
        Хорошо быть Неуловимым Джо!
        
        dmitrmax 25 сентября 2020 в 16:29
        
        +1
        
        В шапочке из фольги)
        
        freedbka 25 сентября 2020 в 16:35
        
        0
        
        Неуловимый, потому-что нафиг никому не нужен :D?
        
        AH89 25 сентября 2020 в 17:38
        
        +3
        
        Ваша статья — это ведь результат поиска компромисса между малым бюджетом и игрой в приватность. Если так хочется спрятаться от Гугл, то проще купить что-нибудь на iOS или BlackBerry. Хотя я понимаю, что если с детства смотреть фильмы про Штырлица и увлекаться шпионскими романами, в которых наш разведчик, переодевшись собакой, проникает в святая святых потенциального врага и остаётся незамеченным, то понимание «проще» может быть немного другим :=)
        
        BD9 25 сентября 2020 в 23:44
        
        –1
        
        Чё?!!!
        Яблоко завсегда сольёт всё АНБ и прочим.
        
        BlackBerry давно на Андроиде, смартфоны собираются китайцами.
        
        In 2015, BlackBerry re-focused its business strategy and began to release Android-based smartphones, beginning with the BlackBerry Priv slider and then the BlackBerry DTEK50.
        
        2020: компания TCL Communication приняла решение о прекращении производства и продажи смартфонов марки BlackBerry, продажи завершатся 31 августа 2020; компания обязуется осуществлять поддержку и гарантийное обслуживание всех проданных до этого времени устройств до 31 августа 2022 года.[11]
        
        LynXzp 26 сентября 2020 в 00:08
        
        0
        
        Ну не «завсегда», но сольет данные на ура если посчитает вас преступником (вон недавно Apple сказали что будут сканировать личные фото и если найдут в них издевательства над детьми то сами настучат в FBI). Но в любом случае Apple гораздо лучше в плане приватности Android или Windows, по крайней мере и позиционирует себя так и не было замечено ничего вопиющего. С другой стороны девайсы Apple отвязать от Apple посложнее будет чем Android от гугла.
        
        Zman 26 сентября 2020 в 02:33
        
        0
        
        Невозможно отвязать полностью от эпол и полноценно пользоваться устройством. Разве, что старые маки до 2015 гю. вкл.
        
        ne_kotin 26 сентября 2020 в 00:25
        
        +2
        
        Яблоко завсегда сольёт всё АНБ и прочим.
        
        Ага, поэтому ФБР ходило к Cellebrite и платило деньги за взлом айфона пять-си одного поехавшего стрелка?
        Эппл при запросе из ФБР дать им бэкдор или модифицированную версию айоси для форензики — послали фбр-овечек далеко-далеко, и ничего им не было.
        
        sumanai 26 сентября 2020 в 09:29
        
        –1
        
        Очевидно, послали их на универсальном бекдоре на все устройства. По запросу на конкретную личность они сливают всё что у них есть и даже гордятся скоростью.
        
        ComodoHacker 26 сентября 2020 в 13:06
        
        0
        
        Тут нужно добавить, что по законному запросу суда. Который, в отличие от некоторых других судов, требует веские основания.
        
        funca 26 сентября 2020 в 16:24
        
        +1
        
        Это была публичная история, которая красиво подняла рейтинги и надолго оставила след в массовой мифологии. А тот девайс федералы потом взломали.
        
        Nalivai 26 сентября 2020 в 12:59
        
        0
        
        У BlackBerry все еще есть телефоны на своей оси, это специальная серия на Андроиде
        
        SpiderEkb 27 сентября 2020 в 08:20
        
        0
        
        А вы поищите старые, доандроидные, Blackberry. Тот же Z30 еще можно найти на ебее или али (как минимум, refubrished, но для экспериментов хватит).
        
        Там стоит Blackberry OS 10 (последняя версия 10.3.3) которая по сути своей есть QNX 8.0.0 (так она откликается на uname -a в терминале).
        
        В дополнение к тому там есть подсистема андроид 4.3 с полностью выпиленными гуглосервисами.
        
        Т.е. там можно ставить как нативные приложения (написанные на C++ + Qt) из их родного магазина BB World (вроде бы все еще действует), так и андроидные (те, что не привязаны к гуглосервисам) из Amazon AppStore или иных альтернативных источников или прямо в виде apk.
        
        Правда, там нет понятия root. Нигде не видел свидетельств того, что кому-то удалось самостоятельно получить права суперпользователя на QNX.
        
        Кстати, Blackberry сервера заблокированы в РФ. Так что для получения Blackberry ID (нужен, например, чтобы что-то устанавливать из BB World), необходимо на телефоне поднимать VPN (что несложно — у того же ZoogVPN все настройки опубликованы на сайте, если бесплатный аккаунт на 2Гб в месяц, платный без ограничений тоже недорог — $30 на два года).
        
        Боишься что кто-то чего-то куда-то сливает — просто отключаешь автозапуск VPN и вперед. Включишь руками только когда это реально нужно.
    - ZetaTetra 25 сентября 2020 в 16:42
      
      +2
      
      Только насколько они будут безопасней в плане приватности по сравнению с оригинальными решениями от Гугл
      
      Распределённостью.
      
      Если Гугл решит сливать данные налево, то уйдут все данные.
      Если один из владельцев стороннего сервиса решит сливать данные, то уйдёт только часть данных.
      - AH89 25 сентября 2020 в 18:05
        
        0
        
        :-) Знаете, вот меня на занятиях по информационной безопасности в университете учили немного по-другому оценивать риски слива: чем больше разных вендоров, каждый из которых заменяет какой-то модуль одного крупного вендора (типа Гугл), тем больше вероятность слива у какого-то одного или нескольких из них (да, Вы правы, могут уйти не все данные, а часть, но не факт...). А что касается психо-паттерна «не доверяю Гугл», то смотрите мой комментарий выше про альтернативы на iOS и BlackBerry, либо другие.
        
        LynXzp 26 сентября 2020 в 00:01
        
        0
        
        Если человек А знает что кто-то это Вася Пупкин проживающей по улице Строителей, а человек В знает что кто-то это тренер который вышел с тюрьмы за то что рядом с девочкой на лавочке посидел это одно дело. А когда обоими этими данными обладает одно лицо то это уже совсем другое. Как раз на ИБ этому тоже учили. Что если можно разделить информацию на части и утечка одной из частей не является критичной — то нужно дробить и максимально сильнее. (Хотя это речь была о сотрудниках — чтобы никто не знал полной картины, а каждый только свою часть, и максимально ограничивая человека в доступах. Например два ключа для запуска ракеты. N частей пароля у N*(1-2) человек.)
        
        ZetaTetra 26 сентября 2020 в 09:53
        
        0
        
        да, Вы правы, могут уйти не все данные, а часть, но не факт...
        
        Да, может и не всё утечёт, а только часть у одного вендора.
        Но факт, что утечёт только часть данных.
        
        смотрите мой комментарий выше про альтернативы на iOS и BlackBerry, либо другие
        
        Не уловил причинно-следственной связи между обеспечением распределённости и смены одного централизованного обработчика данных на другого.
        Конкретно: Смена гугла на iOS/Blackberry — не добавит распределённости.
        
        AH89 26 сентября 2020 в 11:36
        
        +1
        
        Да, может и не всё утечёт, а только часть у одного вендора.
        Но факт, что утечёт только часть данных.
        
        Я имел в виду, что если набрать в поисковике новостной заголовок типа «Google deletes another 25 Android apps caught stealing user data, including Facebook credentials», то легко понять масштаб существующей проблемы: есть масса приложений, которые воруют и отправляют не только свои (необходимые для их функционирования), но и чужие данные, относящиеся к другим приложениям. Хотя топик-стартер Фейсбуком не пользуется и блокирует его, поэтому может счесть пример непоказательным :-) Статья у него все равно интересная, какие бы сомнения вокруг ее полезности не существовали.
        Кстати, насколько эффективнее по сравнению с Корпорацией Добра работает команда F-Droid по обнаружению таких приложений в своем маркетплейсе — это тоже хороший вопрос, ибо топик-стартер нативный гугловский маркетплейс поспешил поменять, как мне кажется, несильно вдаваясь в этот вопрос, а то что хрен редьки может оказаться не слаще — это всплывет позже, когда выяснится что в отличие от гугловского маркетплейса ворующие пароли приложения пролежали в Ф-Дроид маркете на 1 неделю дольше…
        
        sumanai 26 сентября 2020 в 11:48
        
        0
        
        В F-Droid открытый код и повторяемые сборки. Там будет сложно разместить каку.
        
        ZetaTetra 28 сентября 2020 в 15:44
        
        0
        
        Google deletes another 25 Android apps caught stealing user data, including Facebook credentials
        
        Это мальца не в тему, ибо речь идёт о приложениях, которые просили войти через ФБ. Они так и форму входа через Google могли показывать.
        
        У меня, в качестве хобби, есть проект на эту тему, который старается распаковывать (apk, dex, pe, so) и искать подозрительные закладки:
        execinfo.ru
        
        Но пока он шибко неавтоматизирован.
    - psydvl 26 сентября 2020 в 06:42
      
      +1
      
      Для ютуба есть опенсорсный NewPipe и он довольно долго уже существует.
      Но иногда перестает работать из-за того что гугл меняет алгоритм.
      Но это не часто и в принципе вполне жизнеспособный вариант.
      - Fr0sT-Brutal вчера в 10:39
        
        0
        
        Я пытался его применять в течение полугода, и на один день срабатывания было три дня ошибки :( потом надоело. Автор молодец, но гугель уж очень часто что-то там подкручивает
  - vikarti 26 сентября 2020 в 05:43
    
    +1
    есть например newpipe с f-droid store
- Neusser 25 сентября 2020 в 14:56
  +2
  Смотря что именно вам нужно от каждого из приложений. Так-то видео можно и в браузере смотреть, фотографии в любой галерее по вкусу, для заметок/напоминаек тоже полно приложений.
  - unwrecker 25 сентября 2020 в 15:28
    
    0
    А кстати, что есть из заметок/напоминалок, использующих персональный сервер?
    - lokkiuni 25 сентября 2020 в 17:17
      
      0
      
      Exchange-совместимые вам в помощь ;)
    - Loki3000 25 сентября 2020 в 17:57
      
      +1
      
      Nextcloud и небольшая россыпь открытых приложений для взаимодействия с ним.
      - centralhardware 26 сентября 2020 в 06:39
        
        –1
        
        А будет ли мобильное приложение если речь идёт о nextcloud?
        
        Loki3000 26 сентября 2020 в 11:05
        
        0
        
        Да, много разных.
    - aigoncharov 26 сентября 2020 в 01:20
      
      0
      
      Joplin
- Oplkill 26 сентября 2020 в 13:37
  0
  1) youtube vanced
  2) яндекс диск
dartraiden 25 сентября 2020 в 14:28
+4
Изучал вопрос анонимности и решил поделится с Хабром

С анонимностью это ничего общего не имеет. Анонимность — это не выделяться из большинства. Если 90% устройств определяют тот же captive portal через Google, то и вам придётся.

То, что вы имели в виду, называется «приватность».
- freedbka 25 сентября 2020 в 14:32
  0
  Спасибо за замечание. Сейчас поправлю
AChep 25 сентября 2020 в 15:38
+3
Странно что сразу не нашли связку LineageOS + MicroG.
CrazyOpossum 25 сентября 2020 в 15:42
+2
Как решили вопрос с геолокацией и пушами?
- Fr0sT-Brutal 28 сентября 2020 в 12:12
  0
  Геолокация через GPS, на современных чипах задержка позиционирования не особо критична. Есть альтернативные сервисы локации по вышкам, на том же f-droid, но мне не удалось заставить их работать.
TheGodfather 25 сентября 2020 в 15:50
–1
collector-hpn.ghostery.net:443
cmp-cdn.ghostery.com:443
api.ghostery.net:443
cdn.ghostery.net:433

Чем не угодила тула, сделанная *специально* для блокировки всяких трекеров и предотвращения утечки персональных данных и вообще слива вашей информации куда бы то ни было?
- Peter_Riviera 25 сентября 2020 в 16:25
  +8
  > ghostery
  
  Они уже давно зашкварились, не дезинформируйте окружающих.
  - Physmatik 27 сентября 2020 в 22:05
    
    +1
    А можно подробнее?
nail84 25 сентября 2020 в 15:51
+3
А можно было просто новые телефоны Хуавей купить. Туда захочешь — Гугл-сервисы не поставишь.
- 1delovoj1 25 сентября 2020 в 16:45
  0
  Поддерживаю! Сервисы то поставишь, но с бубном. И функция клон приложения просто бомба. Два вайбера, два ватсапа на каждую карточку свой. Приложения ставлю ручками, без магазинов.
- androidovshchik 25 сентября 2020 в 17:08
  +5
  Меняем американские зонды на китайские, так? Лично мне Китай кажется опаснее
  - Fedorkov 25 сентября 2020 в 21:40
    
    +2
    Для среднего хабровчанина необходимость оказаться в американской юрисдикции гораздо вероятнее, чем в китайской.
    - booyakacrew 26 сентября 2020 в 06:01
      
      +2
      
      В американской юрисдикции на порядки ниже риск задержания: нужно, к примеру, торговать оружием, в то время, как в Китае достаточно запостить что-то против CCP/Пуха.
      - Fedorkov 26 сентября 2020 в 08:41
        
        +3
        
        Рассказывая про свою работу в Женеве, Сноуден упоминал, что был в шоке от того, с какой лёгкостью его коллеги были готовы ломать судьбы людей, если была хоть малейшая вероятность извлечь пользу для себя.
- vikarti 26 сентября 2020 в 05:44
  0
  там свои сервисы от хаувей
dmitrmax 25 сентября 2020 в 16:30
0
neverssl.com как captive тоже можно
HackcatDev 25 сентября 2020 в 17:14
+2
Уже писал на эту тему на Хакере (https://xakep.ru/2019/06/28/android-privacy/), но повторюсь. Подавляющее большинство того, что у автора "ой, а гугл следит" не представляет абсолютно никакой угрозы, и решается удалением GApps. Жизнь без них вполне себе возможна. А на полном серьезе рассказывать, что кто-то будет следить через пустой generate_204 — даже не смешно уже
- freedbka 25 сентября 2020 в 17:14
  +1
  Прочту вашу статью. Спасибо)
- simplix 26 сентября 2020 в 01:28
  0
  Перед тем как давать ссылку убедитесь что статья открывается не только у вас.
- nobodysu 26 сентября 2020 в 02:44
  0
  Как сейчас не знаю, но раньше на generate_204 Гугл получал сравнительно уникальный юзер агент. Т.о. это информация: таймстамп, ИП, почти уникальный ID.
  - HackcatDev вчера в 22:33
    
    0
    IP толком ничего не дает, кроме иногда города, и тот не всегда корректно определяется. Время запроса определяет тоже примерно ничего. Юзерагент одинаковый для всех телефонов данной партии, а частенько (когда производитель забивает на обновления) и для всей модели. В любом случае, без этого 204 некорректно работает детект Captive Portal, так что со сферическим фингерпринтингом по IP в вакууме придется смириться
Darkhon 25 сентября 2020 в 18:05
0
А почему updates.signal.org попал в список блокировки?
v1000 25 сентября 2020 в 18:18
0
Как альтернатива — можно купить телефон от Huawei и попробовать как оно без гугла «из коробки» (sarcasm) Хотя если честно — почитал как народ мучается — так что не советую.
- sumanai 26 сентября 2020 в 09:32
  0
  А я вот сам удалил (ну как удалил, через Magisk скрыл) все эти ваши гугл сервисы и доволен как слон.
Jipok 25 сентября 2020 в 18:18
+3
А в чём принципиальное различие DNS cloudflare от гугловского?
IGR2014 25 сентября 2020 в 18:55
+3
Ну да, главное чтоб Американский Гугл не получил данные. А вот Китайской разведке через китайские прошивки — это нездоровье))
[sarcasm]
ComodoHacker 25 сентября 2020 в 21:46
0
подготовился основательно
Нет упоминания microG

Подготовился плохо.
Num 25 сентября 2020 в 23:26
–1
На первый взгляд система позиционирует себя как максимально безопасная и анонимная. Есть пару нюансов которые мне не понравились:

Нет доступа к root

GrapheneOS по объективным характеристикам самая секъюрная ОС в данный момент, одним из факторов которого является возможность блокировки загрузчика, пользуясь Verified Boot.
Наличие root-доступа на устройстве это очень грубая ошибка с точки зрения безопасности, именно поэтому в GrapheneOS его нет.

generate_204

Жуть то какая!
- screwer 25 сентября 2020 в 23:36
  +1
  если получение рута требует интеракции с пользователем — никакой проблемы нет
  - nobodysu 26 сентября 2020 в 02:34
    
    0
    techgenix.com/android-clickjacking
    - tmin10 26 сентября 2020 в 12:42
      
      +2
      
      Можно просить пользователя ввести рутовый пароль, как на всех линуксовых системах. Случайно пароль ввести проблематично.
  - Num 26 сентября 2020 в 19:05
    
    0
    Наличие root доступа означает, что любой зверь с уязвимостью эскалации прав получит полный доступ к девайсу (accessibility service).
    Если вас устраивает подобный риск и вы полностью уверены в отсутствии уязвимостей своего устройства — рут будет безопасен.
    - screwer 27 сентября 2020 в 19:28
      
      +1
      
      Нет, не означает. Разберитесь в вопросе сначала.
      У вас и так целая пачка рутовых процессов работает. И что? Все доступ получают?
      
      Про уязвимости вообще смешно.
      Как раз через уязвимости рут получить можно вне зависимости от того, разлочен у вас загрузчик или нет. Посмотрите, например, эпичнейший mtk-su. Обще-линуксовых тоже хватало (2017-8890). И даже частных, типа 2019-2215 или 2020-0041.
- screwer 25 сентября 2020 в 23:45
  +2
  Глянул мельком.
  1) changelog стремный, они что, штптные политики SElinux повыбрасывали, пытаясь завести свое полелие под R ?
  
  2) мечты о tee, такие мечты
  
  3) где исходники ?
  - Num 26 сентября 2020 в 19:13
    
    +1
    Нужно было глядеть не мельком.
    
    По сравнению с Linage:
    
    Verified boot
    
    Rollback protection
    
    Full sandboxing
    
    Accurate patch levels
    
    Говоря доступным языком, Graphene заточен под безопасность, Linage больше о приватности.
    
    штптные политики SElinux повыбрасывали
    
    Что говорят разработчики:
    «The sandbox and system protections are highly reliant on SELinux in Android. It is essentially the entire sandbox and the whole reason virtually nothing in Android has root (even init is restricted). The sandbox is quite important and sadly this is something every OEM does differently. Lineage devices too. However, there are two types of builds you can use with Android (more than that, but two relevant options): user and user-debug builds. User debug builds used in secure variants of Android like stock and secured variants like Graphene or Calyx. The user-debug builds disable portions of the sandbox to allow access for better debugging»
    
    где исходники ?
    
    github.com/GrapheneOS
ashed 26 сентября 2020 в 09:37
0
Собственно на 4pda масса товарищей, могущих проконсультировать относительно сбора своей прошивки.
Замена гуглосервисов на micro или pico версию — часть общепринятых практик.
Подбор альтернатив для проприетарных приложений — из той же оперы. F-droid — один из магазинов свободных приложений помогает определиться в выборе нужного ПО.
С рутованным смартфоном даже при установке magisk могут возникнуть трудности при использовании банковских клиентов и оплатой через NFC.
Но и это тоже решаемо.
- interprise 26 сентября 2020 в 11:30
  0
  Честно говоря с NFC возникли самые большие проблемы. Раньше можно было использовать приложение тинькоф как клиента NFC, теперь они работают только через Google Pay
peter23 26 сентября 2020 в 17:28
+3
Файл hosts может содержать только домены.
tmin10 26 сентября 2020 в 18:19
–1
s3.amazonaws.com:433
Интересно, а у вас правда что-то на S3 писало файлы напрямую или только читало статику? Обычно у амазона для всяких веб сервисов используется Cloudflare, а не прямой доступ к S3.
Ну и к гуглу это отношения не имеет, у них своё облако и сервисы скорее будут использовать GCP.
DoctorMoriarty 26 сентября 2020 в 21:39
–2
получил задачу от руководителя: сделай так чтобы телефон android не сливал данные гуглу

Какой перспективный стартап — затеять такую конкуренцию с Google, чтобы всерьез опасаться утечки ноу-хау… Не иначе, второй Яндекс рождается.
vitalvas 27 сентября 2020 в 01:25
0
Перешить основную ось — пол беды. А что делать со осями, которые находятся в защищенных областях? Ведь их (да, их может быть от одной и больше) практически невозможно выковырять с устройства — тем самым производители железяк все еще имеют доступ на устройство.
- ne_kotin 27 сентября 2020 в 13:22
  0
  Ничего не делать. Это служебные оси, которые нужны для защиты криптографической инфраструктуры (TEE) и связи (baseband firmware).
gdt 27 сентября 2020 в 16:20
0
Интересно, f-droid.org тоже при каждом обращении отдает 204? (это к возможности его использования вместо других адресов captive порталов)
servekon сегодня в 01:31
0
А я переживаю, что в топовых китайских гуглофонах отсутствуют сервисы Гугл и после покупки устанавливать подозрительную прошивку совершенно не хочется. Пришлось остановиться на последней модели в сервисами от Гугла.