AlexeyN
ProCrd
- Регистрация
- 08.09.15
- Сообщения
- 116
- Реакции
- 73
- Баллы
- 28
Статья не моя, нашел на просторах. Думаю интересна будет для многих. И так:
В целом смартфон — это просто решето, через которое течет все и всегда. К счастью, многие из его дыр мы таки можем заварить.
СМАРТФОН ПОД УПРАВЛЕНИЕМ ANDROID И CYANOGENMOD
Очевидно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие глупое. Нет исходников — нет доказательств отсутствия бэкдоров. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гуглофон. И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки CyanogenMod и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры).
Когда эти требования будут выполнены, берем смартфон в руки, получаем root (как это сделать, мы писали много раз), регистрируемся в Google play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно отказываемся от установки Google Apps. Их придется принести в жертву богу конфиденциальности.
Еще одно преимущество CyanogenMod перед стоковой прошивкой — это SELinux, активированный по умолчанию. SELinux представляет собой систему принудительного контроля доступа к функциональности ядра ОС, которая работает ниже Android и не распространяется на стандартные пользовательские приложения. Это своего рода аналог Privacy Guard для различных низкоуровневых сервисов.
SELinux строго ограничивает возможности таких сервисов, не позволяя им совершить действия, для которыхони не предназначены. Другими словами, если вирус вызовет переполнение буфера в adbd, rild или любом другом нативном сервисе, чтобы повысить свои права в системе, SELinux пресечет такую попытку. Второй важный плюс SELinux — блокировка бэкдоров, которые могут быть вшиты в проприетарные библиотеки и сервисы, не имеющие открытых аналогов (практически любая сборка CyanogenMod включает в себя проприетарные компоненты от производителя смартфона или мобильного чипа).
После первой загрузки CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики. От выполнения этих процедур, естественно, следует отказаться. Далее приступаем к первичной настройке прошивки. Идем в настройки и отмечаем следующие пункты:
1. Беспроводные сети – Еще – NFC – Отключить.2. Безопасность – Блокировка экрана – PIN-код.3. Безопасность – Неизвестные источники.
Ничего необычного, стандартные опции. Далее нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя, подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального, случайные координаты и прочее. Чтобы его активировать, идем в «Настройки – Конфиденциальность – Защищенный режим» и включаем опцию «Защищенный режим по умолчанию». Теперь он будет активироваться для всех устанавливаемых приложений.
privacy-guard02
Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол). По умолчанию Privacy Guard настроен таким образом, чтобы спрашивать юзера каждый раз, когда приложение пытается получить доступ к личным данным (это видно на скриншоте «Privacy Guard в действии»). Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу).
privacy-guard
Последний шаг — включение шифрования памяти смартфона. Это действие не относится к утечкам данных в Сеть, но оно поможет в случае кражи смартфона. Чтобы это сделать, запускаем терминал и набираем две команды:
Первая команда: $ su
Вторая команда: vdc cryptfs enablecrypto inplace ПАРОЛЬ
Смартфон уйдет в перезагрузку и зашифрует данные приложений. После этого при каждом включении смартфона придется вводить пароль для их расшифровки. Ту же операцию, кстати, можно сделать и через настройки, но в этом случае пароль расшифровки будет совпадать с ненадежным четырехзначным PIN-кодом экрана блокировки.
Ну, вот и все. Если тема будет интересна, расмещу еще материал.
В целом смартфон — это просто решето, через которое течет все и всегда. К счастью, многие из его дыр мы таки можем заварить.
СМАРТФОН ПОД УПРАВЛЕНИЕМ ANDROID И CYANOGENMOD
Очевидно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие глупое. Нет исходников — нет доказательств отсутствия бэкдоров. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гуглофон. И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки CyanogenMod и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры).
Когда эти требования будут выполнены, берем смартфон в руки, получаем root (как это сделать, мы писали много раз), регистрируемся в Google play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно отказываемся от установки Google Apps. Их придется принести в жертву богу конфиденциальности.
Еще одно преимущество CyanogenMod перед стоковой прошивкой — это SELinux, активированный по умолчанию. SELinux представляет собой систему принудительного контроля доступа к функциональности ядра ОС, которая работает ниже Android и не распространяется на стандартные пользовательские приложения. Это своего рода аналог Privacy Guard для различных низкоуровневых сервисов.
SELinux строго ограничивает возможности таких сервисов, не позволяя им совершить действия, для которыхони не предназначены. Другими словами, если вирус вызовет переполнение буфера в adbd, rild или любом другом нативном сервисе, чтобы повысить свои права в системе, SELinux пресечет такую попытку. Второй важный плюс SELinux — блокировка бэкдоров, которые могут быть вшиты в проприетарные библиотеки и сервисы, не имеющие открытых аналогов (практически любая сборка CyanogenMod включает в себя проприетарные компоненты от производителя смартфона или мобильного чипа).
После первой загрузки CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики. От выполнения этих процедур, естественно, следует отказаться. Далее приступаем к первичной настройке прошивки. Идем в настройки и отмечаем следующие пункты:
1. Беспроводные сети – Еще – NFC – Отключить.2. Безопасность – Блокировка экрана – PIN-код.3. Безопасность – Неизвестные источники.
Ничего необычного, стандартные опции. Далее нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя, подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального, случайные координаты и прочее. Чтобы его активировать, идем в «Настройки – Конфиденциальность – Защищенный режим» и включаем опцию «Защищенный режим по умолчанию». Теперь он будет активироваться для всех устанавливаемых приложений.
privacy-guard02
Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол). По умолчанию Privacy Guard настроен таким образом, чтобы спрашивать юзера каждый раз, когда приложение пытается получить доступ к личным данным (это видно на скриншоте «Privacy Guard в действии»). Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу).
privacy-guard
Последний шаг — включение шифрования памяти смартфона. Это действие не относится к утечкам данных в Сеть, но оно поможет в случае кражи смартфона. Чтобы это сделать, запускаем терминал и набираем две команды:
Первая команда: $ su
Вторая команда: vdc cryptfs enablecrypto inplace ПАРОЛЬ
Смартфон уйдет в перезагрузку и зашифрует данные приложений. После этого при каждом включении смартфона придется вводить пароль для их расшифровки. Ту же операцию, кстати, можно сделать и через настройки, но в этом случае пароль расшифровки будет совпадать с ненадежным четырехзначным PIN-кодом экрана блокировки.
Ну, вот и все. Если тема будет интересна, расмещу еще материал.