Задание Написать статью на тему "Слежка в Android и избавление от неё"

Discussion in 'Безопасность и Анонимность' started by GoodGoogle, 30 Nov 2015.

  1. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Сабж указан в названии темы, за хороший мануал вы получите репутацию.

    Мануалы в стиле "Выключите синхронизацию и слежка прекратится" будут игнорироваться.

    Интересуют мануалы в которых будет анализ исходящего и входящего трафика. Действия которые требует предпринять, для того, чтобы информация не сливалась. Анализ системных процессов OS Android на подозрительную активность.

    Ваши работы можно публиковать в данную тему.
     
    #1 GoodGoogle, 30 Nov 2015
    Last edited: 30 Nov 2015
    paranoy777 and dondy like this.
  2. fixerz

    fixerz Active Member

    Joined:
    12 Oct 2015
    Messages:
    94
    Likes Received:
    136
    Reputations:
    3
    Может конечно я чем то буду неправ, а как насчет прошивки CynongenMod?
    Вроде все сервисы гугл вырезаны и сама ось opensource, плюс постоянная поддержка старых устройств. А так конечно было бы очень интересно почитать, что куда стучит...
     
  3. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Нет оснований доверять CynogenMod. В псевдобезопасность и в псевдоанонимность я не верю.
     
  4. Link34

    Link34 Member

    Joined:
    22 May 2015
    Messages:
    30
    Likes Received:
    17
    Reputations:
    40
    Сколько репутации предлагается?
     
  5. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Все зависит от качества предоставленной информации. В первую очередь информация будет фундаментом для многих пользователей форума Античат, что в дальнейшем позволит раскрыть глаза на работу данной OS.
    Пишите не ради репутации, а ради огласки данной проблемы.

    С уважением.
     
  6. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    сейчас на сколько я знаю и проверял можно приложениями заморозки компонентов и файрволами запретить доступы некоторым функциям, естественно этого мало и это временный вариант, так же остаётся сама os - ядро которой и шлёт гуглу инфу.
    интерестно было бы почитать мануал =)
     
  7. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    451
    Likes Received:
    264
    Reputations:
    40
    Советую цепануть WireShark на точку и к ней подцепиться с Android телефона..
    У вас глаза дыбом встанут.
    Даже при условии установки firewall'а, iptables и busybox с правкой init.d для фикса утечки данных при загрузке (представьте - при первичной загрузке android уже шлет данные в сеть) вероятность утечек все равно присутствует, ибо доверять самой google - глупо.
    Вывод - не использовать ведроид.
    Вообще.
    Ему есть альтернативы (тот же sailfish,tizen).
     
    Aleema, lhOsvald and GoodGoogle like this.
  8. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Совершенно верно. Это главная цель, показать людям, что Android передает множество данных, которые не следует передавать.
     
  9. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    652
    Likes Received:
    2,865
    Reputations:
    8
    Данные всегда текли рекой, и будут течь. Мне особенно доставляет когда кто то не понимая всего создаёт приват разделы в соц сетях и выкладывают туда свои сиськи. Наверное наивно пологая что, приват данные в обход законов физики просто телепортируются на страничку.

    Модер у тебя ава говорящая сама за себя.
     
  10. DenisKa16

    DenisKa16 New Member

    Joined:
    1 Dec 2015
    Messages:
    1
    Likes Received:
    2
    Reputations:
    1
    Во-первых люди сами виноваты — часть информации человек указывает в своём профиле, а поисковик умело использует полученные данные. Начнём с самого назойливого — с показа рекламы, на которую вы при правильном таргетировании наверняка обратите внимание. Скажем, вы указали в своём профиле, что вы мужчина. В этом случае Google не будет докучать вам показом косметики, а предложит что-то из той категории товаров, которая наиболее вероятно вас заинтересует: инструменты, автомобили или модели для сборки. Если вы указали дополнительные данные — например, свой возраст, — их тоже примут в расчёт, и реклама будет точнее попадать в цель.

    Можно полностью удалить сервисы google play, play market и тп.

    В документах Сноудена, получившего, напомним, временное политическое убежище в России, шла речь о так называемых приложениях "с утечками" (leaky apps). К ним были отнесены популярнейшая аркада Angry Birds, карты Google Maps, фотохостинг Flickr, микроблоги Twitter и деловая социальная сеть LinkedIn. Утверждалось, что спецслужбы способны добывать из этих программ сведения, предназначемые для рекламных сетей, чтобы те могли "нацеливать" рекламу на конкретную аудиторию и зарабатывать на этом деньги.

    В разделе "Мое местоположение" можно запретить приложениям Google доступ к геоданным. Если вы хотите это же сделать для всех приложений на смартфоне, откройте системные "Настройки" → "Мое местоположение" → "Доступ к моим геоданным". Отключение трекинга внутри Android- приложений аналогично настройкам на iOS. Заходите в каждую программу и отключайте то, что вас не устраивает. Для примера, в браузере Chrome советуем открыть "Настройки" → "Конфиденциальность" → и включить "Запрет отслеживания". Также можно запретить отправлять отчеты об использовании и сбоях.
     
    #10 DenisKa16, 1 Dec 2015
    Last edited by a moderator: 2 Dec 2015
    Jantoni and lhOsvald like this.
  11. serega255

    serega255 Member

    Joined:
    18 Nov 2009
    Messages:
    41
    Likes Received:
    25
    Reputations:
    0
    А если отфильтровать трафик который уходит при включении и работе, поднять свой впни на уровне сервера разрешить выход в сеть определенным адресам. но это даже если получиться, от GSM сигнала куда деться? или от всяких точек доступа? а, вроде когда на вафлю подключаешься, можешь днс прописать. но тогда нужен еще и свой днс сервер. И вот на нем и ставить уже фильтрацию трафика. Не нужно только орать и ругаться))) я в андроидах не силен.
     
  12. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    652
    Likes Received:
    2,865
    Reputations:
    8
    Андройд это вопрос времени. Это Linux система ставится на железо с закрытой админкой. Нечто подобное было и с Симбой, если кто помнит. Не знаю как на Андройде, но на Симбе получения прав суперпользователя было нарушением правил продавца. И где теперь эта Симба?

    Я не вижу особого смысла искать тут какие то решения, ИМХО на 4PDA уже из мусолили всё что могли.
     
    fixerz likes this.
  13. capuletti

    capuletti Member

    Joined:
    19 Jun 2015
    Messages:
    66
    Likes Received:
    43
    Reputations:
    1
    Сколько все пишут, а дельного мана по удалению жучков нету.
    А что использовать кроме как ведроид? Эппл дела не лучше, как минимум начиная с пятерки айфона началась эра неистового пиздеца конфиденциальности.

    все устройства проходят через prism и это жутко напрягает..

    не подкините ли тем с 4pda по этому поводу, что то искал не смог найти.
     
    fixerz likes this.
  14. fixerz

    fixerz Active Member

    Joined:
    12 Oct 2015
    Messages:
    94
    Likes Received:
    136
    Reputations:
    3
    не вдавался в подробности, но как раз многие мои знакомые сисадмины юзают сею прошку, а у них есть как раз таки нелюбовь к отсылу различной инфы.
     
  15. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    652
    Likes Received:
    2,865
    Reputations:
    8
    http://4pda.ru/forum/index.php?showtopic=508427
    http://4pda.ru/forum/index.php?showtopic=622232&st=20

    Ну и вот мне Друзья ещё подкинули ссылок.

    https://f-droid.org/repository/browse/?fdfilter=traffic&fdid=dev.ukanth.ufirewall
    https://github.com/ukanth/afwall/wiki

    Ожидаю ещё пару вариантов...
     
    #15 CKAP, 3 Dec 2015
    Last edited by a moderator: 4 Dec 2015
    Turanchocks_ likes this.
  16. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    652
    Likes Received:
    2,865
    Reputations:
    8
    Компания Zimperium, лидер в области защиты мобильных угроз, представила основную уязвимость в Android – Stagefright . Джошуа Дрейк ( jduck ), вице-президент Platform исследований и эксплуатации и senior в Zimperium zLabs , активно изучал код. Специалистами Zimperium был сделан вывод, что данная уязвимость активно эксплуатируется и несет угрозу безопасности для 950 млн Android-устройств во всем мире.

    http://www.fandroid.info/stagefright-kak-zashhitit-svoj-android-ot-uyazvimosti/
     
    altblitz likes this.
  17. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    70
    Likes Received:
    25
    Reputations:
    10
    Давненько уже вникаю в эту тему.
    Есть много способов,но не один из них не даст 100% анонимности.
    Есть и приложения есть и прошивки для вашей анонимностианонимности,но ничего не даёт 100% результа. Я сегодня подготовлю полезную инфу для данного направления.
     
    CKAP likes this.
  18. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    70
    Likes Received:
    25
    Reputations:
    10
    Сразу все ответы как это сделать!
    Я знаю только один способ и он дал 98% результат!
    И это:
    BlackBerry это не просто звонилка,а целое сочетание сервисов и железа для безопасной real-time синхронизации персональных или корпоративных данных.
    На данный момент есть два типа услуг:
    BIS (личные)
    BES (korp)
    BlackBerry Internet Service — BIS — решение, направленное в первую очередь на физлиц.Это realtime-push-синхронизация, сжатие трафика и конфиденциальность.

    Такую технику используют люди кто действительно должен оставаться в тени.


    Вот так например сценарий о правки сообщения от пользователя А к Б
    [​IMG]
    По этому сценарию происходит синхронизация эл.почт. при приобретении решения BES (BESx)
    Аналогично работают и другие решения.

    Итого

    BlackBerry лучше чем сферический телефон в вакууме тем, что у него «из коробки» идёт нормально настроенная защита, плюс он, опять же, «из коробки» готов работать с корпоративными сервисами. Что касается безопасности, то он обеспечивает один из лучших уровней конфиденциальности в сфере готовых решений.
     
    #18 paranoy777, 31 Jan 2016
    Last edited: 31 Jan 2016
  19. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    70
    Likes Received:
    25
    Reputations:
    10
    Вот ещё немного.
    Понятно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие неблагодарное. Нет открытых исходников — нет доказательств отсутствия скрытых закладок. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гугло-фон.

    И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки CyanogenMod и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры).

    [​IMG]
    CyanogenMod
    Когда эти требования будут выполнены, берем смартфон в руки.регистрируемся
    в Google play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно отказываемся от установки Google Apps. Их придется принести в жертву великому богу конфиденциальности. После
    первой загрузки CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики. Разумеется, от выполнения этих процедур, следует отказаться. Далее приступим к начальной настройке прошивки. Идем в настройки и отмечаем следующие пункты:

    Беспроводные сети ==> Еще ==> NFC ==> Отключить.
    Безопасность ==> Блокировка экрана ==> PIN-код.
    Безопасность ==> Неизвестные источники.
    Ничего особенного, стандартные опции. Потом нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя, подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального, случайные координаты и прочее. Чтобы его активировать, идем в Настройки Конфиденциальность потом Защищенный режим и включаем опцию Защищенный режим по умолчанию. Теперь он будет активироваться для всех устанавливаемых приложений.

    Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол). По умолчанию Privacy Guard настроен таким образом, чтобы спрашивать юзера каждый раз, когда приложение пытается получить доступ к личным данным (это видно на скрине «Privacy Guard в действии»). Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу).
     
  20. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    70
    Likes Received:
    25
    Reputations:
    10
    F-Droid, Tor и Брандмауэр
    Следующий шаг — установка F-Droid, Tor и настройка брандмауэра. Первый нам нужен по причине отсутствия Google play, а также любой его замены, которой мы могли бы доверять. В отличие от них, F-Droid содержит только открытый софт, что фактически дает гарантию безопасности софта. Приложений в репозитории F-Droid немногим больше 1100, но среди них есть практически все, что нужно, включая браузеры, твиттер-клиенты, рабочие столы, виджеты погоды и даже Telegram.

    Orbot Tor (Tor для Android), в свою очередь, позволит нам оставаться анонимными при использовании Сети. Брандмауэр позволит заблокировать входящие соединения и перенаправить трафик всех установленных приложений в Orbot.
    Сначала устанавливаем F-Droid. Для этого достаточно открыть сайт F-Droid со смартфона и скачать последнюю версию клиента. Запускаем его, находим приложение Orbot и устанавливаем. Далее переходим на страницу DroidWall со смартфона скачиваем APK-пакет и устанавливаем.
    Теперь нам необходимо создать набор правил iptables для DroidWall (по умолчанию он умеет только включать/отключать доступ приложений к Сети). Можно было бы сделать это вручную, но ребята из проекта Tor уже все сделали за нас. Достаточно только скачать ZIP-архив, распаковать, подключить смартфон с помощью USB-кабеля и запустить инсталляционный скрипт:
    $./install-firewall.sh
    Работает этот скрипт только в Linux и требует, чтобы был установлен Android SDK, а на смартфоне активирован режим отладки (Настройки О телефоне Семь тапов по пункту Номер сборки, далее Настройки Для разработчиков Отладка по USB).

    Что делает скрипт?

    Добавляет инициализационный скрипт, который блокирует на этапе загрузки системы все входящие и исходящие подключения (во избежание утечек).
    Устанавливает скрипт для DroidWall, позволяющий перенаправить все подключения в Tor (с применением нескольких воркараундов для известных багов Tor).
    Блокирует все подключения извне.
    Устанавливает три скрипта, открывающих доступ к Сети в обход Tor для стандартного браузера, ADB и LinPhone. Первый может понадобиться, если есть необходимость войти в captive portal в открытых WiFi-сетях, второй для возможности удаленной отладки, третий нужен приложению LinPhone, реализующему SIP-клиент с зашифрованным каналом связи.
    Когда все скрипты будут установлены, запускаем DroidWall, переходим в Меню Еще Установить сценарий и вводим в первом открывшемся поле строку . /data/local/firewall-torify-all.sh, нажимаем кнопку «ОК». Возвращаемся на главный экран и отмечаем галочками приложения, которые должны получить доступ к Сети (Orbot можно не отмечать, он и так получит доступ благодаря скрипту). Вновь открываем меню и выбираем пункт «Брандмауэр отключен», чтобы активировать файрвол.
    Затем запускаем Orbot и следуем инструкциям, но ни в коем случае не включаем поддержку root; чтобы прописанные в скрипте правила работали правильно, Orbot должен работать в пространстве пользователя в режиме прокси. В конце нажимаем на кнопку в центре экрана, чтобы включить Tor. В статусной строке появится иконка Tor, а это значит, что теперь все данные пойдут через него.
     
    alexzir and chuchundra like this.