Android Overview
The Android Open Source Project is a secure mobile operating system featuring strong app sandboxing, Verified Boot (AVB), and a robust permission control system.
Our Advice¶
Выбор Android дистрибутива¶
When you buy an Android phone, the default operating system comes bundled with apps and functionality that are not part of the Android Open Source Project. Many of these apps—even apps like the dialer which provide basic system functionality—require invasive integrations with Google Play Services, which in turn asks for privileges to access your files, contacts storage, call logs, SMS messages, location, camera, microphone, and numerous other things on your device in order for those basic system apps and many other apps to function in the first place. Frameworks like Google Play Services increase the attack surface of your device and are the source of various privacy concerns with Android.
Эта проблема может быть решена с помощью кастомного дистрибутива Android, который не имеет таких интеграций. К сожалению, многие кастомные дистрибутивы Android часто нарушают модель безопасности Android, не поддерживая критические функции безопасности, такие как AVB, защита rollback, обновления прошивки и так далее. Некоторые дистрибутивы поставляют сборки userdebug
, которые используют root с ADB и требуют более слабых политик SELinux для активации функций отладки, что приводит к увеличенной поверхности атаки и ослабленной модели безопасности.
В идеале, при выборе кастомного дистрибутива Android, вы должны убедиться, что он поддерживает модель безопасности Android. Как минимум, дистрибутив должен иметь production сборки, поддержку AVB, защиту rollback, своевременные обновления прошивки и операционной системы и SELinux в режиме enforcing. Все рекомендованные нами дистрибутивы Android удовлетворяют этим критериям.
Избегайте рутинга¶
Рутинг телефонов Android может значительно снизить безопасность, так как ослабляет всю модель безопасности Android. Это может снизить конфиденциальность, если произойдет эксплойт, вызванный снижением безопасности. Обычные методы рутинга предполагают прямое вмешательство в загрузочный раздел, что делает невозможным успешное выполнение проверенной загрузки. Приложения, требующие root, также будут изменять системный раздел, это означает, что проверенную загрузку придется отключить. Наличие root непосредственно в пользовательском интерфейсе также увеличивает поверхность атаки вашего устройства и может помочь в повышении привилегий уязвимостей и обходе политики SELinux.
Content blockers which modify the hosts file (AdAway) and firewalls (AFWall+) which require root access persistently are dangerous and should not be used. Они также не являются корректным способом решения поставленных перед ними задач. For content blocking we suggest encrypted DNS or VPN server blocking solutions instead. RethinkDNS, TrackerControl и AdAway в режиме без root-доступа будут занимать слот VPN (используя локальный loopback VPN), не позволяя вам использовать службы, повышающие конфиденциальность, такие как Orbot или настоящий VPN-сервер.
AFWall+ работает на основе подхода пакетной фильтрации и в некоторых ситуациях его можно обойти.
Мы не считаем, что стоит жертвовать безопасностью (получение root-доступа), чтобы получить сомнительные преимущества конфиденциальности.
Install Updates¶
Важно не использовать устаревшую версию Android. Новые версии Android получают не только обновления безопасности операционной системы, но и важные обновления, улучшающие конфиденциальность.
For example, prior to Android 10 any apps with the READ_PHONE_STATE
permission could access sensitive and unique serial numbers of your phone such as IMEI, MEID, or your SIM card's IMSI; whereas now they must be system apps to do so. Системные приложения предоставляются только OEM-производителем или дистрибутивом Android.
Sharing Media¶
You can avoid giving many apps permission to access your media with Android's built-in sharing features. Many applications allow you to "share" a file with them for media upload.
For example, if you want to post a picture to Discord you can open your file manager or gallery and share that picture with the Discord app, instead of granting Discord full access to your media and photos.
Security Protections¶
Проверенная загрузка¶
Проверенная загрузка является важной частью модели безопасности Android. Она обеспечивает защиту от атак злой горничной, сохранения вредоносных программ и гарантирует, что обновления безопасности не могут быть понижены с помощью защиты от отката.
Android 10 и выше перешел от шифрования всего диска к более гибкому файловому шифрованию. Ваши данные шифруются с помощью уникальных ключей шифрования, а файлы операционной системы остаются незашифрованными.
Проверенная загрузка обеспечивает целостность файлов операционной системы, тем самым не позволяя недоброжелателям с физическим доступом взломать устройство или установить на него вредоносное ПО. В маловероятном случае, если вредоносное ПО сможет использовать другие части системы и получить более высокий привилегированный доступ, проверенная загрузка предотвратит и отменит изменения в системный раздел при перезагрузке устройства.
К сожалению, OEM-производители обязаны поддерживать проверенную загрузку только в своих стоковых дистрибутивах Android. Лишь некоторые OEM-производители, например Google, поддерживают пользовательскую регистрацию ключей AVB на своих устройствах. Кроме того, некоторые производные AOSP, например LineageOS или /e/ OS, не поддерживают проверенную загрузку даже на девайсах с поддержкой проверенной загрузки для сторонних операционных систем. Мы рекомендуем вам проверить наличие поддержки перед покупкой нового устройства. Производные AOSP, которые не поддерживают проверенную загрузку, не рекомендуются.
Многие OEM-производители также встраивают сломанную реализацию проверенной загрузки. Вы должны помнить об этом и не обращать внимание на их маркетинг. Например, телефоны Fairphone 3 и 4 не защищены по умолчанию, поскольку стоковый загрузчик доверяет публичному ключу подписи AVB. Это нарушает проверенную загрузку на стоковом устройстве Fairphone, поскольку система будет загружать альтернативные операционные системы Android, такие как (например, /e/) без какого-либо предупреждения об использовании кастомной операционной системы.
Обновления прошивки¶
Обновления прошивки имеют критическое значение для поддержания безопасности. Без них ваше устройство не может быть безопасным. OEM-производители имеют соглашения о поддержке со своими партнерами для предоставления компонентов с закрытым исходным кодом на ограниченный период поддержки. Они подробно описаны в ежемесячных бюллетенях по безопасности Android.
Поскольку компоненты телефона, такие как процессор и радиотехнологии, полагаются на компоненты с закрытым исходным кодом, обновления должны предоставляться соответствующими производителями. Поэтому важно, чтобы вы приобрели устройство в рамках активного цикла поддержки. Qualcomm and Samsung support their devices for 4 years, while cheaper products often have shorter support cycles. With the introduction of the Pixel 6, Google now makes their own SoC, and they will provide a minimum of 5 years of support. With the introduction of the Pixel 8 series, Google increased that support window to 7 years.
Устройства EOL, которые больше не поддерживаются производителем SoC, не могут получать обновления прошивки от OEM-производителей или дистрибьюторов Android. Это означает, что проблемы безопасности этих устройств останутся неисправленными.
Fairphone, for example, markets their Fairphone 4 device as receiving 6 years of support. Однако SoC (Qualcomm Snapdragon 750G в Fairphone 4) имеет значительно более короткую дату выхода из эксплуатации. Это означает, что обновления безопасности прошивки от Qualcomm для Fairphone 4 закончатся в сентябре 2023 года, независимо от того, будет ли Fairphone продолжать выпускать обновления безопасности программного обеспечения.
Разрешения в Android¶
Разрешения в Android дают вам контроль над тем, к чему у приложений будет доступ. Google регулярно вносит исправления в систему разрешений в каждой следующей версии Android. Все установленные приложения строго изолированы, поэтому нет необходимости устанавливать антивирусные программы.
Смартфон с последней версией Android всегда будет более безопасен, чем старый смартфон с купленным и установленным антивирусом. Лучше не платить за антивирус, а отложить деньги на покупку нового телефона, например Google Pixel.
Android 10:
- Scoped Storage дает вам больше контроля над вашими файлами и позволяет ограничить то, что может получить доступ к внешнему хранилищу. Приложения могут иметь определенный каталог во внешнем хранилище, а также возможность хранить там определенные типы файлов.
- Ужесточение доступа к местоположению устройства путем введения разрешения
ACCESS_BACKGROUND_LOCATION
. Это предотвращает доступ приложений к местоположению при работе в фоновом режиме без специального разрешения пользователя.
Android 11:
- Одноразовые разрешения позволяют вам дать разрешение приложению не навсегда, а только на один раз.
- Автосброс разрешений, который сбрасывает разрешения на выполнение, которые были предоставлены при открытии приложения.
- Детальные разрешения для доступа к функциям, связанным с телефонным номером.
Android 12:
- Разрешение на примерное местоположение.
- Автоматический сброс спящих приложений.
- Аудит доступа к данным, который облегчает определение того, какая часть приложения получает доступ к специфичному типу данных.
Android 13:
- A permission for nearby Wi-Fi access. The MAC addresses of nearby Wi-Fi access points was a popular way for apps to track a user's location.
- Более детальные разрешения на мультимедиа, то есть вы можете предоставить доступ только к изображениям, видео или аудиофайлам.
- Фоновое использование датчиков теперь требует разрешения
BODY_SENSORS
.
Приложение может запрашивать разрешения для имеющихся функций. Например, приложение, которое может сканировать QR-коды, запросит разрешение на использование камеры. Некоторые приложения могут запрашивать больше разрешений, чем им нужно.
Exodus can be useful when comparing apps that have similar purposes. Если приложение запрашивает много разрешений и имеет много рекламы и аналитики, это вероятно плохой знак. Мы рекомендуем обращать внимание на конкретные трекеры и читать их описание, вместо того, чтобы просто посчитать их общее количество и предположить, что они все одинаковые.
Предупреждение
Если приложение в основном представляет собой веб-сервис, отслеживание может происходить на стороне сервера. Facebook shows "no trackers" but certainly does track users' interests and behavior across the site. Приложения могут избежать обнаружения, не используя стандартные библиотеки кода, созданные рекламной индустрией, хотя это маловероятно.
Note
Privacy-friendly apps such as Bitwarden may show some trackers such as Google Firebase Analytics. Эта библиотека включает Firebase Cloud Messaging, которая нужна для поддержки push-уведомлений в приложениях. Именно это относится к Bitwarden. Это не означает, что Bitwarden использует все возможности аналитики, которые предоставляет Google Firebase Analytics.
Privacy Features¶
Профили пользователей¶
Профили нескольких пользователей находятся в разделе Настройки → Система → Пользователи и являются самым простым способом изоляции в Android.
С помощью профилей пользователей можно наложить ограничения на определенный профиль, например: совершение звонков, использование SMS или установка приложений на устройство. Каждый профиль шифруется с помощью собственного ключа шифрования и не может получить доступ к данным других профилей. Даже владелец устройства не может просматривать данные других профилей, не зная их пароля. Профили пользователей - это более безопасный метод изоляции.
Рабочий профиль¶
Рабочие профили - это еще один способ изолировать отдельные приложения, который может быть более удобным, чем отдельные профили пользователей.
Для создания рабочего профиля, не имея корпоративного MDM, требуется приложение-контроллер устройства, такое как Shelter. Кастомные Android могут содержать такую функцию по умолчанию.
Функционирование рабочего профиля зависит от контроллера устройства. Такие функции, как File Shuttle и блокировка поиска контактов или любые другие функции изоляции должны быть реализованы контроллером. You must also fully trust the device controller app, as it has full access to your data inside the work profile.
Этот метод обычно менее безопасен, чем второй профиль пользователя; однако он позволяет запускать приложения одновременно в рабочем и личном профилях.
VPN Killswitch¶
Android 7 and above supports a VPN kill switch, and it is available without the need to install third-party apps. Эта функция может предотвратить утечку данных в случае отключения VPN. Его можно найти в Настройки → Сеть и интернет → VPN → → Блокировать соединения без VPN.
Глобальные переключатели¶
В современных устройствах Android есть глобальные переключатели для отключения Bluetooth и служб определения местоположения. В Android 12 появились переключатели для камеры и микрофона. Когда эти функции не используются, мы рекомендуем отключать их. Приложения не могут использовать отключенные функции (даже при наличии индивидуального разрешения) до тех пор, пока они не будут снова включены.
Google Services¶
Если вы используете устройство с Google сервисами, либо стоковой операционной системой, либо операционной системой, которая безопасно изолирует службы Google Play, например GrapheneOS, вы можете внести ряд дополнительных изменений для повышения конфиденциальности. Мы по-прежнему рекомендуем полностью отказаться от сервисов Google или ограничить сервисы Google Play определенным профилем пользователя/рабочим профилем, объединив контроллер устройства, такой как Shelter, с GrapheneOS's Sandboxed Google Play.
Дополнительная защита¶
If you have a Google account we suggest enrolling in the Advanced Protection Program. Она доступен бесплатно для всех, у кого есть минимум два аппаратных ключа безопасности с поддержкой FIDO.
Программа дополнительной защиты обеспечивает усиленный мониторинг угроз и активирует:
- Stricter two-factor authentication; e.g. that FIDO must be used and disallows the use of SMS OTPs, TOTP and OAuth
- Только Google и проверенные сторонние приложения могут получить доступ к данным аккаунта
- Сканирование входящих писем на аккаунтах Gmail на наличие фишинга
- Stricter safe browser scanning with Google Chrome
- Более строгий процесс восстановления учетных записей с утраченными учетными данными
If you use non-sandboxed Google Play Services (common on stock operating systems), the Advanced Protection Program also comes with additional benefits such as:
- Not allowing app installation outside the Google Play Store, the OS vendor's app store, or via
adb
- Mandatory automatic device scanning with Play Protect
- Предупреждение о непроверенных приложениях
Обновление Google Play¶
В прошлом обновления безопасности для Android должны были поставляться производителем операционной системы. Android стал более модульным, начиная с Android 10, и Google может распространять обновления безопасности для некоторых системных компонентов через привилегированные службы Play Services.
Если у вас есть устройство EOL, поставляемое с Android 10 или выше, и вы не можете запустить ни одну из рекомендованных нами операционных систем на своем устройстве, вам, скорее всего, лучше придерживаться OEM-установки Android (в отличие от операционной системы, не указанной здесь, например, LineageOS или /e/ OS). Это позволит вам получать некоторые исправления безопасности от Google, но при этом не нарушать модель безопасности Android, используя небезопасный вариант Android и увеличивая поверхность атаки. Мы по-прежнему рекомендуем как можно скорее перейти на поддерживаемое устройство.
Рекламный идентификатор¶
All devices with Google Play Services installed automatically generate an advertising ID used for targeted advertising. Отключите эту функцию, чтобы ограничить объем собираемых о вас данных.
В дистрибутивах андроид с Sandboxed Google Play, откройте Настройки → Приложения → Sandboxed Google Play → Google Settings → Реклама, и выберите Удалить рекламный идентификатор.
В дистрибутивах Android с привилегированными службами Google Play (например, в стоковых ОС) эта настройка может находиться в одном из нескольких мест. Проверьте
- Настройки → Google → Реклама
- Настройки → Конфиденциальность → Реклама
У вас либо будет опция удаления рекламного идентификатора либо опция отключения рекламы, основанной на интересах, это варьируется в зависимости от производителя. Если предоставляется возможность удалить рекламный идентификатор, то она предпочтительнее. Если нет, то обязательно откажитесь и сбросьте свой рекламный ID.
SafetyNet и Play Integrity API¶
SafetyNet и Play Integrity APIs обычно используются для банковских приложений. Многие банковские приложения будут отлично работать в GrapheneOS с "изолированными" Play services, однако некоторые нефинансовые приложения имеют свои собственные слабые механизмы защиты от взлома, которые могут дать сбой. GrapheneOS проходит проверку basicIntegrity
, но не проверку сертификации ctsProfileMatch
. Устройства с Android 8 или более поздней версией имеют поддержку аппаратной аттестации, которую невозможно обойти без утечки ключей или серьезных уязвимостей.
As for Google Wallet, we don't recommend this due to their privacy policy, which states you must opt out if you don't want your credit rating and personal information shared with affiliate marketing services.
You're viewing the Русский copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! Visit Crowdin
You're viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!