Обещанный продукт. Уровень защиты пользовательских данных - максимально возможный на момент публикации.

Устройство:
Google Pixel 7, 8/128, Obsidian.

Спецификация:
https://4pda.to/devdb/google_pixel_7

Устройство выбрано как самое защищеное по умолчанию. Информацию по работе чипа безопасности Titan M можете найти в сети.

Система:
LineageOS 21.0, Android 14, SPL 240705, Degoogled (естественно), Jazz Modification (куда уж без этого).

Описание:
- Root (KernelSU)
- LSPosed

Статус загрузчика (Bootloader):
- заблокирован (Locked), подписан моим ключом.

Статус доверенной загрузки (dm-verity):
- полная функциональность Android Verified Boot (AVB), все образы, отвечающие за загрузку, подписаны моим ключом, Recovery от проекта CalyxOS.
- полная функциональность чипа TitanM 2, отвечающего за хранение ключей

Опции:

- полностью скрытый и защищенный рабочий профиль
- блокировка рабочего профиля с мгновенным переводом данных в зашифрованное состояние нажатием физических кнопок
- удаление рабочего профиля, его данных и ключей шифрования нажатием физических кнопок
- удаление рабочего профиля, его данных и ключей шифрования при превышении количества попыток разблокировки устройства
- блокировка любых подключений по USB
- защита настроек устройства от доступа при заблокированном рабочем профиле
- защита от установки стороннего софта при заблокированном рабочем профиле
- автоматическое удаление рабочего профиля если устройство не разблокировалось в течение 24ч

Расшифровка опций для нубов:

Устройство имеет заблокированный загрузчик и проверку подписи системных образов. Даже если Google, как Samsung в свое время, сольет компетентным товарищам ключи, никто и никогда (не разблокировав загрузчик и стерев все данные) не сможет установить на устройство модифицированные образы, чтобы обойти защиту и доверенную загрузку. Для этого нужны образы, подписанные тем же ключом что и загрузчик.

Recovery от CalyxOS позволяет устанавливать исключительно подписанные конкретным ключом архивы, в отличие от дефолтного LineageOS Recovery, который может зашить вам что угодно в обход проверки ключей.

KernelSU - самый безопасный на данный момент способ полностью управлять Android-устройством. Root работает в пространстве ядра, не затрагивая системный раздел. LSPosed - современный фрэймворк, позволяющий использовать модули для подмены идентификаторов, изменения интерфейса и реализации прочих ваших фантазий.

Скрытый рабочий профиль, защита доступа к настройкам и запрет на установку приложений в скрытом режиме - смело можете отдавать устройство на контроль на таможне, товарищу майору или кому угодно. Нажали кнопку в кармане, передали устройство в разблокированном виде - ничего не найдут, ничего установить не смогут.

Удаление по нажатию - в случае форс-мажора безвозвратно удаляете все важные данные не вынимая руки из кармана. При этом устройство остается полностью работоспособным, никакого "сброса до заводских" и прочих нубских хренодвижений.

Блокировка USB - предотвращает любые атаки с помощью всяких хитрых кабелей (Bad USB), устройство бесполезно подключать к ПК или криминалистическим комплексам с целью перебора пароля блокировки экрана и тд.

Ограничение количества попыток разблокировки - думаю, понятно даже нубам. Превысили - данные умерли.

Тайминг на 24ч - устройство было изъято/украдено, находится во включенном и заблокированном состоянии. По истечении указанного периода, если в течение этого времени не ввести пароль разблокировки, удалится рабочий профиль, все что в нем находится и ключи шифрования данных профиля.

Все (!) перечисленные опции защиты устройства работают как в режиме BFU (до первой разблокировки, в оперативной памяти нет ключей для расшифровки данных) так и в AFU (после первой разблокировки, ключи в оперативной памяти). Защитные функции вшиты в систему, поэтому работают и в Безопасном режиме Android (все пользовательские приложения отключены), и в Безопасном режиме KernelSU (отключены все модули и скрипты в автозапуске).