Готовый продукт. Новая сборка. Уровень защиты пользовательских данных - максимально возможный на момент публикации.
Google Pixel 7, 8/128, Obsidian.
Спецификация:
https://4pda.to/devdb/google_pixel_7
Устройство выбрано как самое защищенное по умолчанию. Информацию по работе чипа безопасности Titan M можете найти в сети.
Система:
LineageOS for MicroG, Android 15, SPL - 202505, Jazz Modification
Описание:
- Root (KernelSU + SUSFS)
- LSPosed
Статус загрузчика (Bootloader):
- заблокирован (Locked), подписан моим ключом.
Статус доверенной загрузки (dm-verity):
- полная функциональность Android Verified Boot (AVB), все образы, отвечающие за загрузку, подписаны моим ключом, Recovery от проекта CalyxOS.
- полная функциональность чипа TitanM 2, отвечающего за хранение ключей
Опции:
- полностью скрытый и защищенный рабочий профиль
- блокировка рабочего профиля с мгновенным переводом данных в зашифрованное состояние нажатием физических кнопок
- удаление рабочего профиля, его данных и ключей шифрования нажатием физических кнопок
- удаление рабочего профиля, его данных и ключей шифрования при превышении количества попыток разблокировки устройства
- блокировка любых подключений по USB
- защита настроек устройства от доступа при заблокированном рабочем профиле
- защита от установки стороннего софта при заблокированном рабочем профиле
- "пароль под принуждением"
Экстра-опции:
- смена IMEI, Bluetooth Mac, серийного номера устройства через командную строку терминала
Расшифровка опций:
MicroG - Реализация Google Play Services Framework с открытым исходным кодом, предоставляющая все основные функции сервисов Google и сохраняющая конфиденциальность. Более подробно
https://github.com/microg/GmsCore/wiki
Пользователь сам решает, использовать данный функционал или нет в зависимости от персональной модели использования устройства. Другими словами, нужны пуши от биржи о входе в аккаунт - включаете, не нужны - не включаете. Регистрируете устройство - имеете максимально возможный опенсорс в том что касается Gapps, не регистрируете - имеете Degoogled устройство.
Устройство имеет заблокированный загрузчик и проверку подписи системных образов. Невозможно (не разблокировав загрузчик и стерев все данные) установить на устройство модифицированные образы, чтобы обойти защиту и доверенную загрузку. Для этого нужны образы, подписанные тем же ключом что и загрузчик.
Recovery от CalyxOS позволяет устанавливать исключительно подписанные конкретным ключом архивы, в отличие от дефолтного LineageOS Recovery, который может зашить угодно в обход проверки ключей.
KernelSU - самый безопасный на данный момент способ полностью управлять Android-устройством. Root работает в пространстве ядра, не затрагивая системный раздел. KernelSU Next - современная модификация, позволяющая применять патчи SUSFS в ядре. SUSFS - набор патчей для улучшенного скрытия root в системе (как и в случае с MicroG, пользоваться или нет - выбор пользователя) LSPosed - современный фрэймворк, позволяющий использовать модули для подмены идентификаторов, изменения интерфейса и реализации прочих ваших фантазий.
Скрытый рабочий профиль, защита доступа к настройкам и запрет на установку приложений в скрытом режиме - смело можете отдавать устройство на контроль. Нажали кнопку в кармане, передали устройство в разблокированном виде - ничего не найдут, ничего установить не смогут.
Удаление по нажатию - в случае форс-мажора безвозвратно удаляете все важные данные не вынимая руки из кармана. При этом устройство остается полностью работоспособным, никакого "сброса до заводских".
Блокировка USB - предотвращает любые атаки с помощью всяких хитрых кабелей (Bad USB), устройство бесполезно подключать к ПК или криминалистическим комплексам с целью перебора пароля блокировки экрана и тд.
Ограничение количества попыток разблокировок - превысили - данные умерли.
"Пароль под принуждением" - в случае требования предоставить пароль разблокировки устройства, вы можете выдать пароль, который полностью удалит изолированный рабочий профиль, не затрагивая остальные пользовательские данные.
