Во-вторых, это очень крутая задумка. А во-первых, будет небольшой ликбез.

Я часто упоминаю в канале что-нибудь связанное с использованием PWA-приложений или софта по типу Native Alpha или WebSpace. Потому что имею твердое убеждение: там где можно обойтись без установки кучи стороннего проприетарного кода на устройство, лучше так и поступить.

PWA (Progressive Web App) - это сайт, который ведёт себя как нативное приложение: устанавливается на домашний экран, работает офлайн через Service Worker, может слать push-уведомления и тд.
Технически это всего лишь веб-страница - браузер сам создаёт ярлык и крутит всё внутри своего UID.

В случае с PWA, основная поверхность атаки равна уязвимости используемого браузера.

WebSpace или аналог - это один Flutter-контейнер, который держит все нужные сайты внутри себя как организованные вкладки/коллекции. То есть это PWA наоборот: вместо ярлыка в браузере или раздутого standalone-APK, единое приложение-агрегатор с упором на приватность.

В данном случае основная поверхность атаки - системный движок WebView и его настройки.

В случае с закрытым проприетарным приложением, например с Max'ом - весь код приложения является "черным ящиком" и может служить поверхностью атаки. В том числе и со стороны самих разработчиков.

В двух первых случаях использование вместо обычного приложения имеет смысл только если вы используете защищенный браузер/webview с нужными флагами в файлах конфигурации и тд., а это в свою очередь требует или слепого доверия к ним, или userdebug-прошивки и root.

Использование отдельного готового приложения подразумевает что вы доверяете разработчику этого приложения или, как минимум, переписали манифест/порезали пермишены/отключили компоненты, используете изолированно от доверенных приложений с чувствительными данными и тд..

Все это удел гиков, параноиков и учеников дяди Джаза.

Для всех остальных вполне себе интересный компромисс.
https://github.com/shiahonb777/web-to-app

WebToApp - это, простым языком, open-source Android-приложение, которое собирает APK из сайтов/страниц, которые вы ему укажете.

Вот прям берете сайт и делаете из него апку в нужной конфигурации.

Каждый собранный APK получает богатую конфигурацию: блокировка рекламы/трекеров, DNS-over-HTTPS, прокси, выбор runtime-permissions и проч. Настроек реально много. Ничего не стоит взять сайт и сделать из него приложение для онлайн прослушивания и загрузки аудиокниг, ограничить в разрешениях, отключить рекламу и трекеры. С Max'ом играйтесь самостоятельно, мне оно не нужно ни в каком виде.

Софт имеет и другие не менее интересные функции, которые в данный пост не влезут при всем моем желании. И да, вам по-прежнему нужен надежный WebView с актуальными патчами, если не похер на данные, которые будут проходить через созданное через этот софт приложение.

И сам давно ничего стоящего не смотрел, и вам не советовал. Выходные - самое время.

"Рассказ служанки", 2017.

Когда вышел первый сезон, все это, вполне возможно, смотрелось как антиутопия. Сейчас, если немного сместить акценты, смотрится как, мать его, сценарий к пиздецу в котором мы если еще и не оказались, то стремительно приближаемся. Очень четко показана грань, отделяющая невозможное вчера от новой реальности завтра.

Словосочетания типа "традиционные ценности" из начальных серий реально триггерят так, как в 2017-ом и представить было невозможно. Я просто процитирую кусок описания сюжета книги Маргарет Этвуд, по которой снят сериал, все станет понятно:

"Галаад находится на территории современных США и постоянно ведёт войну с соседними странами и бывшими штатами. Искусство, театр, общественные пространства, кроме церквей и магазинов, объявлены вне закона как еретические. Передвижение людей строго ограничено, а улицы уставлены блокпостами. Разоблачённые общественностью атеисты, иноверцы, вступившие в секс без брака, и гомосексуалы подлежат смертной казни, а за более мелкие проступки — воровство, аморальное поведение, чтение запрещённой литературы — ждут отрубание конечностей или ссылка в колонию. Тем не менее это не мешает в стране процветать тайным клубам и борделям, в которых развлекаются сами командоры и прочие привилегированные мужчины. Женщины признаны людьми низшего сорта — им запрещено читать, получать образование..."

В таком вот духе. Замените "мужчины" и "женщины" на подходящие по смыслу термины, и все сразу станет шире и страшнее, чем феминистская повестка. Впрочем, сериал для думающих, и такие советы тут излишни.

Свежая версия Lazy для просмотра.

"...маленькая ошибка в коде Android разрушила иллюзию приватности"

https://www.securitylab.ru/news/572456.php

Надо быть сказочным долбоебом, чтобы называть ошибкой то, что Google оставил себе и товарищам такой канал эксфильтрации. Очень удобный и продуманный канал.

Суть: Android 16 представил оптимизацию registerQuicConnectionClosePayload в ConnectivityManager. Любое приложение с разрешениями INTERNET + ACCESS_NETWORK_STATE регистрирует через этот API произвольный UDP-payload в system_server. При закрытии socket'а приложения, system_server сам отправляет зарегистрированный пакет данных наружу. Поскольку отправка идёт от system_server'а, а он вполне себе привилегированная сущность, все это не подпадает под Always-on VPN + Block connections without VPN - стандартные опции. Реальный публичный IP устройства утекает на сервер атакующего, минуя VPN.

Проверить на уязвимость можно так:

su -c 'dumpsys connectivity' | grep -iE 'quic|close_quic'

true - всратая оптимизация активна, устройство потенциально уязвимо.
Registered QUIC connection close information: 0 - счетчик зарегистрированных payload'ов в текущий момент времени, нулевое значение нифига не отменяет уязвимости, только показывает в реальном времени: никто не подсосался к system_server.

Почему Google не хочет это фиксить? Ну, во-первых, не для того встраивали, чтобы убирать. Это не оптимизация QUIC close, а "отправь от моего имени из system_server что я тебе скажу". Ни один безопасник в здравом уме такого не допустит. GrapheneOS пофиксили это отключением единственного флага, и если бы это был банальный косяк разрабов - ничего не мешает вырубить флаг в последующих сборках AOSP. Но Google заявил принципиальный Won't Fix.

А во-вторых QUIC (UDP) активно используется Chrome, YouTube, Gmail, Google Maps через Cronet (network library от Google) и вот это все. Вся инфраструктура Gapps'ов сидит на этом. Убрать данный API - ушатать все к хренам, потом все долго и дорого переделывать и, главное, потерять для себя и партнеров один из каналов network identity tracking, да еще и оплатить из своего кармана. Это не бизнес модель ad networks, частью которой являются гуглы, фэйсбуки и прочие продаваны всех и каждого.

А теперь, мои маленькие рутованные друзья, придвиньтесь поближе. Нерутованные идите к графенам, они вам героически пофиксят что-нибудь.

Утечка происходит только потому, что system_server физически отправляет UDP-packet наружу через сетевой интерфейс. Когда пофиг какой/любой процесс на Android отправляет данные в сеть, kernel (ядро) запоминает "от чьего имени" этот packet, записывает UID процесса-отправителя. Это как штамп на конверте: отправлено от UID 1000 (именно такой UID будет иметь system_server на любом Android, это костанта).

Дальше пакет идёт через netfilter, который в большинстве случаев - это iptables, следовательно REJECT на UID 1000 - это ваш kill switch, а не то что там Google для нубасов нарисовал.

Есть гипотетическая вероятность что Google встроит BPF-bypass для системных UID в будущем, но это будет вот прям архитектурный сдвиг, который не пройдет незамеченным Android-сообществом и тем более не перекочует в кастомы типа LOS, crDroid и тд. В общем, не бойтесь Root. Он, в отличие от Google, вам друг и помощник.

Полезно Утилитарно полезно, ну, или, просто удобно.

https://github.com/AKS-Labs/CircleToSearch

Open-source клон Google Circle to Search для любого Android 10+

Это работает на любом устройстве.

Это не привязано к эко-системе Google и не требует его сервисов.

Это не отправляет на чужой сервер весь экран (если не используете соответствующую кнопку), как это делает Google. Только то что вы поместили в "круг".

Еще есть автономное распознавание текста, работает на 100% локально на вашем устройстве, распознавание QR, несколько поисковиков (всратых, конечно) на выбор и тд.

Несколько вариантов запуска, но удобнее всего назначить ассистентом по умолчанию и повесить на кнопку питания.

Когда нет никакого желания устанавливать себе стукачей...

WebSpace - WebView-менеджер с privacy-фокусом

https://github.com/theoden8/webspace_app

Создаете свой webspace, в нем набор вкладок, которые заменят вам полноценные аппки на дохрена мегабайт весом с кучей трекеров в комплекте.

Фича представляет из себя WebView-based hybrid app.
Каждая вкладка - веб-страница, отрендеренная в компоненте WebView. Не то же самое что PWA-приложения, но вполне себе юзабильно, и, как и сказал, с упором в privacy. Впрочем, по скринам многое понятно. Например то, что прога помогает резать эти самые трекеры в их web-версии и еще много чего полезного.

17 апреля стартует обновленный курс по защите данных для пользователей Android.

Внимательно ознакомьтесь с информацией ниже!

Что будет на обучении:
@tvoijazz2609

Стоимость основного курса: 45k
Продолжительность 6 дней, обратная связь действует еще 3 недели после окончания курса.

(при записи до 17 апреля включительно. После 17 апреля, а также запись вне потока +10k к прайсу, обратная связь также 3 недели с момента оплаты)

Дополнительные уроки:

1. Защита от криминалистической экспертизы и несанкционированного доступа к данным на смартфоне.
Длительность - 2 дня. Стоимость 30k [@tvoijazz2611]
 
2. Установка и настройка доп.системы параллельно основной. [анонс сoming soon...]

▫️ Требования для участия в курсе: разблокированный загрузчик + ПК с выходом в сеть. Крайне рекомендуется наличие флэшки и USB OTG-адаптера под ваш девайс.

Курс начинается с базовых навыков, таких как установка кастома и получение root, поэтому новички - велком. Постепенно сложность и объем информации будут увеличиваться, для успешного усвоения материала потребуется полное погружение и желание разобраться в теме.
Помните: волшебных кнопок не существует, и никто не сделает это за вас.

▪️Прочтите FAQ

▪️Список смартфонов подходящих для курса

▪️Словарик нуба

▪️Расписание

И еще немного информации:

~ на курсе работаем с одним смартфоном, который вы указали при записи и только с одним аккаунтом, с которого происходила оплата

~ мы не занимаемся мультиаккаунтингом, в курсе нет тем прохождения антифрода, смены imei и тп, только то, что указано в программе курса

Для тех, кто уже проходил наш курс в течение года - спец.условия. (-30% от основного прайса)

Запись/вопросы - @JazzSupport

Чтобы закрыть тему из предыдущего поста, а то я все еще продолжаю натыкаться вот на такое, и личку мне закидали гениальными измышлениями, как будто ваша цель не интернетом нормально пользоваться, а убедить в чем-то дядю Джаза. Хотя я уже высказался однозначно: никакое "разделение пользователей" не скроет факт использования VPN на устройстве. Точка.

Вот детектор, который для вас собрал умный человек, и который уже расфорсили. Можете ставить его в какой угодно профиль, для какого угодно Пользователя на устройстве. Можете использовать любые vpn-приложения на любых протоколах, туннелировать там себе все что угодно по каким угодно правилам. Но если ваш результат не будет таким как на моем видео - бегите за вторым телефоном. Результат - это максимум что можно сделать не прибегая к изменениям в ядре, но далеко не имба от всех детектов.

Я тут сижу и тихо охреневаю. Не, не от этой методички, по которой теперь будут выявлять использование VPN. Тут как раз все логично и предсказуемо. А от комментариев.

Это какой-то пиздец, товарищи "эксперты".

1. Нет, просто взять и "засунуть все в Shelter, aka Рабочий профиль" не поможет.

2. Нет, "раздельное туннелирование" не поможет.

3. Нет, айфон не лучше.

Пошли по порядку, разберем почему только один пункт в этой методичке реально важен для пользователей мобильных устройств:

"Проверить использование средств обхода блокировок на устройстве с собственного приложения, если оно установлено на том же устройстве."

Что это значит? Это значит, что разработчики софта, Сбер, там всякий, Мах родной, все что хочет работать в Белых Списках и конкурентам болт показывать - все они должны встроить в свои приложения проверку на туннелирование трафика через серверы, которые не Касперский.

Что они сделают реально? То же что сделал до них любой вменяемый антифрод - встроят запрос к системе на наличие специфического сетевого интерфейса. При включении VPN поднимается сетевой интерфейс tun0 (или tun1 если tun0 занят). Это глобальный сетевой интерфейс уровня ядра. Он виден всем процессам системы без исключений, независимо от user ID, профиля, разрешений приложения или настроек split tunneling.

Существует, навскидку, девять способов детекта того, что этот интерфейс есть и активен. Все эти способы - это легальные запросы любого приложения, будь то NetworkInterface.getNetworkInterfaces((Java API) или /sys/class/net/tun0 (ядро, native). Не нужно никаких дополнительных разрешений, проверок идет ли трафик через туннель, хитрых пингов как у Маха - ничего. Просто проверить наличие нужного сетевого интерфейса любым доступным способом. Это не баг и не уязвимость - это штатное поведение Linux networking. Айфон - то же самое.

Нет никакой разницы, для какого Пользователя (Профиля) или приложения поднят этот интерфейс. Само его наличие - это фрод. Никакой Shelter наличие tun0 не скроет по определению, а раздельное туннелирование не имеет значения при факте обнаружения этого интерфейса.

И если детект на Java-уровне можно скрыть через инъекцию (хуки Xposed, обычно на этом все и заканчивается), то уровень ядра скрывается патчами ядра. И ничего из перечисленного вы без root и разблокировки не исполните.

Мах можно юзать из "дружественных стран" используя "дружественные" симки и, соответственно, IP другой страны. Поэтому "чужой IP" тут не показатель. Сам этот факт не даст четкого определения: прокси там или реально казаху делать нехуй, кроме как в Махе сидеть. А вот наличие активного туннеля - другое дело - однозначно VPN. А поскольку вылететь из Белых Списков никто не хочет (баааблооо), то и рубить пользователей все будут по самому простому пути.

Ну, это классика с открытым кодом.

Основные функции:

• Защищенная область для хранения личных файлов, доступная по паролю.

• Безопасный доступ к вашим личным файлам с помощью заданного пользователем кода.

• Добавление, удаление и организация файлов в защищенной локальной среде.

• Все файлы хранятся на устройстве, обеспечивая контроль и конфиденциальность пользователя.

В общем, простой (очень) классический сейф для хранения файлов под видом калькулятора.

От себя могу посоветовать изменить иконку и имя пакета на стандартные, а дефолтный калькулятор аннигилировать доступными способами, лучше всего собрать простенький модуль под KSU/Magisk и подкинуть в систему оверлеем. Не имба, но почему бы и нет. В северно-корейских реалиях - тем более.

https://github.com/Binondi/Calculator-Hide-Files

ВАЖНАЯ ИНФОРМАЦИЯ:

Курс и дополнительные уроки посвящены защите данных, финансов и конфиденциальности пользователя. Вопросы прохождения антифрод систем МЕНЯ НЕ ИНТЕРЕСУЮТ!!! Но на технические вопросы по этой теме отвечу в рамках своей компетенции, программы курса и дополнительных уроков.

Освоив и лично проработав все перечисленные темы курса и дополнительных уроков вы получите устройство, максимально защищенное от утечки и физического изъятия данных по большинству векторов атаки на него (вредоносный софт, ошибки пользователя, физический доступ, принуждение и тд).
Без знания этого, говорить о какой-либо приемлемой "безопасности устройства" и данных на нем бессмысленно.

Но! Если вы понятия не имеете о своей персональной модели угроз, проще говоря "нахрена мне это нужно" - курс не для вас.

FAQ - @jazzphone56

Список подходящих устройств:
@jazzphone100

Дополнительные уроки:

◼️ Защита от криминалистической экспертизы и несанкционированного доступа к данным на смартфоне. Экстренное автоматизированное и ручное удаление данных и ключей шифрования. Основные моменты:

- автоматизированное удаление выбранных данных и приложений при попытке перебора пароля блокировки

- автоматизированное скрытие выбранных приложений после разблокировки смартфона по индивидуальному шаблону

- ручное удаление пользовательских данных и ключей шифрования "в одно касание" без разблокировки девайса

- автоматизированный запуск удаления выбранных файлов с последующей перезаписью свободного пространства на накопителе (возможность восстановления исключается) при подключении к ПК или комплексам по извлечению данных

- поговорим о методике взлома смартфона при помощи комплекса типа UFED в контексте несанкционированного запуска отладки в обход блокировки экрана для последующего снятия данных и защите от этого

- очистка выбранных разделов данных, данных приложений и зашифрованных томов по расписанию или после разблокировки устройства посторонним по установленному таймеру с возможностью отмены удаления

- проверка контрольных сумм критически важных разделов устройства для мониторинга внесения несанкционированных изменений после физического изъятия

- Dead Switch. Если устройство не разблокировалось владельцем в течение заданного времени, происходит удаление всех/выбранных данных

- управление функциями безопасности с помощью жестов, разберёмся новый эксклюзивный авторский метод взамен потерявшего актуальность (new)

Пример 1: тапнули только вам известным способом по экрану блокировки - открывается реальный рабочий стол с нужными приложениями. Не тапнули - откроется фейковый "бытовой", все критически важные приложения и данные останутся скрыты в системе, доступ к настройкам устройства заблокирован.
Пример 2: нажали на определенную область на экране - удалились все/выбранные данные. На управление жестами возможна привязка любых действий и запуск любых скриптов и команд.

- защита доступа к плиткам быстрых настроек и списку активных приложений

- настраиваем "Пароль под принуждением". Внимание! Метод не имеет отношения к общеизвестным способам (Wasted, Duress, Xposed Hooks, etc). Один и тот же пароль, в зависимости от ситуации разблокирует устройство обычным способом или разблокирует устройство и, одновременно, удаляет критически важные данные и запускает перезапись освободившегося пространства незаметно для атакующего

- покажу один из авторских вариантов Duress-пароля (new)

- разберем понятие "правдоподобного отрицания" и при чем здесь логи (new)

- мастер-класс по поднятию своих сервисов в системе для отслеживания нужных событий. Покажу как я делаю "тревожную кнопку" в своих сборках, без использования стороннего софта создадим собственные демоны на отслеживание физических кнопок, попытки подключения к ПК и тд и встроим их в систему (new)
———————————————
Продолжительность: 2 дня.
Стоимость участия: 30k

~ Доп.уроки доступны для приобретения только ученикам прошедшим основной курс.

Запись/вопросы @JazzSupport