Android este un sistem de operare open-source, ceea ce înseamnă că modul de funcționare este transparent și poate fi analizat de oricine, fapt care îi oferă mai multă încredere.
Trebuie luate însă măsurile necesare care să asigure că instalările și actualizările se fac din sursele oficiale și codul sursă nu a fost modificat în tranzit, înainte de instalare.
Trebuie menționat, de asemenea, că unul din dezavantajele cunoscute pentru utilizatorii de telefoane Android este cantitatea mare de informații personale care este preluată, procesată și transmisă către producătorul telefonului sau al diferitelor aplicații instalate pe telefon. Da, telefonul tău te spionează (citește și acest scenariu pentru a vedea în mâna cui ar putea ajunge informațiile prețioase colectate de telefonul tău).
Scopurile acestui ghid
1. Blocarea breșelor de securitate, în general legate de instalarea și actualizarea de software, când codul sursă poate fi substituit în tranzit;
2. Obținerea unui nivel mai ridicat de intimitate în utilizarea telefonului.
Necesar
– un telefon cu Android 7.0 sau mai nou;
– un router cu OpenWrt și Stubby (vezi ghidul separat);
– un computer sigur (vezi și acest ghid).
Pași de urmat
2. Resetare și revenire la setările din fabrică
3. Dezactivare update-uri automate
7. Instalare Workspace prin Shelter
10. Instalare și activare Wireguard VPN
1. Back-up de date
Descărcați toate informațiile importante din telefon pentru că se vor pierde la pasul următor.
Sincronizați agenda cu numerele de telefon cu contul Google pentru a le putea restabili automat ulterior.
2. Resetare și revenire la setările din fabrică
Scoateți cartela SIM din telefon pentru a evita actualizările automate printr-o conexiune nesigură.
Faceți “Factory data reset” pentru a reveni la o versiune de încredere a sistemului de operare.
Deocamdată, pe parcursul reinstalarii, nu vă conectați la nicio rețea Wi-Fi.
Finalizați reinstalarea.
3. Dezactivare update-uri automate
Dezactivați update-urile automate ale sistemului de operare Android.
Dezactivați update-urile automate ale aplicațiilor Google Play.
4. Setări de intimitate
Dezinstalați aplicațiile nedorite sau inutile.
Faceți setările de intimitate dorite accesând Privacy permission manager. Unde este posibil, eliminați toate permisiunile care nu sunt relevante.
Atenție la aplicațiile cu acces la toate fișierele (Allow access to all files).
Atenție la aplicațiile cărora li se permite să controleze conexiunea wifi (Wi-Fi control).
5. DNS privat (opțional)
Pentru a evita breșele de securitate imputabile operatorului de rețea mobilă, puteți seta telefonul să utilizeze un server DNS privat de încredere, de exemplu Cloudflare (1dot1dot1dot1.cloudflare-dns.com). Acest server va fi utilizat doar pentru traficul ocazional, nu ne putem baza pe el și pentru instalări sau actualizări pentru că nu putem configura criptarea traficului DNS, ceea ce înseamnă că răspunsurile primite pot fi modificate în tranzit.
6. Update controlat
În acest pas avem nevoie să conectăm telefonul la o rețea securizată pentru realizarea actualizărilor și a instalării de aplicații. Pentru a putea fi considerat sigur, routerul rețelei la care ne conectăm trebuie să îndeplinească următoarele condiții:
– să ruleze un sistem de operare open-source (opțiunea numărul 1 este OpenWrt), pentru a exclude posibilitățile de backdoor management;
– să fie configurat să folosească un server DNS de încredere (de ex. Cloudflare sau OpenDNS);
– traficul DNS trebuie să fie criptat pentru a nu putea fi modificat în tranzit din motive imputabile furnizorului de servicii de internet. Traficul WAN prin portul 53 (DNS transparent) trebuie să fie blocat, permițând doar traficul DNS prin TLS (DoT) realizat prin porturile 853 sau 443;
– traficul de date prin intermediul cartelei SIM trebuie să fie blocat pentru a ne asigura că actualizările sau instalările se realizează prin intermediul conexiunii securizate descrise mai sus.
Odată îndeplinite condițiile de mai sus, putem conecta telefonul la această rețea, fie prin Wi-Fi, fie prin intermediul unei mici plăci de rețea conectată la portul USB al telefonului mobil.
Se va inițializa manual actualizarea sistemului de operare Android.
Se vor inițializa manual actualizările aplicațiilor Google Play.
7. Instalare Workspace prin Shelter
În mod obișnuit, telefoanele Android sunt prevăzute cu un singur profil de utilizator (user 0 – Personal profile). Este posibilă instalarea unui al doilea profil de utilizator (user 10 – Work profile). Cele două profile sunt separate și “comunică” între ele doar atât cât le permitem noi.
Vom instala al doilea profil (user 10 – Work profile) pentru a găzdui toate aplicațiile care au nevoie de conexiune la internet (e-mail, social media, banking, etc.).
Vom instala în primul profil (user 0 – Personal profile) toate aplicațiile care gestionează date sau informații personale, dar nu au nevoie de o conexiune la internet pentru a funcționa, pentru că vom deconecta permanent acest profil de la internet, pentru mai multă intimitate. Aici putem păstra fotografiile, agenda, managerul de parole, eventual aplicația pentru încuietoarea inteligentă de acasă, precum și, dacă este cazul, aplicațiile care se pot conecta prin intermediul ueni conexiuni VPN la rețeaua LAN de acasă, dar fără acces online.
Al doilea profil (user 10 – Work profile) poate fi inițializat prin intermediul unor aplicații open-source (de ex. Shelter, Insular, sau Island). Dintre acestea, aplicația Shelter permite și clonarea aplicațiilor între cele două profile de utilizator.
Shelter este inclusă în catalogul de aplicații open-source F-Droid (www.f-droid.org).
Reamintim că orice descărcare și instalare de software trebuie realizată prin intermediul unei conexiuni securizate conform descrierii de la pasul 6.
Este recomandat să instalăm acest catalog (descărcând și instalând fișiserul F-Droid.apk) și să instalăm apoi Shelter prin intermediul aplicației F-Droid. Alternativ, putem descărca manual fișierul .apk al aplicației Shelter și să îl instalăm direct.
Odată instalată aplicația Shelter și inițializat profilul Work profile, putem trece la pasul următor.
8. Debloat (opțional)
Debloat este debarasarea de software-ul inutil de pe telefon și care nu poate fi dezinstalat manual. În general, acestea sunt aplicații care transmit date legate de modul în care utilizăm noi telefonul, și pot include chiar și informații private legate de rețelele Wi-Fi accesate și parolele acestora, precum și date introduse prin intermediul tastaturii telefonului, inclusiv parole ale diferitelor conturi personale.
În general, debarasarea de acest tip de software ne asigură mai multă intimitate, o funcționare mai performantă a telefonului și o durată de viață mai mare a bateriei.
Întrebarea care se pune este care sunt acele aplicații pe care le putem dezinstala astfel încât să nu putem în pericol funcționarea normală a telefonului mobil. Pentru fiecare versiune a sistemului de operare Android (de ex. One UI 3.1, OxygenOS 13.1, etc.), veți găsi pe internet liste cu pachetele care pot fi dezinstalate în siguranță.
În general, pentru a realiza acest lucru, este nevoie să activați “Developer options“, apoi “USB debugging“.
Trebuie instalat pe un computer software-ul ABD (Android Debug Bridge) și, dacă este nevoie, driverele USB necesare pentru conectarea telefonului la computer. Se conectează telefonul, se permite USB debugging și se îndepărtează pachetele nedorite transmițând comenzile specifice ADB cu ajutorul computerului (veți găsi suficiente informații online). Pentru ușurință, puteți folosi Excel pentru a concatena comenzile de dezinstalare separându-le cu “;” și le puteți introduce pe toate odată.
Debloat-ul se face separat pentru user 0 și apoi pentru user 10.
După finalizare se dezactivează “USB debugging“, ca măsură de securitate pentru telefon.
9. Instalare aplicații
În sfârșit, puteți instala aplicațiile de care aveți nevoie. Reamintim că orice descărcare și instalare de software trebuie realizată prin intermediul unei conexiuni securizate conform descrierii de la pasul 6.
Recomand insistent instalarea unei tastaturi open-source (de ex. OpenBoard din catalogul F-Droid)atât pentru profilul personal, cât și pentru Work profile, și configurarea ei ca tastatură standard pentru ambele profile. După instalarea acestei tastaturi puteți să vă resetați cu încredere parolele conturilor online, inclusiv a contului Google, pentru că această tastatură open-source nu transmite nimănui parolele dvs. O parolă suficient de sigură va avea aproximativ 40 de caractere aleatorii și, în plus, este bine să activați autentificarea în doi pași.
Alte aplicații utile pentru ambele profile de utilizator sunt:
– un manager de fișier open-source (de ex. Simple File Manager din catalogul F-Droid);
– o aplicație care permite transferul de fișier între cele două profile (de ex. Phone Saver, totdin catalogul F-Droid).
Instalare aplicații user 0 (Personal profile)
Reamintim că pentru profilul personal se va întrerupe conexiunea la internet, din motive de siguranță și de intimitate.
Gâdiți-vă la aplicatiile de care credeți că veți avea nevoie în acest profil și instalati-le acum (de ex. pentru calendar, notițe, galerie foto, reportofon, manager parole (de ex. KeePassDX), sau alte aplicații care nu au nevoie de o conexiune la internet).
Dacă este nevoie, veți putea reconecta ulterior acest profil la internet, dar telefonul va transmite toate datele personale colectate între timp. Alternativ, prin intermediul Shelter, puteți încerca să clonați aplicații din Work profile în Personal profile, verificând însă funcționalitatea lor.
Instalare aplicații user 10 (Work profile)
Instalați în Work profile aplicațiile obișnuite pentru e-mail, banking, social media. Fiți precauți cu aplicațiile mai puțin cunoscute din Play Store sau cele care au un număr mic de utilizatori.
Nu recomand instalarea unui antivirus pentru că acest tip de aplicație are acces la toate fișierele sistemului de operare și rulează actualizări automate ce sunt imposibil de controlat și greu de verificat, așa că, în schimb, fiți selectivi cu aplicațiile pe care le instalați.
Dacă aveți nevoie să scanați un fișier necunoscut, puteți folosi un scanner online care folosește chiar o listă extinsă de antiviruși pentru a verifica în mod gratuit fișierele transmise (de ex: www.virusscan.jotti.org).
10. Instalare și activare Wireguard VPN
În acest pas vom configura profilul personal (Personal profile) pentru a bloca permanent conexiunea acestui profil la internet. Acesta fiind profilul principal al telefonului, vom reuși astfel să blocăm o mare parte din aplicațiile sistemului de operare care transmit date legate de modul de utilizare a telefonului.
Pentru a realiza acest lucru, vom instala un VPN open-source (de ex. Wireguard din catalogul Play Store) și vom configura telefonul să folosească în permanență acest VPN și să blocheze conexiunile care nu au acces la acest VPN, doar că VPN-ul va fi, de fapt, deconectat permanent (pentru inițializarea VPN-ului este necesar să se definească o conexiune, chiar dacă aceasta nu este funcțională).
Alternativ, se poate configura o conexiune funcțională la rețeaua de acasă (unde trebuie configurat un server Wireguard), setând în telefon la IP-uri permise pentru această conexiune VPN doar IP-ul serverului Wireguard și plaja de IP-uri locale din rețeaua de acasă. Realizând acest lucru, puteți instala în acest profil de utilizator toate aplicațiile care accesează resurse din rețeaua LAN de acasă (de ex. pentru CCTV, smart home, etc.).
Opțional, VPN-ul Wireguard poate fi instalat și în Work profile și configurat pentru a permite conexiunea la internet doar pentru anumite aplicații, sporind și mai mult nivelul de intimitate al telefonului.
Dezavantaje
Singurul dezavantaj minor este faptul că agenda cu numere de telefon din profilul personal nu se va sincroniza cu contul Google pentru numerele nou introduse deoarece conexiunea la internet a profilului personal va fi blocată. Folosiți Shelter pentru a clona aplicațiile Telefon și Contacte din profilul personal în Work profile și utilizați de acum aplicația Contacte din Work profile, aceasta se va sincroniza.
Încheiere
Rețineți că punctele vulnerabile ale sistemului de operare Android sunt instalările și actualizările de software. Respectați pașii prezentați în acest ghid pentru instalări și actualizări în siguranță.
Aplicațiile din catalogul F-Droid care sunt marcate ca fiind sigure sunt aplicații open-source de încredere.
De asemenea, este foarte puțin probabil ca aplicațiile main-stream din Play Store (social media, banking, etc.) să prezinte probleme de securitate.
Dacă respectați modul de instalare recomandat aici și vă mulțumiți cu tipul de aplicații menționate mai sus nu aveți nevoie de un antivirus. Instalarea unui antivirus presupune un nivel de încredere foarte mare în aplicația respectivă și dezvoltatorii ei și poate reprezenta în sine un punct slab în securitatea telefonului dvs. (nu putem numi persoanele care ar profita de acest lucru sau comenta asupra relației lor cu dezvoltatorii antivirusului).
În plus, faptul că toate aplicațiile conectate online rulează în Work profile constituie o măsură de securitate suplimentară pentru că, în cazul apariției unei probleme, întregul profil poate fi șters și reinițializat, fară a fi afectate aplicațiile și informațiile din profilul personal.
Protejarea telefonului
Protejați-vă telefonul cu un cod de securitate suficient de complex. Nu faceți back-up la codul de securitate. Schimbați codul de securitate regulat.
Notați-vă undeva codul IMEI al telefonului pentru ca telefonul să nu poată fi substituit fără să observați.
Nu achiziționați niciodată un telefon cu livrare prin curier pentru că securitatea telefonului poate fi compromisă pe parcursul livrării (a se citi „compromisă intenționat” – vedeți aici de ce).
Redundanță
Pentru siguranță e bine să aveți un telefon de rezervă configurat în mod similar cu telefonul principal (eventual cu un abonament într-o altă rețea). Voi reda doar unul din motivele pentru care susțin acest lucru: întrucât al doilea pas de autentificare pe multe platforme online (de ex. cele de social media) se face prin mesaj de confirmare primit în aplicație, dacă aveți un singur telefon și se defectează, puteți pierde permanent accesul la conturile de pe platformele respective.