הפרויקט הקוד הפתוח של אנדרואיד הוא מערכת הפעלה מאובטחת לנייד הכוללת אפליקצית ארגז חול, אתחול מאומת (AVB), ו- הרשאות מערכת בקרת חזקה.
הגנות אבטחה¶
Key components of the Android security model include verified boot, firmware updates, and a robust permission system. These important security features form the baseline of the minimum criteria for our mobile phone and custom Android OS recommendations.
אתחול מאומת¶
Verified Boot is an important part of the Android security model. הוא מספק הגנה מפני התקפות משרתת רעה, התמדה של תוכנות זדוניות, ומבטיח שלא ניתן לשדרג לאחור עדכוני אבטחה עם הגנה לאחור.
אנדרואיד 10 ומעלה עברה מהצפנה בדיסק מלא להצפנה מבוססת קבצים גמישה יותר. הנתונים שלך מוצפנים באמצעות מפתחות הצפנה ייחודיים, וקבצי מערכת ההפעלה נותרים לא מוצפנים.
אתחול מאומת מבטיח את שלמות קבצי מערכת ההפעלה, ובכך מונע מיריב בעל גישה פיזית לחבל או להתקין תוכנה זדונית במכשיר. במקרה הבלתי סביר שתוכנות זדוניות מסוגלות לנצל חלקים אחרים של המערכת ולהשיג גישה מוסמכת יותר, אתחול מאומת ימנע ותחזיר שינויים במחיצת המערכת עם אתחול המכשיר מחדש.
למרבה הצער, יצרני ציוד מקורי מחויבים לתמוך באתחול מאומת רק בהפצת אנדרואיד בברירת מחדל שלהם. רק כמה יצרני OEM כגון גוגל תומכים ברישום מפתח AVB מותאם אישית במכשירים שלהם. בנוסף, חלק מנגזרות AOSP כגון LineageOS או /e/ OS אינן תומכות ב-Verified Boot אפילו בחומרה עם תמיכה ב-Verified Boot עבור מערכות הפעלה של צד שלישי. אנו ממליצים לבדוק אם יש תמיכה לפני רכישת מכשיר חדש. נגזרות AOSP שאינן תומכות באתחול מאומת לא מומלצות.
יצרני OEM רבים גם עשו יישום שבור של אתחול מאומת שעליך להיות מודע אליו מעבר לשיווק שלהם. לדוגמה, ה-Fairphone 3 ו-4 אינם מאובטחים כברירת מחדל, מכיוון שמטען האתחול של הברירת מחדל סומך על מפתח החתימה הציבורי של AVB. This breaks verified boot on a stock Fairphone device, as the system will boot alternative Android operating systems (such as /e/) without any warning about custom operating system usage.
עדכוני קושחה¶
Firmware updates are critical for maintaining security and without them your device cannot be secure. ליצרני ציוד מקורי יש הסכמי תמיכה עם השותפים שלהם כדי לספק את רכיבי הקוד הסגור לתקופת תמיכה מוגבלת. אלה מפורטים בעלוני האבטחה של אנדרואיד החודשיים.
מכיוון שרכיבי הטלפון, כגון טכנולוגיות המעבד והרדיו, מסתמכים על רכיבי קוד סגור, העדכונים חייבים להיות מסופקים על ידי היצרנים המתאימים. לכן, חשוב שתרכוש מכשיר בתוך מחזור תמיכה פעיל. Qualcomm and Samsung support their devices for 4 years, while cheaper products often have shorter support cycles. With the introduction of the Pixel 6, Google now makes their own SoC, and they will provide a minimum of 5 years of support. With the introduction of the Pixel 8 series, Google increased that support window to 7 years.
מכשירי EOL שאינם נתמכים עוד על ידי יצרן ה-SoC אינם יכולים לקבל עדכוני קושחה מספקי OEM או מפיצי אנדרואיד לאחר השוק. משמעות הדבר היא שבעיות אבטחה במכשירים אלה יישארו ללא תיקון.
Fairphone, for example, markets their Fairphone 4 device as receiving 6 years of support. עם זאת, ל-SoC (Qualcomm Snapdragon 750G ב-Fairphone 4) יש תאריך EOL קצר בהרבה. המשמעות היא שעדכוני אבטחת קושחה מ-Qualcomm עבור Fairphone 4 יסתיימו בספטמבר 2023, ללא קשר לשאלה אם Fairphone תמשיך לשחרר עדכוני אבטחה תוכנה.
הרשאות אנדרואיד¶
Permissions on Android grant you control over what apps are allowed to access. גוגל מבצעת בקביעות שיפורים במערכת ההרשאות בכל גרסה עוקבת. כל האפליקציות שאתה מתקין הן אך ורק ארגז חול, לכן, אין צורך להתקין אפליקציות אנטי וירוס.
סמארטפון עם הגרסה העדכנית ביותר של אנדרואיד תמיד יהיה מאובטח יותר מסמארטפון ישן עם אנטי וירוס ששילמת עליו. It's better not to pay for antivirus software and to save money to buy a new smartphone such as a Google Pixel.
אנדרואיד 10:
- אחסון בהיקף נותן לך שליטה רבה יותר על הקבצים שלך ויכול להגביל את מה שיכול לגשת לאחסון חיצוני. לאפליקציות יכולות להיות ספרייה ספציפית באחסון חיצוני וכן יכולת לאחסן שם סוגים ספציפיים של מדיה.
- גישה הדוקה יותר במיקום המכשיר על ידי הצגת ההרשאה
ACCESS_BACKGROUND_LOCATION
. זה מונע מאפליקציות לגשת למיקום כשהן פועלות ברקע ללא אישור מפורש מהמשתמש.
אנדרואיד 11:
- הרשאות חד פעמיות מאפשרות לך להעניק הרשאה לאפליקציה פעם אחת בלבד.
- הרשאות איפוס אוטומטי, המאפס הרשאות זמן ריצה שניתנו בעת פתיחת האפליקציה.
- הרשאות מפורטות לגישה לתכונות הקשורות למספרי טלפון.
אנדרואיד 12:
- הרשאה להעניק רק את המיקום המשוער.
- איפוס אוטומטי של אפליקציות במצב שינה.
- ביקורת גישה לנתונים שמקלה לקבוע איזה חלק באפליקציה מבצע סוג מסוים של גישה לנתונים.
אנדרואיד 13:
- A permission for nearby Wi-Fi access. The MAC addresses of nearby Wi-Fi access points were a popular way for apps to track a user's location.
- הרשאות מדיה מפורטות יותר, כלומר אתה יכול להעניק גישה לתמונות, סרטונים או קבצי אודיו בלבד.
- שימוש ברקע בחיישנים מחייב כעת את הרשאת
BODY_SENSORS
.
אפליקציה עשויה לבקש הרשאה עבור תכונה ספציפית שיש לה. לדוגמה, כל אפליקציה שיכולה לסרוק קודי QR תדרוש את אישור המצלמה. אפליקציות מסוימות יכולות לבקש יותר הרשאות ממה שהן צריכות.
Exodus can be useful when comparing apps that have similar purposes. אם אפליקציה דורשת הרבה הרשאות ויש לה הרבה פרסום וניתוח זה כנראה סימן רע. אנו ממליצים להסתכל על העוקבים הבודדים ולקרוא את התיאורים שלהם במקום פשוט לספור את הסכום הכולל ולהנחה שכל הפריטים הרשומים שווים.
Warning
אם אפליקציה היא ברובה שירות מבוסס אינטרנט, המעקב עשוי להתרחש בצד השרת. Facebook shows "no trackers" but certainly does track users' interests and behavior across the site. אפליקציות עשויות להתחמק מזיהוי על ידי אי שימוש בספריות קוד סטנדרטיות המיוצרות על ידי תעשיית הפרסום, אם כי זה לא סביר.
Note
Privacy-friendly apps such as Bitwarden may show some trackers such as Google Firebase Analytics. ספרייה זו כוללת את Firebase Cloud Messaging שיכולה לספק הודעות דחיפה באפליקציות. זה המקרה עם Bitwarden. זה לא אומר ש-Bitwarden משתמש בכל תכונות הניתוח שמסופקות על ידי Google Firebase Analytics.
תכונות פרטיות¶
פרופילי משתמשים¶
ניתן למצוא פרופילי משתמש מרובים בהגדרות ← מערכת ← משתמש מרובים והם הדרך הפשוטה ביותר לבודד באנדרואיד.
עם פרופילי משתמש, אתה יכול להטיל הגבלות על פרופיל ספציפי, כגון: ביצוע שיחות, שימוש ב-SMS או התקנת אפליקציות במכשיר. כל פרופיל מוצפן באמצעות מפתח הצפנה משלו ואינו יכול לגשת לנתונים של אף פרופיל אחר. אפילו בעל המכשיר לא יכול לראות את הנתונים של פרופילים אחרים מבלי לדעת את הסיסמה שלהם. פרופילי משתמשים מרובים הם שיטה בטוחה יותר לבידוד.
פרופיל עבודה¶
פרופילי עבודה הם דרך נוספת לבודד אפליקציות בודדות ועשויה להיות נוחה יותר מפרופילי משתמשים נפרדים.
A device controller app such as Shelter is required to create a Work Profile without an enterprise MDM, unless you're using a custom Android OS which includes one.
פרופיל העבודה תלוי בבקר התקן כדי לתפקד. תכונות כגון מעבורת קבצים וחסימת חיפוש אנשי קשר או כל סוג של תכונות בידוד חייבות להיות מיושמות על ידי הבקר. You must also fully trust the device controller app, as it has full access to your data inside the work profile.
שיטה זו בדרך כלל פחות מאובטחת מפרופיל משתמש משני; עם זאת, זה כן מאפשר לך את הנוחות של הפעלת אפליקציות בפרופיל העבודה וגם בפרופיל האישי בו-זמנית.
מתג הרג VPN¶
Android 7 and above supports a VPN kill switch, and it is available without the need to install third-party apps. תכונה זו יכולה למנוע דליפות אם ה-VPN מנותק. ניתן למצוא אותו ב הגדרות ← רשת & אינטרנט ← VPN ← ← חסום חיבורים ללא VPN.
בוררים גלובליים¶
למכשירי אנדרואיד מודרניים יש בוררים גלובליים לביטול Bluetooth ושירותי מיקום. אנדרואיד 12 הציגה מתגים למצלמה ולמיקרופון. כאשר אינו בשימוש, אנו ממליצים להשבית את התכונות הללו. Apps cannot use disabled features (even if granted individual permissions) until re-enabled.
שירותי גוגל¶
If you are using a device with Google services—whether with the stock operating system or an operating system that safely sandboxes Google Play Services like GrapheneOS—there are a number of additional changes you can make to improve your privacy. אנו עדיין ממליצים להימנע לחלוטין משירותי Google, או להגביל את שירותי Google Play לפרופיל משתמש/עבודה ספציפי על ידי שילוב של בקר מכשיר כמו Shelter עם Google Play Sandboxed של GrapheneOS.
תוכנית הגנה מתקדמת¶
If you have a Google account we suggest enrolling in the Advanced Protection Program. הוא זמין ללא עלות לכל מי שיש לו שני מפתחות אבטחה חומרה או יותר עם תמיכה ב-FIDO. Alternatively, you can use passkeys.
תוכנית ההגנה המתקדמת מספקת ניטור איומים משופר ומאפשרת:
- Stricter two-factor authentication; e.g. that FIDO must be used and disallows the use of SMS OTPs, TOTP and OAuth
- רק גוגל ואפליקציות צד שלישי מאומתות יכולות לגשת לנתוני החשבון
- סריקה של הודעות אימייל נכנסות בחשבונות Gmail עבור ניסיונות דיוג
- Stricter safe browser scanning with Google Chrome
- תהליך שחזור מחמיר עבור חשבונות עם אישורים שאבדו
If you use non-sandboxed Google Play Services (common on stock operating systems), the Advanced Protection Program also comes with additional benefits such as:
- Not allowing app installation outside the Google Play Store, the OS vendor's app store, or via
adb
- Mandatory automatic device scanning with Play Protect
- מזהיר אותך לגבי יישומים לא מאומתים
עדכוני מערכת Google Play¶
בעבר, עדכוני אבטחה אנדרואיד היו צריכים להישלח על ידי ספק מערכת ההפעלה. אנדרואיד הפכה מודולרית יותר החל מאנדרואיד 10, וגוגל יכולה לדחוף עדכוני אבטחה עבור חלק רכיבי מערכת באמצעות שירותי Play המועדפים.
אם יש לך מכשיר EOL שנשלח עם אנדרואיד 10 ומעלה ואינך יכול להריץ אף אחת ממערכות ההפעלה המומלצות שלנו במכשיר שלך, סביר להניח שעדיף לך להישאר עם התקנת האנדרואיד של היצרן ציוד המקורי (בניגוד למערכת הפעלה שאינה מופיעה ברשימה כאן כגון LineageOS או /e/ OS). זה יאפשר לך לקבל כמה תיקוני אבטחה מגוגל, מבלי להפר את מודל האבטחה של אנדרואיד על ידי שימוש בנגזרת אנדרואיד לא מאובטחת והגדלת משטח ההתקפה שלך. אנו עדיין ממליצים לשדרג למכשיר נתמך בהקדם האפשרי.
מזהה פרסום¶
All devices with Google Play Services installed automatically generate an advertising ID used for targeted advertising. השבת תכונה זו כדי להגביל את הנתונים שנאספו עליך.
בהפצות אנדרואיד עם Google Play בארגז חול, עבור אל הגדרות ← אפליקציות ← Google Play בארגז חול ← הגדרות גוגל ← מודעות, ותבחר מחק מזהה פרסום.
בהפצות אנדרואיד עם שירותי Google Play מורשים (כגון מערכת הפעלה ברירת מחדל), ההגדרה עשויה להיות באחד מכמה מיקומים. בדיקה
- הגדרות ← גוגל ← מודעות
- הגדרות ← פרטיות ← מודעות
You will either be given the option to delete your advertising ID or to Opt out of interest-based ads (this varies between OEM distributions of Android). If presented with the option to delete the advertising ID, that is preferred. אם לא, הקפד לבטל את הסכמתך ולאפס את מזהה הפרסום שלך.
SafetyNet ו-Play Integrity API¶
SafetyNet והממשק API של Play Integrity משמשים בדרך כלל עבור אפליקציות בנקאיות. אפליקציות בנקאות רבות יעבדו מצוין ב-GrapheneOS עם שירותי Play בארגז חול, אולם לחלק מהאפליקציות הלא פיננסיות יש מנגנוני אנטי-שיבוש גולמיים משלהם שעלולים להיכשל. GrapheneOS עובר את בדיקת basicIntegrity
, אך לא את בדיקת האישור ctsProfileMatch
. למכשירים עם אנדרואיד 8 ואילך יש תמיכה באישורי חומרה שלא ניתן לעקוף ללא מפתחות דלופים או פגיעויות חמורות.
As for Google Wallet, we don't recommend this due to their privacy policy, which states you must opt out if you don't want your credit rating and personal information shared with affiliate marketing services.