The Android Open Source Project is a secure mobile operating system featuring strong app sandboxing, Verified Boot (AVB), and a robust permission control system.
Security Protections¶
Key components of the Android security model include verified boot, firmware updates, and a robust permission system. These important security features form the baseline of the minimum criteria for our mobile phone and custom Android OS recommendations.
Проверенная загрузка¶
Verified Boot is an important part of the Android security model. Она обеспечивает защиту от атак злой горничной, сохранения вредоносных программ и гарантирует, что обновления безопасности не могут быть понижены с помощью защиты от отката.
Android 10 и выше перешел от шифрования всего диска к более гибкому файловому шифрованию. Ваши данные шифруются с помощью уникальных ключей шифрования, а файлы операционной системы остаются незашифрованными.
Проверенная загрузка обеспечивает целостность файлов операционной системы, тем самым не позволяя недоброжелателям с физическим доступом взломать устройство или установить на него вредоносное ПО. В маловероятном случае, если вредоносное ПО сможет использовать другие части системы и получить более высокий привилегированный доступ, проверенная загрузка предотвратит и отменит изменения в системный раздел при перезагрузке устройства.
К сожалению, OEM-производители обязаны поддерживать проверенную загрузку только в своих стоковых дистрибутивах Android. Лишь некоторые OEM-производители, например Google, поддерживают пользовательскую регистрацию ключей AVB на своих устройствах. Кроме того, некоторые производные AOSP, например LineageOS или /e/ OS, не поддерживают проверенную загрузку даже на девайсах с поддержкой проверенной загрузки для сторонних операционных систем. Мы рекомендуем вам проверить наличие поддержки перед покупкой нового устройства. Производные AOSP, которые не поддерживают проверенную загрузку, не рекомендуются.
Многие OEM-производители также встраивают сломанную реализацию проверенной загрузки. Вы должны помнить об этом и не обращать внимание на их маркетинг. Например, телефоны Fairphone 3 и 4 не защищены по умолчанию, поскольку стоковый загрузчик доверяет публичному ключу подписи AVB. This breaks verified boot on a stock Fairphone device, as the system will boot alternative Android operating systems (such as /e/) without any warning about custom operating system usage.
Обновления прошивки¶
Firmware updates are critical for maintaining security and without them your device cannot be secure. OEM-производители имеют соглашения о поддержке со своими партнерами для предоставления компонентов с закрытым исходным кодом на ограниченный период поддержки. Они подробно описаны в ежемесячных бюллетенях по безопасности Android.
Поскольку компоненты телефона, такие как процессор и радиотехнологии, полагаются на компоненты с закрытым исходным кодом, обновления должны предоставляться соответствующими производителями. Поэтому важно, чтобы вы приобрели устройство в рамках активного цикла поддержки. Qualcomm and Samsung support their devices for 4 years, while cheaper products often have shorter support cycles. With the introduction of the Pixel 6, Google now makes their own SoC, and they will provide a minimum of 5 years of support. With the introduction of the Pixel 8 series, Google increased that support window to 7 years.
Устройства EOL, которые больше не поддерживаются производителем SoC, не могут получать обновления прошивки от OEM-производителей или дистрибьюторов Android. Это означает, что проблемы безопасности этих устройств останутся неисправленными.
Fairphone, for example, markets their Fairphone 4 device as receiving 6 years of support. Однако SoC (Qualcomm Snapdragon 750G в Fairphone 4) имеет значительно более короткую дату выхода из эксплуатации. Это означает, что обновления безопасности прошивки от Qualcomm для Fairphone 4 закончатся в сентябре 2023 года, независимо от того, будет ли Fairphone продолжать выпускать обновления безопасности программного обеспечения.
Разрешения в Android¶
Permissions on Android grant you control over what apps are allowed to access. Google регулярно вносит исправления в систему разрешений в каждой следующей версии Android. Все установленные приложения строго изолированы, поэтому нет необходимости устанавливать антивирусные программы.
Смартфон с последней версией Android всегда будет более безопасен, чем старый смартфон с купленным и установленным антивирусом. It's better not to pay for antivirus software and to save money to buy a new smartphone such as a Google Pixel.
Android 10:
- Scoped Storage дает вам больше контроля над вашими файлами и позволяет ограничить то, что может получить доступ к внешнему хранилищу. Приложения могут иметь определенный каталог во внешнем хранилище, а также возможность хранить там определенные типы файлов.
- Ужесточение доступа к местоположению устройства путем введения разрешения
ACCESS_BACKGROUND_LOCATION
. Это предотвращает доступ приложений к местоположению при работе в фоновом режиме без специального разрешения пользователя.
Android 11:
- Одноразовые разрешения позволяют вам дать разрешение приложению не навсегда, а только на один раз.
- Автосброс разрешений, который сбрасывает разрешения на выполнение, которые были предоставлены при открытии приложения.
- Детальные разрешения для доступа к функциям, связанным с телефонным номером.
Android 12:
- Разрешение на примерное местоположение.
- Автоматический сброс спящих приложений.
- Аудит доступа к данным, который облегчает определение того, какая часть приложения получает доступ к специфичному типу данных.
Android 13:
- A permission for nearby Wi-Fi access. The MAC addresses of nearby Wi-Fi access points were a popular way for apps to track a user's location.
- Более детальные разрешения на мультимедиа, то есть вы можете предоставить доступ только к изображениям, видео или аудиофайлам.
- Фоновое использование датчиков теперь требует разрешения
BODY_SENSORS
.
Приложение может запрашивать разрешения для имеющихся функций. Например, приложение, которое может сканировать QR-коды, запросит разрешение на использование камеры. Некоторые приложения могут запрашивать больше разрешений, чем им нужно.
Exodus can be useful when comparing apps that have similar purposes. Если приложение запрашивает много разрешений и имеет много рекламы и аналитики, это вероятно плохой знак. Мы рекомендуем обращать внимание на конкретные трекеры и читать их описание, вместо того, чтобы просто посчитать их общее количество и предположить, что они все одинаковые.
Предупреждение
Если приложение в основном представляет собой веб-сервис, отслеживание может происходить на стороне сервера. Facebook shows "no trackers" but certainly does track users' interests and behavior across the site. Приложения могут избежать обнаружения, не используя стандартные библиотеки кода, созданные рекламной индустрией, хотя это маловероятно.
Note
Privacy-friendly apps such as Bitwarden may show some trackers such as Google Firebase Analytics. Эта библиотека включает Firebase Cloud Messaging, которая нужна для поддержки push-уведомлений в приложениях. Именно это относится к Bitwarden. Это не означает, что Bitwarden использует все возможности аналитики, которые предоставляет Google Firebase Analytics.
Privacy Features¶
Профили пользователей¶
Профили нескольких пользователей находятся в разделе Настройки → Система → Пользователи и являются самым простым способом изоляции в Android.
С помощью профилей пользователей можно наложить ограничения на определенный профиль, например: совершение звонков, использование SMS или установка приложений на устройство. Каждый профиль шифруется с помощью собственного ключа шифрования и не может получить доступ к данным других профилей. Даже владелец устройства не может просматривать данные других профилей, не зная их пароля. Профили пользователей - это более безопасный метод изоляции.
Рабочий профиль¶
Рабочие профили - это еще один способ изолировать отдельные приложения, который может быть более удобным, чем отдельные профили пользователей.
A device controller app such as Shelter is required to create a Work Profile without an enterprise MDM, unless you're using a custom Android OS which includes one.
Функционирование рабочего профиля зависит от контроллера устройства. Такие функции, как File Shuttle и блокировка поиска контактов или любые другие функции изоляции должны быть реализованы контроллером. You must also fully trust the device controller app, as it has full access to your data inside the work profile.
Этот метод обычно менее безопасен, чем второй профиль пользователя; однако он позволяет запускать приложения одновременно в рабочем и личном профилях.
VPN Killswitch¶
Android 7 and above supports a VPN kill switch, and it is available without the need to install third-party apps. Эта функция может предотвратить утечку данных в случае отключения VPN. Его можно найти в Настройки → Сеть и интернет → VPN → → Блокировать соединения без VPN.
Глобальные переключатели¶
В современных устройствах Android есть глобальные переключатели для отключения Bluetooth и служб определения местоположения. В Android 12 появились переключатели для камеры и микрофона. Когда эти функции не используются, мы рекомендуем отключать их. Apps cannot use disabled features (even if granted individual permissions) until re-enabled.
Google Services¶
If you are using a device with Google services—whether with the stock operating system or an operating system that safely sandboxes Google Play Services like GrapheneOS—there are a number of additional changes you can make to improve your privacy. Мы по-прежнему рекомендуем полностью отказаться от сервисов Google или ограничить сервисы Google Play определенным профилем пользователя/рабочим профилем, объединив контроллер устройства, такой как Shelter, с GrapheneOS's Sandboxed Google Play.
Дополнительная защита¶
If you have a Google account we suggest enrolling in the Advanced Protection Program. Она доступен бесплатно для всех, у кого есть минимум два аппаратных ключа безопасности с поддержкой FIDO. Alternatively, you can use passkeys.
Программа дополнительной защиты обеспечивает усиленный мониторинг угроз и активирует:
- Stricter two-factor authentication; e.g. that FIDO must be used and disallows the use of SMS OTPs, TOTP and OAuth
- Только Google и проверенные сторонние приложения могут получить доступ к данным аккаунта
- Сканирование входящих писем на аккаунтах Gmail на наличие фишинга
- Stricter safe browser scanning with Google Chrome
- Более строгий процесс восстановления учетных записей с утраченными учетными данными
If you use non-sandboxed Google Play Services (common on stock operating systems), the Advanced Protection Program also comes with additional benefits such as:
- Not allowing app installation outside the Google Play Store, the OS vendor's app store, or via
adb
- Mandatory automatic device scanning with Play Protect
- Предупреждение о непроверенных приложениях
Обновление Google Play¶
В прошлом обновления безопасности для Android должны были поставляться производителем операционной системы. Android стал более модульным, начиная с Android 10, и Google может распространять обновления безопасности для некоторых системных компонентов через привилегированные службы Play Services.
Если у вас есть устройство EOL, поставляемое с Android 10 или выше, и вы не можете запустить ни одну из рекомендованных нами операционных систем на своем устройстве, вам, скорее всего, лучше придерживаться OEM-установки Android (в отличие от операционной системы, не указанной здесь, например, LineageOS или /e/ OS). Это позволит вам получать некоторые исправления безопасности от Google, но при этом не нарушать модель безопасности Android, используя небезопасный вариант Android и увеличивая поверхность атаки. Мы по-прежнему рекомендуем как можно скорее перейти на поддерживаемое устройство.
Рекламный идентификатор¶
All devices with Google Play Services installed automatically generate an advertising ID used for targeted advertising. Отключите эту функцию, чтобы ограничить объем собираемых о вас данных.
В дистрибутивах андроид с Sandboxed Google Play, откройте Настройки → Приложения → Sandboxed Google Play → Google Settings → Реклама, и выберите Удалить рекламный идентификатор.
В дистрибутивах Android с привилегированными службами Google Play (например, в стоковых ОС) эта настройка может находиться в одном из нескольких мест. Проверьте
- Настройки → Google → Реклама
- Настройки → Конфиденциальность → Реклама
You will either be given the option to delete your advertising ID or to Opt out of interest-based ads (this varies between OEM distributions of Android). If presented with the option to delete the advertising ID, that is preferred. Если нет, то обязательно откажитесь и сбросьте свой рекламный ID.
SafetyNet и Play Integrity API¶
SafetyNet и Play Integrity APIs обычно используются для банковских приложений. Многие банковские приложения будут отлично работать в GrapheneOS с "изолированными" Play services, однако некоторые нефинансовые приложения имеют свои собственные слабые механизмы защиты от взлома, которые могут дать сбой. GrapheneOS проходит проверку basicIntegrity
, но не проверку сертификации ctsProfileMatch
. Устройства с Android 8 или более поздней версией имеют поддержку аппаратной аттестации, которую невозможно обойти без утечки ключей или серьезных уязвимостей.
As for Google Wallet, we don't recommend this due to their privacy policy, which states you must opt out if you don't want your credit rating and personal information shared with affiliate marketing services.