- PVSM.RU - https://www.pvsm.ru -
Мобильных компьютеров уже давно больше, чем стационарных. И наших личных данных на них так же значительно больше, чем на стационарных. При этом текущий дизайн OS мобильных устройств создаёт впечатление, что одна из их основных задач — как можно сильнее упростить доступ третьим лицам (в основном — корпорациям и государству, но и мелким разработчикам мобильных приложений тоже обламывается от этого пирога) к вашим личным данным.
Частичная открытость Android немного улучшает ситуацию, но полноценного решения проблемы утечки приватных данных пока не существует. Основная проблема в том, что пока на устройстве используются блобы [1] нет никаких гарантий, что в них нет закладок (вроде обнаруженных в прошивках Samsung Galaxy [2]). Аналогичная проблема с проприетарными приложениями без открытых исходников (вроде всего пакета GApps, начиная с самого Google Play Маркет). По сути всё как раз наоборот — крайне высока вероятность, что закладки там есть. Нередко их даже не пытаются скрывать, выдавая за удобные «фичи» для синхронизации и/или бэкапа ваших данных, обеспечивания вас полезной рекламой, и «защиту» от вредоносного софта или на случай утери устройства. Один из самых надёжных способов защиты своих данных описан в статье Mission Impossible: Hardening Android for Security and Privacy [3], но там речь не о телефоне, а о планшете, причём с поддержкой только WiFi (мобильных чипов без блобов по-моему вообще пока ещё нет, для мобильного инета вместе с этим планшетом предлагается использовать отдельный 3G-модем, блобы в котором никому не навредят т.к. на этом модеме личных данных просто нет), и, на всякий случай, физически отрезанным микрофоном. Но, несмотря на невозможность полноценно защитить личные данные на телефоне, я считаю что стоит сделать максимум возможного: прикрыть столько каналов утечек, сколько получится — ведь мало кто может позволить себе не использовать мобильный телефон или не держать на нём личные данные (хотя бы контакты и историю звонков).
Сразу уточню, что об анонимности речь вообще идти не будет. Это отдельная большая и сложная тема, которая, в частности, потребует использования Tor, полного отказа от GSM и перевода всей телефонии на шифрованный VoIP, etc. На эту тему стоит почитать предыдущую ссылку и воспользоваться приложениями от The Guardian Project [4]. Но делать всё это может иметь смысл только при условии, что ваши данные не утекут прямо с телефона, т.е. после решения описанных в этой статье задач. Описанные ниже приёмы защиты от идентификации/отслеживания не дают анонимности, они просто прикрывают некоторые дополнительные каналы утечки личных данных (к которым относится и то, где и когда вы бываете).
Ещё одна проблема — сложность и не лучшее юзабилити описанных решений делает их малодоступными для среднего пользователя. Предполагается, что читатель умеет менять прошивки телефона, пользоваться adb
и хоть немного ориентируется в командной строке Linux. В принципе, большую часть описанного можно (и нужно!) автоматизировать и сделать доступным по нажатию пары кнопок обычному пользователю, но пока что этого никто не сделал.
Безопасность формируется разными элементами, и пренебрежение любым из них может свести на нет все усилия:
Требование к открытости исходников OS сразу исключают iOS и Windows Phone, да и из вариантов на базе Android подойдут далеко не все. Я буду использовать CyanogenMod, но это не единственный вариант (если ваш телефон поддерживается Replicant то он может быть предпочтительнее, плюс есть ещё Firefox OS, Ubuntu Touch, Tizen).
Что касается использования самых последних версий OS — к сожалению, мне пришлось поставить CyanogenMod 11 на базе Android 4.4.4 (KitKat). Причин две: во-первых CyanogenMod на Android 5.x для моего телефона просто ещё нет, и во-вторых ещё нет стабильной версии Xposed framework для Android 5.x.
Для надёжного шифрования бэкапов понадобится платная версия [21] Titanium Backup [22].
Для полноценного контроля доступа приложений к личным данным понадобится платная версия [23] XPrivacy [24]. В принципе, можно обойтись и бесплатной, но это будет значительно сложнее (информация о параметрах функций и чёрные/белые списки позволяют более тонко управлять доступом, да и пакетные операции экономят много времени). Я лично не проверял, но вроде бы «платную» версию можно получить и бесплатно (форма в конце страницы на сайте платной версии).
Что касается GApps. В идеале, конечно, лучше бы его вообще не устанавливать — если вам хватает приложений из F-Droid. Можно попробовать обойтись NOGAPPS a.k.a. µg Project [25], но на практике полноценной замены Google Play Маркет просто нет (а доступ к нему через NOGAPPS может в любой момент привести к бану и потере купленных приложений т.к. нарушает правила гугла). В этом случае стоит установить минималистский вариант GApps [26], и при необходимости остальные приложения GApps установить через Play Маркет (если вы переживаете, что в этом случае они будут занимать дополнительное место, то во-первых это всё-равно случится при первом же их обновлении, а во-вторых есть утилиты — включая Titanium Backup — которые умеют переносить приложения в /system
, решая эту проблему).
Вообще надо отметить, что разработчики выкладывавшие урезанные сборки GApps как-то все повально начали отказываться от дальнейшей поддержки этих сборок, у всех резко образовались семейные дела, причём они зачем-то через некоторое время после отказа от поддержки ещё и удалили с файловых хостингов выложенные ими ранее сборки и ветки на форумах в которых эти сборки обсуждались. Тем не менее, пару вариантов найти ещё возможно: минималистская сборка от jajb [27] (я бы из неё ещё убрал GoogleContactsSyncAdapter.apk
, GoogleBackupTransport.apk
и GoogleFeedback.apk
, но не уверен что без них ничего не сломается) и невероятно гибкий и настраиваемый, но уже не поддерживаемый PA Gapps от TKruzze [28].
Как вариант ещё можно просто удалить «лишние» приложения из уже установленного GApps, для определения списка лишних файлов проще всего сравнить минимальный и максимальный варианты вышеупомянутого PA Gapps.
Если только вы уже не приняли все необходимые меры предосторожности с самого начала использования своего телефона, то ваши личные данные уже давно «протекли» и доступны множеству чужих людей. В этом случае я бы рекомендовал сначала просто установить описанные приложения и поэкспериментировать с ними, а когда почувствуете себя с ними достаточно уверенно — удалить с телефона абсолютно все данные (включая содержимое внутренней/внешней SD card) и установить всё с нуля — это не заберёт ваши данные обратно, но хотя бы разорвёт связь между этими данными и вашим телефоном.
Что касается аккаунтов, то в идеале после замены прошивки нужно специально для телефона создать отдельные аккаунты в гугле, фейсбуке, etc. Это обычно не мешает вам использовать свои обычные аккаунты в нужных приложениях, а для всех остальных это сильно ограничит объём доступных им данных (например, «моим» фейсбуком пользуются только несколько игр, которым я дал к нему доступ ради каких-то бонусов).
ВНИМАНИЕ: Если вы покупали приложения в Play Маркет, то если после замены прошивки вы будете использовать тот же самый гугл-аккаунт связь между уже протёкшими данными и вашим телефоном сохранится (по крайней мере для гугла), а если аккаунт будет новый — вы потеряете ранее купленные приложения.
Если для вас замена прошивки и/или создание отдельных аккаунтов для телефона это перебор, то ничего страшного — как я уже писал в начале, способа полноценной и надёжной защиты личных данных на телефоне пока не существует, речь идёт исключительно о том, чтобы прикрыть столько каналов утечки данных, сколько получится. И в вашем случае будет просто прикрыто чуть меньше каналов, чем возможно на данный момент.
Дальше я буду исходить из того, что вы решили заменить текущую прошивку - если это не так, просто пропустите некоторые из описанных операций.
Для понимания описанных далее операций необходимо минимальное представление об основных разделах Android. Вкратце, основные разделы это:
/system
/data
/system
)/data/media
или /data/media/0
(в этом случае wipe или factory reset раздела /data
из recovery это не полноценное форматирование раздела, а просто удаление всех файлов кроме /data/media
)/data
, либо должны быть доступны всем приложениям (раздел /data
отформатирован в ext4, полноценно поддерживает права файлов, поэтому обычно к файлам в /data
имеют доступ только их собственные приложения, а SD card либо отформатирован в FAT либо на нём через fuse эмулируется почти полное отсутствие ограничений прав доступа)/sdcard
), и находящихся физически на отдельных разделах или внутри /data
Перед тем, как приступать к смене прошивки, нужно сделать бэкап. (Вообще, я рекомендую в процессе настройки периодически делать полный бэкап.) Поскольку мы не будем использовать «синхронизацию» личных данных, то крайне желательно настроить регулярное автоматическое создание зашифрованных бэкапов и заливание их куда-нибудь. Из-за особенностей архитектуры Android понять что и как нужно бэкапить довольно непросто.
Некоторые из описанных операций можно сделать только если у вас есть root или нормальный recovery (обычно ClockworkMod или TWRP). Если их ещё нет - возможно, сейчас самое время ими обзавестись.
Судя по всему, в некоторых случаях при перепрошивке есть небольшая вероятность что будет повреждён другой раздел. Один из этих разделов используется для хранения, в частности, IMEI телефона. Потеряв, его будет довольно сложно восстановить, поэтому крайне рекомендуется перед первой прошивкой сохранить (куда-то вне телефона) раздел с IMEI. Для некоторых телефонов это специфичная процедура с использованием утилит производителя, для других достаточно сохранить утилитой dd
нужные разделы в файлы (впрочем, скорее всего и в остальных случаях можно воспользоваться dd
вместо утилит производителя).
Если не уверены — проще всего сохранить все разделы кроме /system
, /data
и /cache
. Обычно они все достаточно небольшого размера. Посмотреть список и размеры доступных разделов можно в /proc/partitions
или через parted
, пример (подключаемся через adb
как root, не важно загружена обычная система или recovery):
# cat /proc/partitions
major minor #blocks name
179 0 15388672 mmcblk0
179 1 4096 mmcblk0p1
179 2 4096 mmcblk0p2
179 3 20480 mmcblk0p3
179 4 4096 mmcblk0p4
179 5 4096 mmcblk0p5
179 6 4096 mmcblk0p6
179 7 8192 mmcblk0p7
179 8 8192 mmcblk0p8
179 9 8192 mmcblk0p9
179 10 90112 mmcblk0p10
179 11 262144 mmcblk0p11
179 12 1048576 mmcblk0p12
179 13 1572864 mmcblk0p13
179 14 573440 mmcblk0p14
179 15 8192 mmcblk0p15
259 0 11759616 mmcblk0p16
# parted /dev/block/mmcblk0
(parted) p
Model: MMC MAG2GC (sd/mmc)
Disk /dev/block/mmcblk0: 15.8GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Number Start End Size File system Name
1 4194kB 8389kB 4194kB BOTA0
2 8389kB 12.6MB 4194kB BOTA1
3 12.6MB 33.6MB 21.0MB ext4 EFS
4 33.6MB 37.7MB 4194kB m9kefs1
5 37.7MB 41.9MB 4194kB m9kefs2
6 41.9MB 46.1MB 4194kB m9kefs3
7 46.1MB 54.5MB 8389kB PARAM
8 54.5MB 62.9MB 8389kB BOOT
9 62.9MB 71.3MB 8389kB RECOVERY
10 71.3MB 164MB 92.3MB fat16 RADIO
11 164MB 432MB 268MB ext4 TOMBSTONES
12 432MB 1506MB 1074MB ext4 CACHE
13 1506MB 3116MB 1611MB ext4 SYSTEM
14 3116MB 3704MB 587MB ext4 HIDDEN
15 3704MB 3712MB 8389kB OTA
16 3712MB 15.8GB 12.0GB ext4 USERDATA
Например, для Nexus 4 достаточно сохранить /dev/block/mmcblk0p{8,9}
:
# dd if=/dev/block/mmcblk0p8 of=/sdcard/mmcblk0p8.img
# dd if=/dev/block/mmcblk0p9 of=/sdcard/mmcblk0p9.img
.ab
(по сути немного модифицированный tar-архив), зашифрованные если это задано в настройках телефона, обычно делаются через adb backup
.
.img
и .tar*
, обычные полные образы разделов или tar-архивы (по сути тоже полные образы, только компактнее), не зашифрованные, обычно делаются через recovery.
/data
, и во-вторых у меня эта фича не заработала.
ВНИМАНИЕ: Поскольку Nandroid Backup не зашифрованы и сохраняются на доступную всем приложениям SD card, то я рекомендую после создания сразу (не перегружаясь из recovery в основную систему) переносить их с телефона на компьютер через adb pull
, а на телефоне удалять. Если их понадобится восстановить, то сначала загрузить recovery, а потом залить их обратно через adb push
и удалить после восстановления бэкапа.
Как вы видели выше, разделов в системе очень много. Но большинство из них либо никогда не меняются, либо меняются только при прошивке новой системы или recovery, так что бэкапить их смысла нет.
Возможное исключение — раздел /system
. Обычно он меняется только при обновлении прошивки, но имея root вы можете его изменять (делать приложения «системными» через Titanium Backup чтобы сэкономить место на /data
, устанавливать новые системные приложения вроде BusyBox, модифицировать загрузочные скрипты, etc.) — в этом случае его тоже может иметь смысл бэкапить.
Таким образом, бэкапить обычно нужно только раздел /data
и внутренние/внешние SD card.
Поскольку бэкап нужно куда-то сохранять, и обычно это SD card, то содержимое самой(их) SD card в бэкапы как правило не входит. Titanium Backup умеет частично включать в бэкапы данные приложений находящиеся на SD card, но только файлы из /sdcard/Android/data/*/
(если приложение хранит свои файлы в других каталогах то в бэкап они не попадут).
Итак, ваши данные, которые может потребоваться бэкапить, это:
/system
/system
adb pull
.apk
-файлы, находятся в /data
adb backup -apk -all -nosystem
/data
/data
, иногда частично на SD cardadb backup -all
(кроме тех данных, которые на SD card)/data
(кроме тех данных, которые на SD card)/system
, поэтому для бэкапа приходится «экспортировать» их на SD card (это можно автоматизировать [29]).vcf
, который можно загрузить куда угодно (включая приложение Контакты другой прошивки)adb pull /sdcard sdcard
)ВНИМАНИЕ: После экспорта контактов любое приложение может получить к ним доступ, поэтому желательно сразу их перенести с SD card на компьютер. Чтобы никакое приложение не успело украсть контакты сразу после экспорта настоящий параноик может попробовать следующий подход:
.vcf
-файл с контактами с SD card на компьютерadb backup -apk -all -shared
adb pull /sdcard sdcard
/system
:
adb pull
adb pull /sdcard sdcard
Регулярное обновление OS и приложений тоже имеет свои особенности.
При обновлении OS необходимо учитывать следующее:
/system
был модифицирован (а в нашем случае это будет именно так), то необходимо побеспокоиться о том, чтобы эти изменения сохранились перед прошивкой новой версии OS в /system
и автоматически восстановились после этого, до первой загрузки новой версии OS.
/system/addon.d
(они будут автоматически запущены до и после прошивки).Чтобы посторонний человек, получивший физический доступ к телефону, не добрался до ваших личных данных, необходимо:
/data
К сожалению, пока что ни ClockworkMod ни TWRP не поддерживают [33] защиту паролем. А без этого человек временно получивший доступ к вашему телефону может перегрузиться в recovery, установить дополнительный пакет с трояном в /system
, после чего вернуть телефон вам. Как только вы загрузите OS и введёте пароль шифрования к /data
этот троян сможет запуститься с правами root и получить полный доступ ко всем вашим личным данным. Если бы recovery поддерживали защиту паролем, то для того, чтобы это проделать, пришлось бы прошить recovery заново, что привело бы к сбросу пароля, и дало бы возможность отследить факт вмешательства как только вам вернут телефон.
Что касается приложений типа «анти-вор» и удалённого управления телефоном. Эти приложения ещё могут иметь смысл на обычном, не защищённом телефоне - если вор попался глупый, и вместо того чтобы сразу выкинуть сим-карту и переформатировать все разделы он сидит с этого телефона в инете и рассматривает чужие фоточки… то, да, польза от этих приложений может быть.
Но в нашем случае доступ к данным он не получит, а значит нет никакой необходимости их удалённо стирать (особенно учитывая то, что любое такое приложения для удалённого управления — по сути просто ещё один способ слить свои личные данные компании разработавшей это приложение).
Что касается возможности определить местоположение телефона — для этого на нём должен быть интернет, а т.к. вор не имеет доступа к OS телефона, то он не сможет настроить подключение к своему домашнему Wi-Fi и вряд ли он поставит в «бесполезный телефон» свою сим-карту. А вероятность того, что он не выкинет сразу же вашу сим-карту или пронесёт включенный телефон мимо уже известной телефону точки доступа Wi-Fi… на мой взгляд не настолько велика, чтобы в расчёте на это непрерывно сливать данные о своём местоположении компании разработавшей это приложение.
А на случай если телефон просто потерялся, и кто-то его нашёл и хочет вернуть владельцу — достаточно вывести на экране блокировки свою контактную информацию (например, email) или просто на него позвонить.
А вот что действительно стоит сделать сразу же, как стало понятно что телефон украли — заблокировать сим-карту (чтобы ей не воспользовались для обхода 2-х факторной авторизации или подтверждения банковских платежей через SMS) и, просто на всякий случай, отключить телефон от гугл-аккаунта.
По большому счёту — это самое сложное из всего описанного в этой статье. XPrivacy позволяет контролировать громадное количество операций и данных, при этом у всех приложений разные потребности и для многих приложений приходится подстраивать ограничения индивидуально. При этом пользователю, который не является разработчиком под Android, большая часть этих операций непонятна: насколько они критичны, к каким данным они дают доступ, действительно ли эти операции нужны для работы данного приложения.
Я могу дать только рекомендации общего плана:
inet_*
(нужно практически всем приложениям, и кроме того доступ в интернет будет контролироваться файрволом).open*
(нужно практически всем приложениям), а доступ к sdcard
блокировать только если вы собираетесь контролировать к каким файлам обращаются приложения и составлять для них белые списки разрешённых файлов/каталогов.*.permission
в Медиа, чтобы каждый раз когда эти приложения будут пытаться получить доступ к камере или микрофону вы получали об этом уведомление.В CyanogenMod есть свой аналог XPrivacy (Настройки → Конфиденциальность → Защищённый режим), но он позволяет контролировать слишком незначительную часть того, что можно заблокировать через XPrivacy. Одновременное использование Защищённого режима и XPrivacy не рекомендуется.
Первым делом сделайте максимально полный бэкап текущей системы:
.vcf
. Если есть другие приложения, которыми вы активно пользуетесь, и у которых есть встроенная возможность экспорта/бэкапа данных — не пренебрегайте ей тоже..vcf
не экспортируются (группы) и содержимое рабочих столов.Установите CyanogenMod. Если хотите, можете сразу прошить и GApps, но я рекомендую сделать это немного позднее.
При первой загрузке:
Тут нас ждёт неприятный сюрприз: телефон уже успел вылезти в мобильный интернет и что-то слить, плюс проверить обновления CyanogenMod! К сожалению, мне не удалось найти способ это предотвратить: включить «режим полёта» в процессе первой загрузки не получается т.к. ещё нет файла где эта настройка хранится, а если подключиться через adb
и включить «режим полёта» вручную на этапе выбора языка — это происходит всё-равно слишком поздно и телефон успевает что-то отправить через мобильный интернет.
[✓]
Отладка по сети & USB/data
не был зашифрован или вы его переформатировали в процессе прошивки CyanogenMod — зашифруйте его (если это делать так, а не через интерфейс, то можно задать пароль шифрования отличающийся от пароля/пин-кода экрана блокировки):
adb root
adb shell vdc cryptfs enablecrypto inplace <пароль>
/data
и снова загрузится[✓]
Неизвестные источникиadb install
(чтобы пока не установлены XPrivacy и AFWall+ не включать на телефоне интернет) Xposed framework [35].
adb root
adb shell mount -o remount,rw /system
adb push 90-xposed.sh /system/addon.d/
adb shell chmod 0755 /system/addon.d/90-xposed.sh
adb shell mount -o remount,ro /system
adb install
XPrivacy [37].
/sdcard/XPrivacy_license.txt
[✓]
Режим эксперта[✓]
Запрет системных компонентов[✓]
Режим AOSPadb install
AFWall+ [39].
[✓]
Активные правила[✓]
Управление VPN[✓]
Поддержка IPv6 (пользоваться им не обязательно, но файрволить нужно, иначе приложения которым закрыт доступ файрволом через IPv4 без проблем выйдут в интернет через IPv6)[✓]
Администратор устройства[✓]
Исправить утечку данных при запуске. Это установит скрипт /system/etc/init.d/afwallstart
блокирующий доступ в интернет пока OS загружается и AFWall+ ещё не запустился./system/etc/init.d/afwallstart
не был удалён при OTA-обновлении OS. Для этого создадим свой скрипт /system/addon.d/99-local.sh
, в который будем добавлять имена файлов на разделе /system
, которые нужно сохранить при OTA-обновлении:
adb root
adb shell mount -o remount,rw /system
adb shell cp /system/addon.d/50-cm.sh /system/addon.d/99-local.sh
/system/addon.d/99-local.sh
, заменив в функции list_files()
файл etc/hosts
на etc/init.d/afwallstart
adb shell mount -o remount,ro /system
Если вы ещё не прошили GApps — сделайте это сейчас. После загрузки настройте ограничения XPrivacy для приложений GApps.
Настраиваем систему:
[ ]
Удалённая блокировка и сброс[ ]
Борьба с вредоносными приложениями[ ]
Автосинхронизация данных[ ]
Режим полёта
[ ]
NFC[✓]
Режим полёта[ ]
Удалённое управление Android[✓]
XPrivacy[✓]
AFWall+[ ]
Включить отправку отчётов[ ]
Поиск контактов[ ]
Подсказывать имена[✓]
Резервирование данных
[ ]
Автовосстановление[ ]
Резервирование данныхlocalhost
[ ]
Прямой поиск[ ]
Поиск контактов[ ]
Обратный поискПодключаем интернет:
adb install
:
Теперь можно отключить доступ к VPN для «Аккаунты Google, Сервисы Google Play, Google Резервное копирование, Google Services Framework, Синхронизация Контактов Google». Этот набор приложений — один из основных каналов утечки личных данных. Доступ в интернет ему нужен для:
Для обновление токена нужно открывать ему доступ крайне редко и ненадолго. Что касается GCM, то, с одной стороны, пуш-уведомления нужны для работы многих приложений, так что вы можете захотеть оставить ему доступ к VPN. С другой стороны, если вы дадите какому-то приложению хоть раз ненадолго доступ в интернет, то оно может зарегистрироваться в GCM и после этого будет получать пуш-уведомления (через этот набор приложений гугла) даже если вы ему доступ в интернет заблокируете. Хорошо это или плохо — решайте сами. Лично мне не нравится идея, что отключенное от интернета приложение продолжает получать из интернета данные, но хотя бы оно не сможет ничего отправлять.
Для защиты от фоновой установки [45] программ на ваш телефон по желанию гугла, доступ в интернет для «Google Play Маркет» нужно разрешать только непосредственно тогда, когда вы им пользуетесь.
Для того, чтобы видеть полную информацию по запрашиваемым правам доступа для устанавливаемых из Play Маркет приложений нужно установить модуль для Xposed framework PlayPermissionsExposed [46] и перезагрузить телефон.
Установить из Play Маркет:
Сейчас самое время перегрузиться в recovery и сделать полный бэкап новой системы!
Восстановить из бэкапов Titanium Backup все нужные приложения. Запустить из меню Titanium Backup «Маркет доктор» для восстановления связей этих приложений с Play Маркет.
Теперь можно отключить ADB и запретить для него права root.
Поздравляю! У вас в руках Android-телефон, защищённый от утечек личных данных настолько, насколько это вообще возможно без отказа от доступа к Play Маркет и GSM-связи.
______________________
Автор: powerman
Источник [51]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/android/90196
Ссылки в тексте:
[1] блобы: https://ru.wikipedia.org/wiki/%D0%91%D0%BB%D0%BE%D0%B1
[2] обнаруженных в прошивках Samsung Galaxy: https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor
[3] Mission Impossible: Hardening Android for Security and Privacy: https://blog.torproject.org/blog/mission-impossible-hardening-android-security-and-privacy
[4] The Guardian Project: https://guardianproject.info/apps/
[5] Ингредиенты: #components
[6] GApps: #gapps
[7] Замена прошивки и аккаунты: #rom
[8] Разделы: #partitions
[9] Backup: #backup
[10] IMEI: #imei
[11] Типы бэкапов: #backup-types
[12] Что и как бэкапить: #backup-howto
[13] Резюмируя: #backup-resume
[14] Upgrade: #upgrade
[15] OTA-обновления OS: #ota
[16] Обновление Xposed framework и его модулей (включая XPrivacy): #xposed
[17] Защита данных на телефоне на случай потери/кражи: #lost
[18] Анти-вор: #antitheft
[19] Настройка XPrivacy: #xprivacy
[20] Установка и настройка защищённой системы: #setup
[21] платная версия: https://play.google.com/store/apps/details?id=com.keramidas.TitaniumBackupPro
[22] Titanium Backup: https://play.google.com/store/apps/details?id=com.keramidas.TitaniumBackup
[23] платная версия: http://www.xprivacy.eu/
[24] XPrivacy: https://github.com/M66B/XPrivacy
[25] NOGAPPS a.k.a. µg Project: http://forum.xda-developers.com/showthread.php?t=1715375
[26] вариант GApps: http://forum.xda-developers.com/android/software/gapps-consolidated-gapps-thread-t3064693
[27] сборка от jajb: http://forum.xda-developers.com/showthread.php?p=53319258
[28] PA Gapps от TKruzze: http://forum.xda-developers.com/showpost.php?p=59691711
[29] можно автоматизировать: https://github.com/M66B/XPrivacy#FAQ5
[30] уязвимости Android: http://secureandroidupdate.org/
[31] Secure Update Scanner: https://play.google.com/store/apps/details?id=com.iu.seccheck
[32] рекомендуется: https://github.com/M66B/XPrivacy#FAQ9
[33] не поддерживают: http://teamw.in/faq/securetwrp.html
[34] отменить ограничения: https://github.com/M66B/XPrivacy#FAQ79
[35] Xposed framework: http://repo.xposed.info/module/de.robv.android.xposed.installer
[36] 90-xposed.sh: http://forum.xda-developers.com/showpost.php?p=43473060
[37] XPrivacy: http://repo.xposed.info/module/biz.bokhorst.xprivacy
[38] BusyBox: https://f-droid.org/wiki/page/stericson.busybox
[39] AFWall+: https://f-droid.org/repository/browse/?fdid=dev.ukanth.ufirewall
[40] Wi-Fi Privacy Police: https://f-droid.org/repository/browse/?fdid=be.uhasselt.privacypolice
[41] Pry-Fi: https://play.google.com/store/apps/details?id=eu.chainfire.pryfi
[42] AdAway: https://f-droid.org/repository/browse/?fdid=org.adaway
[43] F-Droid: http://f-droid.org/
[44] OpenVPN for Android: https://f-droid.org/repository/browse/?fdid=de.blinkt.openvpn
[45] фоновой установки: https://nakedsecurity.sophos.com/2011/02/04/android-market-web-store-backdoor-phone-hackers/
[46] PlayPermissionsExposed: http://forum.xda-developers.com/xposed/modules/playpermissionsexposed-fix-play-store-t2783076
[47] SRT AppScanner: https://play.google.com/store/apps/details?id=de.backessrt.appintegrity
[48] Master Key multi-fix: http://repo.xposed.info/module/tungstwenty.xposed.masterkeydualfix
[49] habrahabr backend: https://github.com/powerman/asciidoc-habrahabr-backend
[50] AsciiDoc: http://asciidoc.org/
[51] Источник: http://geektimes.ru/post/250090/
Нажмите здесь для печати.