Для многих будет открытием, но 90% мобильных устройств являются уязвимыми, это касается, как iOS, так и Android, только в случае с iOS защита именно от взлома чуть более стойкая, если не брать во внимание тот факт, что Apple имеет полный контроль над устройством. В ситуации, когда такой расклад совсем не устраивает, приходится искать альтернативы, альтернативой являются устройства Android, хоть Android и принадлежит компании Google, сама система имеет почти полностью открытый исходный код, "практически", потому что код драйверов некоторых компонентов, например Wi-FI и Bluetooth закрыт, к тому же Android может нормально функционировать и без сервисов Google, таким образом можно использовать ОС без сомнительных сервисов какой-либо корпорации.Отдавая предпочтение Android важно учитывать то, что Android смартфоны делаются на базе различных чипов, например Qualcomm, MediaTek, Unisoc, Google Tensor и ещё несколько совсем малоизвестных. Все эти чипы отличаются между собой не только производительностью и другими факторами, но и безопасностью. Если коротко, то чипы Unisoc все одинаково легко взламыюватся, у MediaTek и Qualcomm относительно защищенными можно назвать только чипы последних моделей, у Qualcomm это чипы начиная с модели Snapdragon 860, у MediaTek только 8000 и 9000 поколение процессоров линейки Dimensity, если рассмотреть чипы Google Tensor, то помимо всех современных технологий, у этих процессоров есть ещё отдельный чип безопасности - Titan M2, он спроектирован на основе чипа, который используется для защиты центров обработки данных Google Cloud. Данный чип использует Android Strongbox, который безопасно генерирует и хранит ключи, используемые для защиты пользовательских паролей, ключей и других чувствительных данных во время их использования в SoC. Данная особенность делает чипы Google Tensor самыми совершенными с точки зрения безопасности, по сравнению с другими чипами.
Несомненно, процессор это важный компонент защиты смартфона, но ещё есть и сама операционная система смартфона.Если рассматривать смартфоны с чипами Google Tensor, то на выбор только линейка смартфонов Google Pixel начиная с модели Google Pixel 6 и новее, "из коробки" на этих смартфонах стоит чистый Android с Google-сервисами, сама прошивка называется Pixel Expirience, но наличие Google-сервисов пагубно сказывается на безопасности, поскольку постоянно идет слежка со стороны Google, ещё Google-сервисы "отъедают" часть ресурсов системы, потому что постоянно работают в фоне. Самый простой способ избавления от Google-сервисов, это поставить на смартфон прошивку без них. Для смартфонов линейки Google Pixel на выбор предоставлены 3 прошивки без Google-сервисов, если не брать в расчет сомнительные поделки от сообщества;1. LineageOS;2. CalyxOS;3. GrapheneOS.
LineageOS и CalyxOS прошивки довольно похожие, в них почти полностью вырезаны Google-сервисы, то есть это чистый Android с незаначительными доработками, в CalyxOS ещё предустановлены некоторые приложения для "безопасной" работы, для примера туда устанолвен мессенджер Signal, сомнительное решение. Эти прошивки можно было рассмотреть подробнее, но есть 3й вариант:GrapheneOS уже более интересный вариант:
GrapheneOS создана на базе привычной ОС Android (AOSP), имеет открытый исходный код, распространяется бесплатно для пользователей. Использование GrapheneOS на мобильном устройстве позволяет добиться отличного уровня конфиденциальности и безопасности, задействуя встроенные в неё функции. Основные особенности приватности и безопасности данной мобильной операционной системы Глобальными изменениями являются: защищённое ядро, ограниченный доступ в файловую систему, защищенный набор инструментов компилятора, защищённая среда выполнения приложения (исключение пересечений компонентов приложений в процессе их работы), а также конфиденциальность Wi-Fi (рандомизация MAC-адреса при каждом новом подключении позволяет создавать видимость нового устройства). В GrapheneOS по умолчанию отключены Google-сервисы. Их возможно использовать отдельно от компонентов операционной системы, не давая доступов и функций управления. Также ограничены иные приложения и сервисы, которые не являются безопасными. Данная операционная система позволяет добиться значительного уменьшения поверхности атаки, благодаря отличной оптимизации кода и встроенных функций. Также возможен полный контроль над интерфейсами (Bluetooth, NFC, Wi-Fi) и доступам к функциям устройства (камера, микрофон, чтение USB-аксессуаров). Существует возможность мгновенного отключения всех датчиков устройства одним кликом. Приложение пытается получить доступ, но считывает лишь нулевые значения определенного датчика устройства. Уведомление о запросе к датчикам удобнее и функциональнее стандартного, пользователь способен отследить все желаемые разрешения для приложения. Исключая широкий спектр возможных атак по сотовой связи, существует режим использования устройства только в 4G, наименее актуальные коды (2G, 3G, 5G) отключены.Не стоит забывать и о том, что помимо использования смартфона защищенным чипом и модифицированной прошивкой, надо следить за тем, какое ПО установлено на смартфон, в целях безопасности надо устанавливать только проверенное ПО, которое своевремнно обновляется разработчиком, в идеале данное ПО должно иметь открытый исходный код, такое ПО можно скачать из каталога F-Droid.
В результате при использовании GrapheneOS на смартфоне Google Pixel можно получить устройство для безопасной работы, которое не зависит от какой-либо корпорации. Гайд по установке GrapheneOS будет ниже.
Продемострирую процесс установки GrapheneOS
Проводить установку буду с Debian 12 через браузер Chromium, ознакомиться с поддерживаемыми ОС и браузерами можно на странице https://grapheneos.org/install/web
1. Необходимо установить драйвера с помощью команды
sudo apt install android-sdk-platform-tools-common
2. Включить смартфон, подключить его к интернету, зайти в настройки и выбирать пункт "About phone", несколько раз нажать на "Build number", пока не появится уведомление, что активирован режим разработчика.
3. Зайти в "Developer Options" и активировать пункт "OEM unlocking"
4. Выключить смартфон и включить его одновременно зажав кнопку включения и кнопку уменьшения громкости, смартфон загрузится в режиме Fastboot
5. Подключить смартфон в таком состоянии к ПК и на сайте нажать кнопку "
"
6. Появится окно, в котором необходимо выбрать прошиваемый смартфон и нажать "Connect"
7. На смартфоне с помощью кнопок громкости выбрать "Unlock the bootloader" вместо "Do not unlock the bootloader" и нажать кнопку питания
Вот так должно быть
8. Смартфон перезагрузится и вместо locked, будет написано unlocked
9. Необходимо на сайте нажать кнопку "Download release" и дождаться окончания загрузки
10. Нажать кнопку "Flash release" и дождаться окончания прошивки при это ВООБЩЕ НЕ ТРОГАТЬ СМАРТФОН
11. Нажать кнопку "Lock bootloader"
12. На смартфоне, аналогично пункту 7, выбрать "Lock the bootloader" и нажать кнопки питания, смартфон перезагрузится и снова будет написано зеленым locked
13. Включить смартфон, в процессе включения будет предупреждение о том, что загружена сторонняя прошивка и хэш публичного ключа доверенной загрузки прошивки
Данный ключи необходимо сверить с ключом на сайте, с которого проводилась прошивка
14. Система загружается с логотипом GrapheneOS
15. После загрузки в "Developer Options" надо выключить пункт "OEM unlocking"
Смартфон прошит на GrapheneOS и готов к работе
Несомненно, процессор это важный компонент защиты смартфона, но ещё есть и сама операционная система смартфона.Если рассматривать смартфоны с чипами Google Tensor, то на выбор только линейка смартфонов Google Pixel начиная с модели Google Pixel 6 и новее, "из коробки" на этих смартфонах стоит чистый Android с Google-сервисами, сама прошивка называется Pixel Expirience, но наличие Google-сервисов пагубно сказывается на безопасности, поскольку постоянно идет слежка со стороны Google, ещё Google-сервисы "отъедают" часть ресурсов системы, потому что постоянно работают в фоне. Самый простой способ избавления от Google-сервисов, это поставить на смартфон прошивку без них. Для смартфонов линейки Google Pixel на выбор предоставлены 3 прошивки без Google-сервисов, если не брать в расчет сомнительные поделки от сообщества;1. LineageOS;2. CalyxOS;3. GrapheneOS.
LineageOS и CalyxOS прошивки довольно похожие, в них почти полностью вырезаны Google-сервисы, то есть это чистый Android с незаначительными доработками, в CalyxOS ещё предустановлены некоторые приложения для "безопасной" работы, для примера туда устанолвен мессенджер Signal, сомнительное решение. Эти прошивки можно было рассмотреть подробнее, но есть 3й вариант:GrapheneOS уже более интересный вариант:
GrapheneOS создана на базе привычной ОС Android (AOSP), имеет открытый исходный код, распространяется бесплатно для пользователей. Использование GrapheneOS на мобильном устройстве позволяет добиться отличного уровня конфиденциальности и безопасности, задействуя встроенные в неё функции. Основные особенности приватности и безопасности данной мобильной операционной системы Глобальными изменениями являются: защищённое ядро, ограниченный доступ в файловую систему, защищенный набор инструментов компилятора, защищённая среда выполнения приложения (исключение пересечений компонентов приложений в процессе их работы), а также конфиденциальность Wi-Fi (рандомизация MAC-адреса при каждом новом подключении позволяет создавать видимость нового устройства). В GrapheneOS по умолчанию отключены Google-сервисы. Их возможно использовать отдельно от компонентов операционной системы, не давая доступов и функций управления. Также ограничены иные приложения и сервисы, которые не являются безопасными. Данная операционная система позволяет добиться значительного уменьшения поверхности атаки, благодаря отличной оптимизации кода и встроенных функций. Также возможен полный контроль над интерфейсами (Bluetooth, NFC, Wi-Fi) и доступам к функциям устройства (камера, микрофон, чтение USB-аксессуаров). Существует возможность мгновенного отключения всех датчиков устройства одним кликом. Приложение пытается получить доступ, но считывает лишь нулевые значения определенного датчика устройства. Уведомление о запросе к датчикам удобнее и функциональнее стандартного, пользователь способен отследить все желаемые разрешения для приложения. Исключая широкий спектр возможных атак по сотовой связи, существует режим использования устройства только в 4G, наименее актуальные коды (2G, 3G, 5G) отключены.Не стоит забывать и о том, что помимо использования смартфона защищенным чипом и модифицированной прошивкой, надо следить за тем, какое ПО установлено на смартфон, в целях безопасности надо устанавливать только проверенное ПО, которое своевремнно обновляется разработчиком, в идеале данное ПО должно иметь открытый исходный код, такое ПО можно скачать из каталога F-Droid.
В результате при использовании GrapheneOS на смартфоне Google Pixel можно получить устройство для безопасной работы, которое не зависит от какой-либо корпорации. Гайд по установке GrapheneOS будет ниже.
Продемострирую процесс установки GrapheneOS
Проводить установку буду с Debian 12 через браузер Chromium, ознакомиться с поддерживаемыми ОС и браузерами можно на странице https://grapheneos.org/install/web
1. Необходимо установить драйвера с помощью команды
sudo apt install android-sdk-platform-tools-common
2. Включить смартфон, подключить его к интернету, зайти в настройки и выбирать пункт "About phone", несколько раз нажать на "Build number", пока не появится уведомление, что активирован режим разработчика.
3. Зайти в "Developer Options" и активировать пункт "OEM unlocking"
4. Выключить смартфон и включить его одновременно зажав кнопку включения и кнопку уменьшения громкости, смартфон загрузится в режиме Fastboot
5. Подключить смартфон в таком состоянии к ПК и на сайте нажать кнопку "
6. Появится окно, в котором необходимо выбрать прошиваемый смартфон и нажать "Connect"
7. На смартфоне с помощью кнопок громкости выбрать "Unlock the bootloader" вместо "Do not unlock the bootloader" и нажать кнопку питания
Вот так должно быть
8. Смартфон перезагрузится и вместо locked, будет написано unlocked
9. Необходимо на сайте нажать кнопку "Download release" и дождаться окончания загрузки
10. Нажать кнопку "Flash release" и дождаться окончания прошивки при это ВООБЩЕ НЕ ТРОГАТЬ СМАРТФОН
11. Нажать кнопку "Lock bootloader"
12. На смартфоне, аналогично пункту 7, выбрать "Lock the bootloader" и нажать кнопки питания, смартфон перезагрузится и снова будет написано зеленым locked
13. Включить смартфон, в процессе включения будет предупреждение о том, что загружена сторонняя прошивка и хэш публичного ключа доверенной загрузки прошивки
Данный ключи необходимо сверить с ключом на сайте, с которого проводилась прошивка
14. Система загружается с логотипом GrapheneOS
15. После загрузки в "Developer Options" надо выключить пункт "OEM unlocking"
Смартфон прошит на GrapheneOS и готов к работе
