Ako na súkromie v Androide

Upozornenie: Tento návod bol písaný pred niekoľkými rokmi a postupne stráca na aktuálnosti. Nechávam ho napriek tomu na blogu, lebo sa ešte môže niekomu zísť.

Dnes som uvádzal do prevádzky nový telefón s Androidom a poviem vám, toľko spywaru som pokope už dlho nevidel. Android vo mne vyvoláva pocit, že som si namiesto telefónu kúpil análnu sondu, ktorá chce o mne vedieť naozaj všetko. Ale nemusí to tak byť. S trochou námahy je možné prinútiť Android, aby súkromie rešpektoval, neochotne a s hundraním, ale predsa. Tu je návod ako na to.

Krok 0: Načo sa vlastne o toto starať?

Moderný Android dorazí so softvérovou klávesnicou, ktorá odosiela takmer každé stlačenie klávesy kamsi na servery Google (viac o tomto nižšie). To je klávesnica, ktorou píšem všetko: heslá, SMS-ky, mejly. Android navyše moje heslá a ďalšie dáta "zálohuje" na servery Google len tak pre istotu, keby náhodou niečo nebolo odchytené soft klávesnicou.

Zo serverov Google si to potom vyzdvihne NSA a tá všetko uloží do môjho osobného záznamu len pre prípad, že by sa to mohlo niekedy zísť... Taká KGB bola proti tomuto len slabý odvar. Ale o NSA by až tak nešlo. Veď nie každý je užitočný ako agent z donútenia, ktorého by bolo treba vydierať kompromitujúcimi informáciami pre získanie spolupráce.

Horšie je to, že Google sa s mojimi dátami veľmi rád podelí s autormi aplikácií. Kedysi bol na Androide sandbox, ktorý limitoval zneužitie osobných údajov. Dnes je ten sandbox úplne deravý a praktický každá aplikácia na Androide má alebo ľahko môže mať prístup k citlivým údajom bez môjho (informovaného) súhlasu.

Niekto možno rád chodí s mikrofónom v zadku. Tomu to môže byť jedno. Ale tu nejde len o jeho dáta alebo len o moje dáta. Už sa vám niekedy stalo, že vám od známeho prišla pozvánka do nejakej sociálnej siete, o ktorej ste nikdy nepočuli? Dotyčný pravdepodobne zadal svoj email na nejakej pochybnej stránke a nechal sa nahovoriť, aby odsúhlasil danej stránke prístup k svojim mejlom. Oná pochybná sociálna sieť si potom stiahla všetky jeho kontakty a bez jeho súhlasu kontaktovala všetkých jeho známych. Blamáž, ale môže to byť aj horšie.

Na mojom telefóne môže byť poľahky heslo k firemnému serveru. Hacker sa tak dostane nielen k mojim, ale aj k firemným dátam. Možno nám niektorý zákazník zveril prihlasovacie údaje k svojmu serveru. Tak sa útočník dostane aj k nemu. Možno sa mu skrz moje konto vo firme podarí nakaziť malwarom firemný server a odtiaľ potom napadne zariadenia mojich kolegov, ktorí mi dôverujú. Všetci máme na zodpovednosti ochranu dát všetkých ľudí z nášho okolia. Ak je aj niekomu vlastné súkromie ukradnuté (doslova), mohlo by mu záležať aspoň na ostatných, ktorí mu (naivne) dôverujú.

Krok 1: Výber telefónu

Ak je Android taká špina, tak prečo nekúpiť niečo lepšie? Problém je v tom, že nie je veľmi z čoho vyberať. iOS je diskvalifikovaný kvôli cene a na súkromie kašle ešte viac než Android. BlackBerry stojí za zváženie, ale prichádza s vlastnými kompromismi. FirefoxOS neumožňuje inštaláciu ad blockera v browseri a pre mňa je ochrana pred spamom/reklamami vždy vyššia priorita než ochrana súkromia. Ubuntu Phone je čo do súkromia na tom ešte horšie než Android. Existujú špeciálne androidové telefóny (napr. BlackPhone), ktoré sú optimalizované pre bezpečnosť a súkromie, ale tie sú neprimerane drahé a ťažko sa zháňajú. Preto som sa rozhodol radšej zobrať bežný lacný Android a investovať čas do konfigurácie.

Otázny je ešte výrobca. Z bezpečnostného hľadiska je lepšie vybrať si výrobcu, ktorý publikuje bezpečnostné aktualizácie včas. Android nemá priamu distribúciu aktualizácií ako Windows alebo desktopový Linux. Výrobcovia telefónov môžu zdržiavať aktualizácie celé mesiace.

Z tohto uhla pohľadu sú najlepšie Nexus zariadenia, ktoré dostávajú všetky aktualizácie ako prvé. Nexus 4 až 6 je ale absurdne drahý, takže plán B: Motorola. Motorola je čo do rýchlosti aktualizácií druhá v poradí za Nexusmi. Decentné tempo má aj HTC. Neplatí to ale pre všetky telefóny daného výrobcu. Práve lacnejšie modely majú tendenciu zostať na verzii, s ktorou boli kúpené. V každom prípade, telefón treba aktualizovať na najnovšiu verziu skôr než začneme čokoľvek nastavovať.

Tu sa nedá nespomenúť CyanogenMod, ktorý je aktualizovaný rýchlo a má aj množstvo prvkov v oblasti bezpečnosti a súkromia, ktoré by celý tento návod zjednodušili. Ja mám ale telefón, kde CyanogenMod nebude chodiť bez chyby a tak túto možnosť nemám k dispozícii. Ak kupujete nový telefón, pozrite do zoznamu zariadení, ktoré podporuje komfortný CyanogenMod inštalátor.

Krok 2: Vypnúť crapware

Každý Android dnes príde s tonou crapwaru, ktorý si do Androidu pridal výrobca telefónu alebo Google. Crapware sa nedá odinštalovať, ale dá sa zablokovať v nastaveniach, čo je v praxi skoro to isté ako odinštalovanie. Ja vždy zablokujem úplne všetok crapware. Takmer všetko, čo potrebujem, nájdem na webe. Keď už použijem natívnu Android aplikáciu (napr. kvôli notifikáciám), spravidla mám svoje preferované aplikácie.

Vstavané aplikácie sa dajú zablokovať v nastaveniach. Tu je zoznam vecí, ktoré bloknem hneď po prvom zapnutí telefónu:

1. Všetko, čo je v zozname aplikácií okrem zopár výnimiek: Play Store, Settings, Google Settings, Camera (ak sa nepokúša automaticky posielať fotografie do Internetu), kontakty.
2. Všetko, čo má potenciál automaticky posielaľ dáta do Internetu: Google Drive, Picasa Uploader, Google+, Market Feedback Agent, Device management, Motorola ID (Acer ID, Samsung account, ...), Google Backup Transport, Calendar Sync.
3. Google Search, aby som sa zbavil google search baru na hlavnej obrazovke.
4. Všetko, čo je v zozname "device administrators" v nastaveniach.
5. Crapware špecifický pre výrobcu telefónu.

Podrobnejšie zoznamy blokovateľného crapwaru sa dajú nájsť na Internete. Mnohokrát sa dá nájsť zoznam špecifický pre konkrétny model telefónu.

Niektoré veci sa nedajú úplne zablokovať, ale majú nastavenia, ktorými sa dajú ovládať. Konkrétne:

1. Google Settings: Vypnúť všetko.
2. Device administrators: Vypnúť všetko. Google Device Manager sa síce vypnúť dá, ale Google ho vie zase zapnúť na diaľku :-) Nedá sa s tým nič robiť, jedine tak nainštalovať CyanogenMod.
3. Motorola/Samsung/HTC settings: Vypnúť všetko.
4. Backup & reset: Vypnúť.
5. Spell checker: Neviem, či posiela niečo do Internetu. Nechce sa mi to skúmať. Pre istotu vypínam. Je to aj tak zbytočnosť.

Niektoré z hore uvedených nastavení sa dajú riešiť aj vypnutím systémovej služby, ktorá ich poskytuje. To je ale trochu riskantné a je lepšie pozrieť sa na Internete, či je zablokovanie danej služby považované za bezpečné.

Krok 3: Play Store a Google konto

V ďalšom bode budeme meniť klávesnicu, ale tu máme problém. Potrebujeme prístup do Play Store, čo obnáša pripojenie cez WiFi a prihlásenie sa ku Google účtu. Ak ale tieto dve veci na mobile zapneme, naše heslo od WiFi bude odoslané do Internetu tak cez originálnu klávesnicu ako aj cez synchronizáciu, ktorá je na Google konte automaticky zapnutá.

Možno existuje spôsob ako toto obísť, ale s tým som sa netrápil. Heslo do domácej WiFi obetujem. Nemám tu nič citlivé. Cez firemnú WiFi by som ale radšej telefón neaktivoval. Prípadne je ešte možné použiť mobilné dáta, ktoré namiesto hesla používajú na prihlásenie do siete SIM kartu.

Po prihlásení ku Google účtu máme k dispozícii zopár ďalších nastavení. Ja v nastaveniach účtu vypínam zaznamenávanie/históriu mojej polohy, cielené reklamy a všetku synchronizáciu okrem kontaktov.

Krok 4: Klávesnica

Klávesnica na Androide je aplikácia, ktorá sa dá nájsť na Play Store. Ak si pozorne pozriete privilégiá svojej klávesnice na Play Store, príde vám určite veľmi divné, načo je klávesnici "neobmedzený prístup na Internet"?

Novšie telefóny majú swipe klávesnicu a ľudia swipujú veľmi nepresne. Swipe klávesnica potrebuje veľa inteligencie, aby vedela uhádnuť, čo chcel básnik tou čmáranicou povedať. V praxi sa táto inteligencia dosahuje konštrukciou veľkej databázy čmáraníc a k nim prislúchajúcich slov. No a na to je ten prístup k Internetu. Klávesnica odosiela do Internetu moje čmáranice a slová, ktoré z nich vzišli.

Ešte raz: klávesnica odosiela do Internetu to, čo pomocou nej píšete. Nevedno, či odosiela úplne všetko, ale algoritmy na predvídanie ďalšieho slova vyžadujú, aby autor klávesnice mal v databáze celé vety, takže pravdepodobne odosiela úplne všetko. Celé znenie mejlov a SMS-iek a všetky výrazy, ktoré vyhľadávam na Internete. Heslá údajne odosielané nie sú (ak sa dá autorovi klávesnice ako-tak dôverovať), ale podľa mňa ani toto nefunguje na 100% a istá časť mojich hesiel sa ocitne v databáze kdesi na Internete.

Sú aj také klávesnice, ktoré prístup k Internetu nevyžadujú. Napríklad Hacker's Keyboard, ktorú používam ja. Tá ale nemá swipe a dokonca nemá ani slovenský slovník (čo je bez swipe jedno). Nevadí, romány na mobile nepíšem. Ak ste niekto SMS-kový typ, oplatí sa vám dať 1-3 eurá za platenú swipe klávesnicu, ktorá nepožaduje prístup na Internet. Áno, sú aj také. Nevedno ako dokážu prežiť bez prístupu na Internet. Pravdepodobne obetujú presnosť v mene súkromia.

Po inštalácii klávesnice treba túto ešte vybrať ako predvolenú. Ideálne je zakázať appku starej klávesnice, aby nebola náhodou vybraná niekedy v budúcnosti. Pre novú klávesnicu zas treba zakázať aktualizácie, lebo v Androide môžu aplikácie počas aktualizácií potichu navyšovať privilégiá a my nechceme, aby naša klávesnica potichu získala prístup na Internet. Aktualizácie pre konkrétnu appku sa dajú vypnúť na stránke appky v Play Store.

Krok 5: Šifrovanie úložného priestoru

Šifrovanie úložného priestoru na Androide je stále veľmi slabé. Problém je v dĺžke hesla. Príliš dlhé sa ťažko píše pri odomykaní telefónu a príliš krátke sa dá ľahko prelomiť, keď telefón padne do nesprávnych rúk. Android 5.0 robí aj krátke heslo veľmi silné, ale iba ak je v telefóne špeciálny hardware a aj to má svoje limity. Šifrovanie teda chráni len pred malými zlodejmi a lenivejšími policajtmi (všetci robíme malé darebnosti, či nie?).

Je tu ale pár trikov na zváženie. Čas na zamknutie sa dá nastaviť oddelene od času na zhasnutie obrazovky, takže heslo treba zadať len pár krát denne. To umožňuje použitie dlhšieho hesla. Občas potrebujem telefón uzamknúť hneď (niekto búcha na dvere a kričí "Polícia! Otvorte!" :-). Pre ten prípad mám na obrazovke Lock Screen appku (nezabudnúť vypnúť aktualizácie). Heslo z klávesnice je silnejšie než PIN a tak môže byť o trochu kratšie. Prvé písmená z každého slova nejakej dobre zapamätateľnej vety tvoria krátke a pritom silné heslo.

SD kartu, ak prišla s mobilom, odporúčam z telefónu vybrať. Spravidla nie je pokrytá šifrovaním a je zbytočné riskovať, že sa tam ocitnú citlivé dáta.

Ako som vyššie poznamenal, Google Device Manager sa nedá vypnúť. Tým pádom mám vyriešené, čo použiť na uzamknutie a zmazanie telefónu na diaľku v prípade krádeže.

Krok 6: Telefón a SMS-ky

Telefón a SMS-ky de facto tvoria decentralizovanú sociálnu sieť, ktorú prevádzkujú operátori mobilných sietí. Táto sieť bola dizajnovaná ako odpočúvateľná a nedá sa s tým nič robiť. Klasický telefón a SMS-ky používam s vedomím, že môžu byť odpočúvané nielen políciou a tajnými, ale v podstate hocikým, kto v lokalite odchytí signál.

Existujú aplikácie na šifrovanie SMS a telefonátov, ale tie fungujú len ak je tá istá aplikácia na oboch komunikujúcich stranách. To už je potom lepšie použiť sociálnu sieť, ktorá je od základu stavaná pre bezpečnú komunikáciu. Je to tak prehľadnejšie, spoľahlivejšie a človek ušetrí na poplatkoch za hovory a správy, lebo všetko pôjde cez Internet.

V každom prípade aplikácie pre šifrovanú komunikáciu sú málo používané, takže fungujú maximálne v rámci rodiny, prípadne po dohode v rámci firmy. Aj to iba v prípade, že každý účastník má permanentné pripojenie do Internetu. Dá sa to aj cez WiFi, ale iba v aplikáciách, ktoré zdieľajú online status účastníka. Ja ich z týchto dôvodov nepoužívam. EFF odporúča na Androide RedPhone, TextSecure a ChatSecure. Ani tieto aplikácie nevedia skryť metadáta, t.j. kto s kým kedy telefonoval (preto nemá zmysel chrániť kontakty). Odhalia aj niektoré detaily hovoru, napríklad dĺžku každého slova.

Nie je ale pekné, keď sa výrobcom dodané appky pre telefonovanie a správy pokúšajú zdieľať moju komunikáciu okrem polície ešte s niekým iným na Internete. Stačí sa pozrieť do detailov týchto appiek a človek tam hneď nájde starý známy "neobmedzený prístup k sieti". Načo to môže byť telefónu? Potrebuje výrobcovi alebo niekomu inému hlásiť komu a kedy telefonujem, čo píšem? Na toto je práve dobrý CyanogenMod, ktorý umožňuje odobrať aplikáciám vybrané práva. Na nemodifikovanom Androide pre toto nemám riešenie. Alternatívne telefóny a SMS aplikácie v Play Store sú ešte invazívnejšie a majú často problémy s rýchlosťou. Možno tak Dialer2. Do budúcnosti to vidím na RedPhone/TextSecure v kruhu známych a inak nulové súkromie.

Krok 7: Internet

Android je o appkách, nie o Internete, či vari? Appky sú na Androide naozaj v popredí, ale nie preto, že by boli užitočnejšie alebo praktickejšie než Internet, ale preto, že Google berie 30% províziu z každej predanej appky, a preto, že Android appky na rozdiel od web stránok nefungujú na iPhone a Windowse, čo je opäť výhodné pre Google. Mňa ale nezaujíma, čo je výhodné pre Google. Ja sa starám o vlastné záujmy a tak je mojou jedinou obľúbenou appkou na telefóne prehliadač Internetu.

Na Internete je naozaj všetko. Appiek sú milióny, web stránok sú miliardy. Každá jedna appka má ekvivalent na Internete: email, mapy, kalendár, sociálne siete, drobnosti ako kalkulačka či stopky. A výber je širší. Natívne appky momentálne používam len kvôli notifikáciám (o tom nižšie), ale tento trik sa o pár mesiacov naučia aj web stránky (skrz web services / push API).

Nejde len o počet aplikácií. V Internet prehliadači môžem zapnúť ad blocker kým appky majú neblokovateľné reklamy. Internetový prehliadač má skutočný sandbox, ktorý zabráni stránkam vŕtať sa v mojom telefóne. Appky sú masívnym zdrojom malwaru a likvidujú všetko súkromie. Web stránky zaťažujú servery na Internete kým appky zaťažujú môj telefón. To má paradoxný následok keď web stránky bežia na mobile rýchlejšie než natívne aplikácie.

Používam Firefox pre Android. Vypínam "site suggestions" a "health report". Inštalujem Adblock Plus add-on a okrem filtra pre bežné reklamy zapínam filter pre tlačidlá sociálnych sietí a tracker filter. Web stránky sa dajú umiestniť na domovskú obrazovku rovnako ako appky.

Krok 8: Synchronizácia súborov a hesiel

Väčšina online nástrojov dnes vyžaduje prihlásenie. Písať heslá na mobile je bolesť. Potrebujeme niečo šikovnejšie - potrebujeme správcu hesiel. Správcu hesiel vo Firefoxe používam len lokálne bez synchronizácie, lebo tá je slabo zabezpečená (to je na dlhú diskusiu). LastPass je dobrý, ale stojí peniaze. PasswordBox, ktorý je dočasne bezplatný, je menej sofistikovaný, ale splní si svoju základnú úlohu - zdieľať heslá medzi telefónom a notebookom. Ja mám všetko v KeePass-e a tak na Androide používam KeePassDroid.

KeePass ale nemá vlastné servery a synchronizáciu, takže potrebuje cloudové úložisko. Toto úložisko nemusí byť super bezpečné, pretože KeePass súbory sú zaheslované. Na druhú stranu, je šanca, že človek bude také cloudové úložisko používať aj na iné veci, napríklad na prenos fotografií z mobilu do notebooku. Preto odporúčam cloudové úložisko s šifrovaním priamo na zariadení, napríklad Wuala alebo tresorit.

Keď už sme pri súboroch, mobil možno prišiel so správcom súborov, ktorý má prístup na Internet. Ktovie načo mu to je? Asi potrebuje odosielať moje súbory kamsi do Internetu. Ten sme odinštalovali v časti crapware a ako náhradu môžeme použiť appky OI File Manager alebo inKa File Manager, ktoré žiaden prístup na Internet nepotrebujú. Len netreba zabudnúť vypnúť aktualizácie. Podobne zhovorčivá je aj galéria, namiesto ktorej používam Customizable Gallery 3D. Ak kamera na telefóne chce priveľa práv, je tu Open Camera. Tá od Motoroly prekvapujúco nechce prístup do Internetu (to je šok), tak som si ju nechal.

Krok 9: Aplikácie

Na telefóne takmer výlučne používam web stránky. Je to tak komfortnejšie a bezpečnejšie. Umiestnim si ich na domovskú obrazovku ako keby to boli aplikácie. Dnes je človek takmer 100% času online. Nie je dôvod inštalovať si aplikácie na telefón. Prehliadač má blokovač reklám, takže na webe dostanem všetko zadarmo a bez reklám.

Jednu vec ale web stránky stále nevedia: notifikácie. Budú to vedieť o pár mesiacov. Nateraz používam K-9 Mail, aby som sa dostal do gmailu bez otravných reklám. No a potom si na všetkých web stránkach nastavím notifikáciu mailom na gmailovú adresu. Takto mám notifikácie zo všetkých online služieb pokope.

Záver

Keď som s týmto začínal, nečakal som, že to bude toľko práce. Čas išiel hlavne do hľadania alternatívnych appiek, tak radšej použite čo odporúčam a nehľadajte iné appky, lebo to zabíja čas. Teraz pri pohľade späť si myslím, že by bolo jednoduchšie vybrať si CyanogenMod-kompatibilný telefón, dať naň najnovší CyanogenMod a bloknúť aplikáciám neprimerané privilégiá namiesto toho, aby som zháňal aplikácie, ktoré si tie privilégiá vôbec nepýtajú. No napriek všetkým útrapám som nakoniec získal decentne zabezpečený telefón, ktorý mi bude dva roky slúžiť. Stálo ma to trochu času, ale ušetril som 500€ za BlackPhone.