Android Overview
הפרויקט הקוד הפתוח של אנדרואיד הוא מערכת הפעלה מאובטחת לנייד הכוללת אפליקצית ארגז חול, אתחול מאומת (AVB), ו- הרשאות מערכת בקרת חזקה.
העצה שלנו¶
בחירת הפצת אנדרואיד¶
When you buy an Android phone, the default operating system comes bundled with apps and functionality that are not part of the Android Open Source Project. Many of these apps—even apps like the dialer which provide basic system functionality—require invasive integrations with Google Play Services, which in turn asks for privileges to access your files, contacts storage, call logs, SMS messages, location, camera, microphone, and numerous other things on your device in order for those basic system apps and many other apps to function in the first place. Frameworks like Google Play Services increase the attack surface of your device and are the source of various privacy concerns with Android.
ניתן לפתור בעיה זו באמצעות הפצת אנדרואיד מותאמת אישית שאינה מגיעה עם אינטגרציה פולשנית כזו. לרוע המזל, הפצות רבות של אנדרואיד מותאמות אישית מפרות לעתים קרובות את מודל האבטחה של אנדרואיד בכך שאינן תומכות בתכונות אבטחה קריטיות כגון AVB, הגנה לאחור, עדכוני קושחה וכן הלאה. חלק מההפצות מספקות גם רכיבי userdebug
אשר חושפים שורש באמצעות ADB ודורשים מדיניות SELinux מתירנית יותר כדי להתאים לתכונות ניפוי באגים, וכתוצאה מכך משטח התקפה מוגדל נוסף ומודל אבטחה מוחלש.
באופן אידיאלי, בעת בחירת הפצת אנדרואיד מותאמת אישית, עליך לוודא שהיא מקיימת את מודל האבטחה של אנדרואיד. לכל הפחות, להפצה צריכה להיות בניית ייצור, תמיכה ב-AVB, הגנה על חזרה, עדכוני קושחה ומערכת הפעלה בזמן, ו-SELinux במצב אכיפה. כל הפצות האנדרואיד המומלצות שלנו עומדות בקריטריונים האלה.
הימנע מהשתרשות¶
השרשת טלפונים אנדרואיד יכולים להפחית את האבטחה באופן משמעותי מכיוון שהוא מחליש את מודל האבטחה של אנדרואיד. זה יכול להפחית את הפרטיות אם יש ניצול הנעזר בירידה באבטחה. שיטות השתרשות נפוצות כוללות התעסקות ישירה במחיצת האתחול, מה שהופך את זה לבלתי אפשרי לבצע אתחול מאומת בהצלחה. Apps that require root will also modify the system partition, meaning that Verified Boot would have to remain disabled. חשיפת השורש ישירות בממשק המשתמש גם מגדילה את משטח ההתקפה של המכשיר שלך ועשויה לסייע בהסלמה של הרשאות פגיעויות ועקיפות מדיניות SELinux.
Content blockers which modify the hosts file (AdAway) and firewalls (AFWall+) which require root access persistently are dangerous and should not be used. הם גם לא הדרך הנכונה לפתור את מטרותיהם המיועדות. For content blocking, we suggest encrypted DNS or content blocking functionality provided by a VPN instead. TrackerControl and AdAway in non-root mode will take up the VPN slot (by using a local loopback VPN), preventing you from using privacy enhancing services such as Orbot or a real VPN provider.
AFWall+ פועל על בסיס גישת סינון חבילות וייתכן שניתן לעקוף אותו במצבים מסוימים.
אנחנו לא מאמינים שקורבנות האבטחה שנעשו על ידי השתרשות טלפון שווים את יתרונות הפרטיות המפוקפקים של אפליקציות אלה.
התקן עדכונים¶
חשוב לא להשתמש בגרסת סוף החיים של אנדרואיד. Newer versions of Android receive not only security updates for the operating system but also important privacy enhancing updates too.
לדוגמה, לפני אנדרואיד 10 כל אפליקציה עם הרשאת READ_PHONE_STATE
יכלו לגשת למספרים סידוריים רגישים וייחודיים של הטלפון שלך כגון IMEI, MEID, כרטיס ה-SIM שלך;IMSI, בעוד שכעת הם חייבים להיות אפליקציות מערכת כדי לעשות זאת. אפליקציות מערכת מסופקות רק על ידי הפצת OEM או אנדרואיד.
שיתוף מדיה¶
אתה יכול להימנע ממתן הרשאות לאפליקציות רבות לגשת למדיה שלך עם תכונות השיתוף המובנות של אנדרואיד. יישומים רבים מאפשרים לך "לשתף" איתם קובץ להעלאת מדיה.
לדוגמה, אם אתה רוצה לפרסם תמונה ל-Discord אתה יכול לפתוח את מנהל הקבצים או הגלריה שלך ולשתף את התמונה עם אפליקציית Discord, במקום להעניק ל-Discord גישה מלאה למדיה ולתמונות שלך.
הגנות אבטחה¶
Key components of the Android security model include verified boot, firmware updates, and a robust permission system. These important security features form the baseline of the minimum criteria for our mobile phone and custom Android OS recommendations.
אתחול מאומת¶
Verified Boot is an important part of the Android security model. הוא מספק הגנה מפני התקפות משרתת רעה, התמדה של תוכנות זדוניות, ומבטיח שלא ניתן לשדרג לאחור עדכוני אבטחה עם הגנה לאחור.
אנדרואיד 10 ומעלה עברה מהצפנה בדיסק מלא להצפנה מבוססת קבצים גמישה יותר. הנתונים שלך מוצפנים באמצעות מפתחות הצפנה ייחודיים, וקבצי מערכת ההפעלה נותרים לא מוצפנים.
אתחול מאומת מבטיח את שלמות קבצי מערכת ההפעלה, ובכך מונע מיריב בעל גישה פיזית לחבל או להתקין תוכנה זדונית במכשיר. במקרה הבלתי סביר שתוכנות זדוניות מסוגלות לנצל חלקים אחרים של המערכת ולהשיג גישה מוסמכת יותר, אתחול מאומת ימנע ותחזיר שינויים במחיצת המערכת עם אתחול המכשיר מחדש.
למרבה הצער, יצרני ציוד מקורי מחויבים לתמוך באתחול מאומת רק בהפצת אנדרואיד בברירת מחדל שלהם. רק כמה יצרני OEM כגון גוגל תומכים ברישום מפתח AVB מותאם אישית במכשירים שלהם. בנוסף, חלק מנגזרות AOSP כגון LineageOS או /e/ OS אינן תומכות ב-Verified Boot אפילו בחומרה עם תמיכה ב-Verified Boot עבור מערכות הפעלה של צד שלישי. אנו ממליצים לבדוק אם יש תמיכה לפני רכישת מכשיר חדש. נגזרות AOSP שאינן תומכות באתחול מאומת לא מומלצות.
יצרני OEM רבים גם עשו יישום שבור של אתחול מאומת שעליך להיות מודע אליו מעבר לשיווק שלהם. לדוגמה, ה-Fairphone 3 ו-4 אינם מאובטחים כברירת מחדל, מכיוון שמטען האתחול של הברירת מחדל סומך על מפתח החתימה הציבורי של AVB. This breaks verified boot on a stock Fairphone device, as the system will boot alternative Android operating systems (such as /e/) without any warning about custom operating system usage.
עדכוני קושחה¶
Firmware updates are critical for maintaining security and without them your device cannot be secure. ליצרני ציוד מקורי יש הסכמי תמיכה עם השותפים שלהם כדי לספק את רכיבי הקוד הסגור לתקופת תמיכה מוגבלת. אלה מפורטים בעלוני האבטחה של אנדרואיד החודשיים.
מכיוון שרכיבי הטלפון, כגון טכנולוגיות המעבד והרדיו, מסתמכים על רכיבי קוד סגור, העדכונים חייבים להיות מסופקים על ידי היצרנים המתאימים. לכן, חשוב שתרכוש מכשיר בתוך מחזור תמיכה פעיל. Qualcomm and Samsung support their devices for 4 years, while cheaper products often have shorter support cycles. With the introduction of the Pixel 6, Google now makes their own SoC, and they will provide a minimum of 5 years of support. With the introduction of the Pixel 8 series, Google increased that support window to 7 years.
מכשירי EOL שאינם נתמכים עוד על ידי יצרן ה-SoC אינם יכולים לקבל עדכוני קושחה מספקי OEM או מפיצי אנדרואיד לאחר השוק. משמעות הדבר היא שבעיות אבטחה במכשירים אלה יישארו ללא תיקון.
Fairphone, for example, markets their Fairphone 4 device as receiving 6 years of support. עם זאת, ל-SoC (Qualcomm Snapdragon 750G ב-Fairphone 4) יש תאריך EOL קצר בהרבה. המשמעות היא שעדכוני אבטחת קושחה מ-Qualcomm עבור Fairphone 4 יסתיימו בספטמבר 2023, ללא קשר לשאלה אם Fairphone תמשיך לשחרר עדכוני אבטחה תוכנה.
הרשאות אנדרואיד¶
Permissions on Android grant you control over what apps are allowed to access. גוגל מבצעת בקביעות שיפורים במערכת ההרשאות בכל גרסה עוקבת. כל האפליקציות שאתה מתקין הן אך ורק ארגז חול, לכן, אין צורך להתקין אפליקציות אנטי וירוס.
סמארטפון עם הגרסה העדכנית ביותר של אנדרואיד תמיד יהיה מאובטח יותר מסמארטפון ישן עם אנטי וירוס ששילמת עליו. It's better not to pay for antivirus software and to save money to buy a new smartphone such as a Google Pixel.
אנדרואיד 10:
- אחסון בהיקף נותן לך שליטה רבה יותר על הקבצים שלך ויכול להגביל את מה שיכול לגשת לאחסון חיצוני. לאפליקציות יכולות להיות ספרייה ספציפית באחסון חיצוני וכן יכולת לאחסן שם סוגים ספציפיים של מדיה.
- גישה הדוקה יותר במיקום המכשיר על ידי הצגת ההרשאה
ACCESS_BACKGROUND_LOCATION
. זה מונע מאפליקציות לגשת למיקום כשהן פועלות ברקע ללא אישור מפורש מהמשתמש.
אנדרואיד 11:
- הרשאות חד פעמיות מאפשרות לך להעניק הרשאה לאפליקציה פעם אחת בלבד.
- הרשאות איפוס אוטומטי, המאפס הרשאות זמן ריצה שניתנו בעת פתיחת האפליקציה.
- הרשאות מפורטות לגישה לתכונות הקשורות למספרי טלפון.
אנדרואיד 12:
- הרשאה להעניק רק את המיקום המשוער.
- איפוס אוטומטי של אפליקציות במצב שינה.
- ביקורת גישה לנתונים שמקלה לקבוע איזה חלק באפליקציה מבצע סוג מסוים של גישה לנתונים.
אנדרואיד 13:
- A permission for nearby Wi-Fi access. The MAC addresses of nearby Wi-Fi access points were a popular way for apps to track a user's location.
- הרשאות מדיה מפורטות יותר, כלומר אתה יכול להעניק גישה לתמונות, סרטונים או קבצי אודיו בלבד.
- שימוש ברקע בחיישנים מחייב כעת את הרשאת
BODY_SENSORS
.
אפליקציה עשויה לבקש הרשאה עבור תכונה ספציפית שיש לה. לדוגמה, כל אפליקציה שיכולה לסרוק קודי QR תדרוש את אישור המצלמה. אפליקציות מסוימות יכולות לבקש יותר הרשאות ממה שהן צריכות.
Exodus can be useful when comparing apps that have similar purposes. אם אפליקציה דורשת הרבה הרשאות ויש לה הרבה פרסום וניתוח זה כנראה סימן רע. אנו ממליצים להסתכל על העוקבים הבודדים ולקרוא את התיאורים שלהם במקום פשוט לספור את הסכום הכולל ולהנחה שכל הפריטים הרשומים שווים.
Warning
אם אפליקציה היא ברובה שירות מבוסס אינטרנט, המעקב עשוי להתרחש בצד השרת. Facebook shows "no trackers" but certainly does track users' interests and behavior across the site. אפליקציות עשויות להתחמק מזיהוי על ידי אי שימוש בספריות קוד סטנדרטיות המיוצרות על ידי תעשיית הפרסום, אם כי זה לא סביר.
Note
Privacy-friendly apps such as Bitwarden may show some trackers such as Google Firebase Analytics. ספרייה זו כוללת את Firebase Cloud Messaging שיכולה לספק הודעות דחיפה באפליקציות. זה המקרה עם Bitwarden. זה לא אומר ש-Bitwarden משתמש בכל תכונות הניתוח שמסופקות על ידי Google Firebase Analytics.
תכונות פרטיות¶
פרופילי משתמשים¶
ניתן למצוא פרופילי משתמש מרובים בהגדרות ← מערכת ← משתמש מרובים והם הדרך הפשוטה ביותר לבודד באנדרואיד.
עם פרופילי משתמש, אתה יכול להטיל הגבלות על פרופיל ספציפי, כגון: ביצוע שיחות, שימוש ב-SMS או התקנת אפליקציות במכשיר. כל פרופיל מוצפן באמצעות מפתח הצפנה משלו ואינו יכול לגשת לנתונים של אף פרופיל אחר. אפילו בעל המכשיר לא יכול לראות את הנתונים של פרופילים אחרים מבלי לדעת את הסיסמה שלהם. פרופילי משתמשים מרובים הם שיטה בטוחה יותר לבידוד.
פרופיל עבודה¶
פרופילי עבודה הם דרך נוספת לבודד אפליקציות בודדות ועשויה להיות נוחה יותר מפרופילי משתמשים נפרדים.
A device controller app such as Shelter is required to create a Work Profile without an enterprise MDM, unless you're using a custom Android OS which includes one.
פרופיל העבודה תלוי בבקר התקן כדי לתפקד. תכונות כגון מעבורת קבצים וחסימת חיפוש אנשי קשר או כל סוג של תכונות בידוד חייבות להיות מיושמות על ידי הבקר. You must also fully trust the device controller app, as it has full access to your data inside the work profile.
שיטה זו בדרך כלל פחות מאובטחת מפרופיל משתמש משני; עם זאת, זה כן מאפשר לך את הנוחות של הפעלת אפליקציות בפרופיל העבודה וגם בפרופיל האישי בו-זמנית.
מתג הרג VPN¶
Android 7 and above supports a VPN kill switch, and it is available without the need to install third-party apps. תכונה זו יכולה למנוע דליפות אם ה-VPN מנותק. ניתן למצוא אותו ב הגדרות ← רשת & אינטרנט ← VPN ← ← חסום חיבורים ללא VPN.
בוררים גלובליים¶
למכשירי אנדרואיד מודרניים יש בוררים גלובליים לביטול Bluetooth ושירותי מיקום. אנדרואיד 12 הציגה מתגים למצלמה ולמיקרופון. כאשר אינו בשימוש, אנו ממליצים להשבית את התכונות הללו. Apps cannot use disabled features (even if granted individual permissions) until re-enabled.
שירותי גוגל¶
If you are using a device with Google services—whether with the stock operating system or an operating system that safely sandboxes Google Play Services like GrapheneOS—there are a number of additional changes you can make to improve your privacy. אנו עדיין ממליצים להימנע לחלוטין משירותי Google, או להגביל את שירותי Google Play לפרופיל משתמש/עבודה ספציפי על ידי שילוב של בקר מכשיר כמו Shelter עם Google Play Sandboxed של GrapheneOS.
תוכנית הגנה מתקדמת¶
If you have a Google account we suggest enrolling in the Advanced Protection Program. הוא זמין ללא עלות לכל מי שיש לו שני מפתחות אבטחה חומרה או יותר עם תמיכה ב-FIDO. Alternatively, you can use passkeys.
תוכנית ההגנה המתקדמת מספקת ניטור איומים משופר ומאפשרת:
- Stricter two-factor authentication; e.g. that FIDO must be used and disallows the use of SMS OTPs, TOTP and OAuth
- רק גוגל ואפליקציות צד שלישי מאומתות יכולות לגשת לנתוני החשבון
- סריקה של הודעות אימייל נכנסות בחשבונות Gmail עבור ניסיונות דיוג
- Stricter safe browser scanning with Google Chrome
- תהליך שחזור מחמיר עבור חשבונות עם אישורים שאבדו
If you use non-sandboxed Google Play Services (common on stock operating systems), the Advanced Protection Program also comes with additional benefits such as:
- Not allowing app installation outside the Google Play Store, the OS vendor's app store, or via
adb
- Mandatory automatic device scanning with Play Protect
- מזהיר אותך לגבי יישומים לא מאומתים
עדכוני מערכת Google Play¶
בעבר, עדכוני אבטחה אנדרואיד היו צריכים להישלח על ידי ספק מערכת ההפעלה. אנדרואיד הפכה מודולרית יותר החל מאנדרואיד 10, וגוגל יכולה לדחוף עדכוני אבטחה עבור חלק רכיבי מערכת באמצעות שירותי Play המועדפים.
אם יש לך מכשיר EOL שנשלח עם אנדרואיד 10 ומעלה ואינך יכול להריץ אף אחת ממערכות ההפעלה המומלצות שלנו במכשיר שלך, סביר להניח שעדיף לך להישאר עם התקנת האנדרואיד של היצרן ציוד המקורי (בניגוד למערכת הפעלה שאינה מופיעה ברשימה כאן כגון LineageOS או /e/ OS). זה יאפשר לך לקבל כמה תיקוני אבטחה מגוגל, מבלי להפר את מודל האבטחה של אנדרואיד על ידי שימוש בנגזרת אנדרואיד לא מאובטחת והגדלת משטח ההתקפה שלך. אנו עדיין ממליצים לשדרג למכשיר נתמך בהקדם האפשרי.
מזהה פרסום¶
All devices with Google Play Services installed automatically generate an advertising ID used for targeted advertising. השבת תכונה זו כדי להגביל את הנתונים שנאספו עליך.
בהפצות אנדרואיד עם Google Play בארגז חול, עבור אל הגדרות ← אפליקציות ← Google Play בארגז חול ← הגדרות גוגל ← מודעות, ותבחר מחק מזהה פרסום.
בהפצות אנדרואיד עם שירותי Google Play מורשים (כגון מערכת הפעלה ברירת מחדל), ההגדרה עשויה להיות באחד מכמה מיקומים. בדיקה
- הגדרות ← גוגל ← מודעות
- הגדרות ← פרטיות ← מודעות
You will either be given the option to delete your advertising ID or to Opt out of interest-based ads (this varies between OEM distributions of Android). If presented with the option to delete the advertising ID, that is preferred. אם לא, הקפד לבטל את הסכמתך ולאפס את מזהה הפרסום שלך.
SafetyNet ו-Play Integrity API¶
SafetyNet והממשק API של Play Integrity משמשים בדרך כלל עבור אפליקציות בנקאיות. אפליקציות בנקאות רבות יעבדו מצוין ב-GrapheneOS עם שירותי Play בארגז חול, אולם לחלק מהאפליקציות הלא פיננסיות יש מנגנוני אנטי-שיבוש גולמיים משלהם שעלולים להיכשל. GrapheneOS עובר את בדיקת basicIntegrity
, אך לא את בדיקת האישור ctsProfileMatch
. למכשירים עם אנדרואיד 8 ואילך יש תמיכה באישורי חומרה שלא ניתן לעקוף ללא מפתחות דלופים או פגיעויות חמורות.
As for Google Wallet, we don't recommend this due to their privacy policy, which states you must opt out if you don't want your credit rating and personal information shared with affiliate marketing services.
You're viewing the English copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! Visit Crowdin
You're viewing the English copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!