"Белый" телефон

Подскажите кто в теме, если я накачу на смарт Репликанта или Линейку смогу ли я потом установить на них Яндекс кошелек или мобильные клиенты сбера, ВТБ, etc, без установки гапсов?

Хотя сама идея Репликанта мне очень по душе, из-за аппаратных ограничений и вялой разработки никогда его не ставил. Цитата с официального сайта: Latest images: Replicant 6.0 0003 released in December 10, 2017, 16 months ago. Replicant supports up to 13 different devices!

На LineageOS мне когда-то благополучно удавалось пусть даже не конкретно это ("Яндекс кошелек или мобильные клиенты Cбера и ВТБ без гаппс"), но что-то очень похожее. Но сейчас не вижу в такой конфигурации особенного смысла.

Дело в том, что приватность и анонимность - очень разные, в некоторых случаях даже взаимоисключающие вещи. Если тебе нужен "белый" телефон, который банально не сливал бы телеметрию и прочую деликатную информацию, это совершенно другая стратегия. С другой стороны, если тебе нужен "серый" и тем более "черный" аппарат, обычным выпливание гаппсов ты себе не сильно поможешь, а только приобретешь лишнюю головную боль. Пожалуйста, поясни, чего именно ты хочешь этим добиться.

Можешь по-подробнее с этого места? Именно такой аппарат и нужен. Может ссылку кинешь или в паре абзацах просветишь?
К примеру купил я сяомишную трубу дальше что?

Конкретно нужно следующее: на этом аппарате будут клиенты коешлков яда и карт, но эти кошельки делаются всерьез и на долго под скажем так серые нужды.

Давай расскажу, как это у меня. Мой единственный белый телефон - рабочий. Модель рисков: в случае недобровольной доставки на допрос должна быть минимизирована вероятность утечки конфиденциальных корпоративных данных через это устройство.

Телефон не является моей собственностью, а является собственностью организации. Аппаратно это айфон самой свежей модели с последней версией операционной системы. На нем развернут экземпляр клиента системы MDM (Mobile Device Management), и в целях безопасности весь траффик пущен через корпоративный IKEv2 VPN, прямые подключения к интернету запрещены. К логам у меня имеется полный доступ. Сим-карты серые, меняются раз в несколько месяцев. Услугами сотовых операторов я вот уже много лет пользуюсь только для передачи данных, т.к. наши безопасники убеждены, что голос давным-давно потоково распознается и записывается куда надо. Поэтому приложение "телефон" у меня отключено (его даже не видно), зато есть несколько VoIP-звонилок: одна для работы, другая для общения с семьёй.

Сотрудником организации я формально не являюсь, но при этом принимаю непосредственное участие в её управлении (да, так бывает). Поэтому айтишники или ибшники меня, конечно, слушают. А вернее, имеют удобную техническую возможность это сделать в случае прямого приказа "главного" акционера. Зная об этом, я не занимаюсь глупостями, белый телефон держу при себе только в рабочее время и ещё в командировках. С наступления вечера и до начала следующего рабочего дня белый телефон, как правило, лежит дома в авиарежиме, а для пущей надежности в сейфе

В случае, если бы у меня - чисто гипотетически - имелись бы секреты от главного акционера, купил бы себе андроид с возможностью легкой смены IMEI и много-много сим-карт. Не пользовался бы им из дома и хранил бы где-то на отдалении.

В Lineage OS все более-менее нормально с передачей телеметрии и прочих метаданных. Но точно были значительные косяки с полнодисковым шифрованием (в отличие от iOS). Ещё, в отличие от айфонов, в Андроид есть фаерволл, но он сильно жрёт батарею. По крайней мере, под Lineage OS он работает "на троечку" (т.е. сбивается и блокирует вообще всё).

Поэтому я бы попробовал замапить все "левые" адреса на 127.0.0.1 банально через /etc/hosts. А если это не сработает, всегда можно поднять mandatory socks5 proxy и пустить весь трафик через VPS с настроенным danted и bind.

Где-то год назад сбербанк на линейке не работал. Вернее работал в ограниченном режиме каком-то. Можно было подшаманить с Xposed вроде бы, но я не стал заморачиваться, ибо на хуй этот сбербанк вообще сдался на него еще время тратить. На 4pda если покопаться, можно найти решение я думаю.

Это ты о чем?

Че за фаервол такой? Который еще и жрет батарею почему-то. Afwall ничего не жрет например и не должен априори, он правила iptables задает и все.

Возможно, в середине 2019 года дела обстоят по-другому, но с позднего 2014 по примерно 2018 год я потратил в общей сложности часов 100, пытаясь на самых разнообразных устройствах с разными операционками, (но преимущественно - Cyanogen Mod / Lineage OS) добиться предсказуемо работающего FDE (full disk encryption). Как вспомню, так вздрогну

Вкратце - идеально и относительно быстро получилось только на каком-то одном из "флагманских" китаефонов: производитель точно OnePlus, но не вспомню какой именно модели. Еще на двух типа "флагманских" китаефонах (Huawei и Meizu) FDE после умеренных танцем с бубном в итоге не завелась, хотя не исключаю, что это просто у меня руки кривые. На недорогих телефонах с не-топовым железом дела обстоят совсем печально. Я абсолютно убежден в том, что сейчас невозможно взять первый попавшийся современный, то есть, продающийся в магазиназ и не снятый с выпуска android-телефон среднего ценового сегмента с уверенностью, что на нем будет работать FDE.

Пруфы:
https://arstechnica.com/gadgets/2016/03 … ypt-yours/
https://blog.elcomsoft.com/2017/05/android-encryption-demystified/

Понимаю, что цитируемой статье сейчас исполнилось ровно два года, но ты ведь тоже, наверное, понимаешь, что такое "незрелая технология"?

Если у тебя есть более современный опыт с результатами отличными от моих, смело пиши статью.

Я ниасилил Afwall GUI и вместо этого тупо управлял правилами iptables через adb console. Правда, телефоны были откровенно дешманские. Вот примерный список правил для iptables-restore:

*filter
-P INPUT DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -d <my-vpn-ip-address> -j ACCEPT
-A INPUT -o tun0 -j ACCEPT
COMMIT

Итог я написал выше: в связке с OpenVPN при относительно длинном ключе эта вся балалайка на практике просто переставала работать от интенсивного сёрфинга. Затем перезагрузка - 10-15 минут работы - и снова отказ. Нахрен так жить.

Я помню, что прежде чем покупать себе ведро, я в свое время смотрел, работает ли на нем шифрование. Но это было так давно, что кажется в другой жизни, сейчас новые ведра у тебя даже ничего не спрашивают, а просто все шифруется по умолчанию. Сейчас проблема найти подходящее тело с нормальной поддержкой линейки, но там щас все гораздо лучше чем даже год назад.

Если на говорилке стоит андрюша с какой-то там версии (7 или 6, не суть), то там шифрование работать обязано.

Вот и науправлялся. Ты заведи сейчас Afwall и посмотри вывод iptables -L в терминале, много нового узнаешь

Там у них все тушки перечисленны на сайте.
Думаешь проблем с ядами и прочим МК без гапов не будет?

Есть еще народные поделки на тех же xda и 4pda, которые иногда поддерживаются лучше официальных релизов.

Не знаю, не пользуюсь. Пробуй. На 4pda можно поискать в темах по интересующим приложениям.