Насколько на данном этапе “цифрового развития” актуальны такие меры защиты смартфона от нечисти, есть ли какие-то уязвимости?:
Вариант конфигурации с root
-
получение root
-
magisk(alpha 30700 - успешно работает с mir pay при добавлении в DenyList) с модулями LSposed / Relesposed
- В модуле
LSposed / Relesposed в свою очередь модули:
- Hide My Applist (все подозрительные приложения скрыть
от скрепо-софта)
- NoVPNdetect (скрыть флаг VPN от скрепо-софта)
- Опционально - что бы всё наглухо заблокировать - XPL-EX
В этом приложении можно ограничить разные доступы для любых установленных приложений (от АНБ, Скрепных, мошенников, хакеров и т.п. главное лишнего не наблокировать, иначе навигаторы не будут видеть GPS и прочие подобные проблемы)
-
Приложение AFWall+ (Брандмауэр работающий через iptables у меня почему то получилось нормально запустить только в режиме белых списков - галочка значит разрешено). В нём Активировать “Управление VPN”. После этого появится 4 столбца:
Два компьютера | wifi | стрелки вверх и вниз | какие -то узлы (видимо это VPN?)
-
Заблокировать подозрительные приложения.
-
Подозрительным приложениям которым нужен интернет дать доступ только к мобильному интернету и WI-fi (2 я и третья пиктограмма - знак wi-fi и стрелки вверх и вниз) - убрал первую и последнюю - после этого как я понимаю нет доступа к локальной сети и к tun устройствам.
-
Mir pay - ему интернет не нУжон - заблокировать сеть наглухо после добавления карт. (снял все галочки для профилактики, хотя где то читал, что он вроде как не стучит)
-
Приложение для VPN и/или proxy на примере NekoBox (эти приложения скрыть с помощью Hide My Applist, да и вообще все приложения которые черти могут посчитать подозрительными и приложения связанные с root )
Для удобства можно создать 3 профиля для одного подключения.
1. Rroxy Only с авторизацией по логину и паролю
2. VPN + proxy (proxy с авторизацией по логину и паролю)
3. VPN (Tun) Only
В “Пользовательский исходящий JSON” (карандаш на профиле => три точки =>Пользовательский исходящий JSON)
Добавил такие записи:
{
"inbounds": [
{
"type": "mixed",
"tag": "mixed-in",
"listen": "127.0.0.1",
"listen_port": 8010,
"sniff": true,
"sniff_override_destination": false,
"domain_strategy": "",
"users": [
{
"username": "ВАШ ЛОГИН",
"password": "ВАШ ПАРОЛЬ"
}
]
}
]
}
{
"inbounds": [
{
"domain_strategy": "",
"endpoint_independent_nat": true,
"inet4_address": [
"172.19.0.1/28"
],
"inet6_address": [
"fdfe:dcba:9876::1/126"
],
"mtu": 9000,
"sniff": true,
"sniff_override_destination": false,
"stack": "gvisor",
"tag": "tun-in",
"type": "tun"
},
{
"type": "mixed",
"tag": "mixed-in",
"listen": "127.0.0.1",
"listen_port": 8010,
"sniff": true,
"sniff_override_destination": false,
"domain_strategy": "",
"users": [
{
"username": "ВАШ ЛОГИН",
"password": "ВАШ ПАРОЛЬ"
}
]
}
]
}
Только ВПН:
{
“inbounds”: [
{
“domain_strategy”: “”,
“endpoint_independent_nat”: true,
“inet4_address”: [
“172.19.0.1/28”
],
“inet6_address”: [
“fdfe:dcba:9876::1/126”
],
“mtu”: 9000,
“sniff”: true,
“sniff_override_destination”: false,
“stack”: “gvisor”,
“tag”: “tun-in”,
“type”: “tun”
}
]
}
-
После этого телегу и прочие приложения поддерживающие socks5 proxy (firefox с расширением например) можно подключить в режиме без VPN. В WhatsApp как я понял нет прокси с авторизацией, что печально.
-
В этом режиме - только socks5 proxy с авторизацией это приложение для проверки - RKNhardering (с теми же допусками как скрепо и АНБ-софт) ничего не пропаливает (кроме ложных срабатываний - например на настоящие DNS мобильных операторов имеющих ip вида 10.xx.xx.xx или служебных VPN поднятых операторами связи для VoWifi)
И я полагаю, что в этом случае будет срабатывать Kill Switch в случае падения outbond или отключения VPN клиента. (во всяком случае при неактивном подключении браузер с прокси работать перестаёт)
-
В режимах с активным VPN сетевой интерфейс tun0 виден для RKNhardering , но если доступ к нему ограничить с помощью брандмауэра (AFWall+, как я понял можно и вручную прописать iptables) то termux перестаёт успешно выполнять команду вида:
curl --interface tun0 https://example.com
-
Не знаю на сколько критичен факт видимости tun интерфейсов? Нужно ли и вообще и возможно ли их скрывать? Насколько я знаю их могут создавать на смартфонах далеко не только средства обхода но и : Файерволы без рута, разные локальные фильтры трафика, как оказалось - VoWifi . Я думаю список не исчерпывающий.
-
Естественно правила маршрутизации для ip и сайтов ru - сегмента сети на блокировку (на уровне клиента а лучше и сервера)
geoip:ru
domain:ru
domain:su
domain:рф
Без root
-
Если нет root то я думаю есть смысл ставить нехорошие приложения во второе пространство (Частный профиль в чистом андроиде) или виртуалки
Так же не видно будет приложениям из Частного профиля список приложений на всём устройстве?
-
В системных настройках активировать для своего VPN-профиля активировать галочку “Блокировать соединения без VPN” и делать подобные настройки которые упоминал partyhard: NekoBox настройки от пролезания
-
Т.е. как я понял, суть в отключении попытки фильтрации на входе в tun (ибо она не защищает от попыток “влезть” несанкционированно) и в разруливании маршрутов внутри клиента (после tun).
ДУМАЮ, ЛУЧШЕ ЭТОТ ВОПРОС (конфигурации без рута) задам отдельно - этот и так слишком длинный получился.