Пользователи Android, изоляция банк клиентов.
Здравствуйте. Счастья, здоровья, держитесь там. Приношу извинения, тчо сильно затянул написание этой заметки. Автор занимался определёнными изысканиями в одной отбитой области и по этой причине времени написать сий трудъ не было. Паралельно бросил пить, курить, занялся спортом, похудел, ох*уел как хорошо жить вне интернетов в реальном мире. Да-да всем срать, приступаю. Извиняйте за тавтологию, если повторю то, что уже писал.
Предисловие: меня удивляет безалаберность большинства пользователей, никто из моих знакомых не использует аккаунты в телефоне, работают под администратором в ОС или, админы поймут, запускают продуктивные приложения из-под рута. Возможно люди станут чуть более расторопными, когда уже будет поздно. Те, у кого троян, скачанный в виде игрушки с левого сайта племянником-двоюродной_сестры-тёти спёр деньги со счёта мобильного или с банковской карты обычно прозревают.
Начиная с версии Android 4.2 у владельцев планшетов существует возможность создавать несколько учетных записей для разделения устройства между разными пользователями. В мобильных телефонах данная функция появилась, начиная с версии 5.0. Я предлагаю использовать эту возможность для обеспечения более высокого уровня безопасности.
Что нам понадобится: Устройство на android 5+, второй, гугл аккаунт.
Краткое руководство к действию. Справедливо для голого Android, названия пунктов меню взяты из версии 8.1
После первоначальной загрузки телефона, не стоит настраивать вообще ничего, кроме трёх пунктов, этот аккаунт является администратором и позволяет давать доступ к sms/вызовам другим пользователям, добавлять и удалять их, предполагаю в будущем возможности контроля и ограничений будут расширены.
1) Добавьте пароль для аккаунта, именно пароль, длинный жирный необрезанный. Впрочем вы можете руководствоваться своими соображениями и использовать любой вариант.
Настройки – Местоположение и защита – Блокировка экрана.
2) Проверьте, что ваше устройство зашифровано.
Настройки – Местоположение и защита – Шифрование и учетные данные – Зашифровать данные.
3) Создаём пользователей.
Настройки – Пользователи и аккаунты – Пользователи.
Создаём 2 аккаунта:
Первый - будет нашим повседневным с обычной учетной записью Google, отпечатком пальца для разблокировки и прочими свистелками/перделками.
Второй мы планируем использовать для всех приложений с доступом к финансовым активностям, именно для него я и могу рекомендовать завести отдельный гугл.аккаунт не связанных НИКОИМ образом с первым.
Можно расширить список аккаунтов и изолировать назойливые игры, которые пытаются изнасиловать вас своими уведомлениями и напоминаниями. Также есть гостевой аккаунт.
Рекомендации для параноиков:
1) Не привязывайте номер телефона к второму «банковскому» аккаунту гугл. В случае, если недобросовестный опсос перевыпустит симку, все(ну почти все) банк клиенты перестанут работать на сутки, а получить доступ к вашему аккаунту человек сможет. Зная, как в данный момент развита электронная коммерция, этого может быть достаточно для создания вам проблем. Простой пример – привязанная к аккаунту карта для платежей gPay.
2) Используйте 2FA – двухфакторная аутентификация. Обязательно сгенерируйте новые резервные коды для входа, именно они являются наиболее безопасным способом восстановить доступ к аккаунту.
https://myaccount.google.com/signinoptions/two-step-verification
3) Идеальным вариантом является использование «паролей для приложений». Генерируются один раз, записывать не надо, запоминать тоже, геморройно бывает настраивать новое устройство, но лучше этого пока не придумали.
https://myaccount.google.com/apppasswords
4) Проведите аудит конфиденциальности. Я лично выключил для банковского вообще всё.
https://myaccount.google.com/privacycheckup
5) Отключите/удалите все не нужные вам приложения.
Это сократит как расход батареи, при переходе между аккаунтами многие приложения получают событие для пробуждения, так и позволит чуть ограничить собираемые о вас данные. Оставить точно стоит gPlay, т.к. обновлять приложения нужно обязательно, остальной софт по-вкусу.
Настройки – Приложения и уведомления – Показать все.
При выборе приложения вы провалитесь в меню, где будет возможность удалить обновление/отключить приложение.
6) Отключите Google Instant App!
Настройки – Google – Сообщения с предпросмотром приложений.
Что это за зверь? Теоретически задумка неплохая, при переходе на сайт, устройство загрузит приложение, что-то вроде тонкого клиента сайта, после чего вы сможете пользоваться сайтом в рамках экосистемы вашего устройства. Например, можно будет моментально оплатить покупку, привязанной к аккаунту картой. А можно потерять все деньги, если это приложение окажется зловредом, подписанным корректным сертификатом. Тот же aliexpress вообще никаких вопросов не задаёт, просто деньги с карты списывает.
Для Xiaomi на прошивках MIUI существует аналог – второе пространство. К сожалению множественное добавление пользователей тут невозможно, однако есть такие фишки, как:
1) Скрытие из меню основного аккаунта пункта второго пространства.
2) Вход в разны аккаунты из одного экрана блокировки по разным паролям/отпечаткам пальца. Не знающий человек просто не догадается, что в телефоне есть изолированный сегмент с блекджеком и ещё чем-нибудь.
3) Склероз мой друг. Если верно помню, есть возможность "завернуть" определённые контакты с вызовами и смс во второе пространство. И никто не узнает, что вы бэтмен, ходите на сторону/ведёте двойную жизнь(курьерам с зп 300к в месяц привет). В крайнем случае сяоми из-коробки имеет applock, который способен скрывать даже конкретные сообщения из чатов.
Спасибо за интерес. К сожалению у меня нет совершенно времени отвечать.