Б
быдло.jazz
11.07.2026 12:46 · 👁 3.2K
Эта новость вовсе не новость, просто удобный повод объяснить почему Android - это не Google.
Суть новости - Google юридически прикрывает задницу после большого кипиша на скромные $135 млн. Сертифицированные устройства отправляли сотовый трафик Google в простое без ведома пользователей. Я не просто так делаю акцент на сертифицированных устройствах.
Давным-давно в 2005-м, когда многих из вас не было на свете, в Google решили что Android Inc., основаная в 2003 году, может стать нехилой конкуренцией Symbian и Windows Mobile, уже довольно распространенным на тот момент. Через три года после покупки, в 2008-м выкатили первое устройство на AndroidOS. Тогда же появился AOSP как открытая часть платформы под Apache 2.0. И это ключевой момент всей истории с сертификацией и заебавшими перлами типа "Google запрещает установку сторонних приложений на Android".
AOSP - это открытый исходный код, который может собрать кто угодно (на нём и построены LineageOS, GrapheneOS и т.д.). Google-серверов не требует.
AOSP=Android. Даже если вот прямо сейчас закрыть проект, Android никуда не денется. Это открытый код в свободном доступе, который лежит на тысячах серверов и частных накопителей, его можно использовать, развивать, им можно делиться. Китай со своей HarmonyOS тому пример. Если волшебным способом изъять этот код со всех носителей - только тогда Android исчезнет. Появится Googloid, Hrenoid - что-то другое.
GMS (Google Mobile Services) - это проприетарный набор поверх AOSP: Play Store, Play services, Play Protect, FCM, геолокация Google и т.д. По сути - это паразитарный закрытый софт, который распространяется только по лицензии Google и не имеет к AOSP никакого отношения.
Сертифицированное устройство - это устройство, чей производитель прошёл три условия Google: собрал прошивку, проходящую CTS (Compatibility Test Suite - проверка совместимости с Android-спецификацией), подписал с Google дистрибьюторское соглашение (MADA), получил лицензию на предустановку GMS, и чей build fingerprint зарегистрирован в базе Google. С Android 8+ на такие устройства заводятся аппаратные ключи атестации, подписанные корневым сертификатом Google (attestation root), зашитые в TEE/StrongBox.
Несертифицированное устройство — кастомный ROM, de-Googled-сборка или устройство без GMS-лицензии. Я его держу сейчас в руках.
Google в тексте условий говорит про "системные сервисы на сертифицированных устройствах". Читается это как "наш софт на наших доверенных телефонах". Но за этой фразой скрыто одно уравнение: системные сервисы = GMS, а "сертифицированное устройство" - это единственное место, где Google этому GMS полностью доверяет.
Возвращаясь к скрину, Google фактически говорит: "на устройствах, где стоит наш GMS с полным доверием, он будет делать что хочет, жить своей фоновой жизнью и тратить твой трафик - и платишь за это ты, долбоебина, потому что повязан лицензией и пользовательским соглашением". По сути, это единственный внешний субъект, принимаюший решения на устройстве удалённо.
Используя Android без GMS вы возвращаете себе суверенитет, который GMS, как привилегированный слой на устройстве, вертел на колу. Но это не бесплатная свобода, а осознанный размен, ибо Google вяжет вас не только обязательствами, но и конфетками, перечислять которые не буду. Потому что независимо от них я свой выбор сделал давно.
Надеюсь, главное вы почерпнули: Google живет и паразитирует поверх Android, он собирает ваши данные и отправляет их на свои сервера. Держит с этими серверами фоновый канал с абсолютно разными целями. Как для пушей, чтобы вы вовремя получили это сообщение, так и для отправки cell-tower данных для геолокационной базы Google и вашего отслеживания. И делает он это с вашего разрешения. В обмен на конфетку.
Б
быдло.jazz
06.07.2026 09:19 · 👁 4K
Олдскул или модерн? v4 vs. v6?
Годы доверия к классике или активная разработка современного инструмента?
Не скринах PGPony, софт и криптоядро идут отдельными репо. Под iOS тоже есть вариант, но мне не интересно.
Собственно, знакомьтесь - современная альтернатива всеми любимому OpenKeychain, а если не знаете что это, то, скорее всего, вы лютый терминальный красноглаз или, что более вероятно, не используете OpenPGP на Android и "шифрование" для вас - это просто какое-то слово на букву "ша". Для вас распишу подробнее.
Шифрование/подпись/расшифровка - три базовые операции PGP:
шифрование - превращает текст/файл в нечитаемый блок, открыть который сможет только получатель своим приватным ключом
подпись - к сообщению прикрепляется криптографическую "печать", получатель убеждается, что писал именно Jazz и текст не подменили
расшифровка - обратная операция, вашим приватным ключом открывается то, что зашифровали конкретно для вас, и заодно проверяется чужая подпись.
В чем отличия, плюсы и минусы по сравнению с OpenKeychain?
Лошадка поддерживает v4 и v6 - два поколения формата OpenPGP. OK - только v4.
Лошадка может в HW-ключи по NFC (YubiKey 5, Token2) - вместо того чтобы держать приватный ключ в памяти телефона, он хранится на физической железке (смарткарта/токен). Чтобы что-то подписать или расшифровать, достаточно приложить её к телефону через NFC и ввести PIN. Ключ никогда не покидает карту, даже если телефон скомпрометирован, вытащить ключ нельзя. Генерация ключа прямо на карте, новый приватный ключ рождается внутри токена и физически никогда не существует на телефоне. На телефоне только софт для управления (удалить, сменить пин и тд.).
Чего нет в PGPony? Системный OpenPGP API. То есть нативный бэкенд для почты типа K-9/Thunderbird, связка с XMPP-клиентом и все за что сообщество ценит OpenKeychain - хрен вам. Но, возможно и хотелось бы - добавится.
Вывод: PGPony даёт более современный формат (v6) с лучшей целостностью и защитой паролем, но реализуется это преимущество только когда обе стороны на v6. Базовая криптография одинаковая.
Возвращаясь к началу, что же выбрать? Это, на данный момент, концептуально отличающиеся инструменты. Один может дополнить другой или решать совершенно разные задачи, связанные с шифрованием. Но без подобных инструментов никаких разговоров о приватности и безопасности не может быть по определению.
Б
быдло.jazz
27.06.2026 09:30 · 👁 6.9K
https://x.com/nebusecurity/status/2069707520160227688
Сразу определимся, что пост от Nebula Security абсолютно коммерческий, типа "VEGA, алга", "Mythos - шляпа", и все такое. Но суть совершенно не в этом. Это наглядная демонстрация современной атаки на пользователя, после которой все ваши секреты уже не ваши, а тезеры уехали на чужой кош.
Суть демонстрации: юзер тапает на ссылку в Firefox на Android 17 - все, телефон заражен и рутован. Без установки приложений, без дополнительных действий. Рутован не в смысле что пользователь получил root-доступ на своем устройстве, а в том смысле что его получил атакующий, применив браузерный эксплойт. Кривой компилятор, побег из песочницы и вот, атакующий уже в вашем ядре.
Еще раз. Это не обычный KernelSU/Magisk root. Это компрометация ядра из контекста браузерного процесса. Атакующий работает с привилегиями ядра, без ограничений, без проблем с SELinux - круче него только Бэтмен. Что он теперь может сделать конкретно? Да все: читать /data/data/*, все приложения, включая мессенджеры, кошельки, читать ключи в памяти, вытаскивать CE-зашифрованные данные пока устройство в AFU и тд. И при этом спрятать следы всего этого.
Есть такой термин - "компрессия квалификации". Если раньше цепочка "найти баг - написать рабочий эксплойт - доставить" требовала редкой коммандной экспертизы и месяцев работы, то сейчас способность моделей решать реальные инженерные задачи выросла примерно с 33% решённых реальных GitHub-issue в 2024 до почти 81% в 2025, и это мне еще лень искать статистику за последние месяцы.
Есть еще один термин - "коллапс окна защиты". Время от раскрытия уязвимости до её эксплуатации в дикой природе упало с более чем 700 дней в 2020-м до 44 дней в 2025-м, а некоторые эксплойты в 2026-м выстреливают через 24 часа (!) после раскрытия. Че ты там моргаешь, бро? Это - реалия.
И в ней ролмодел "я не таргет" - это неприлично инфантильный долбоебизм. Непозволительный никому. Это раньше дорогущий Pegasus таргетировали на конкретного персонажа за хулиард денег. А сейчас AI убирает главный ограничитель массовых атак - стоимость подготовки каждого эксплойта. Когда эта стоимость падает, исчезает сама необходимость выбирать жертв: дешевле бить по всем. Это уже не "работа снайпера", это "рыбак закинул сеть и тянет". Потому что так дешевле. Потому что эксплойт становится расходником, а не драгоценным инструментом, потому что атака на его основе, вот конкретно эта из демо-видео - она ничего не стоит.
Все кто хоть немного в безопасность прекрасно понимают что стратегия "обновлюсь, когда узнаю об угрозе" мертва. Это уже не работает. Тупо не успевает защищать. Единственная состоятельная защита - защита активная, опережающая. Когда нельзя предсказать и нельзя опередить точку входа, рационально защищать точку выхода - узкое горло, через которое проходит любая успешная атака независимо от CVE. Потому что дохуя себе широченная поверхность подобных атак, в случае успеха, почти всегда обязана сойтись к маленькому набору целей. В конкретном описанном случае - получить root в ядре. Пофиг как это будет сделано. Суть защиты не патчи ждать от лисьих браузеров, а отлавливать такие события и пресекать. Безжалостно. Кто хочет поковырять самостоятельно и самостоятельно понять, на чём вообще держится защита от эскалации привилегий (вот этот самый нисхуя root в ядре) копайте в сторону commit_creds и BPF kprobe. Это та точка ядра, через которую проходит любой переход к root.
Собственно я это все не напугать вас лишний раз, защиту я покажу на следующем потоке.
Б
быдло.jazz
18.06.2026 13:30 · 👁 6.9K
Делал чисто для себя, но, уверен, многим пригодится.
Модуль задуман как альтернатива AFWall+ или Netswitch, проще говоря - рутовый файервол на iptables. Но с акцентом на мультипрофильность и удобство, а также на работу с системными приложениями, ибо пользовательские можно резать чем угодно. Внимательно читаем алармы относящиеся к Shared UID при выставлении правил. Приложения разделены не только на "Пользовательские" и "Системные", но и разбиты отдельно по пользователям: u0, u10, u11 и тд.
Работает с Magisk/KernelSU. Управление через WebUI. Если ваш менеджер для управления root-доступом не алё в WebUI, используйте стороннее решение, в KSU/KSUN все встроено в менеджеры, вы это и так знаете.
Делюсь lite-версией, полную версию раздам на следующем потоке курса. В полной присутствуют дополнительные функции типа killswitch и тд. Возможно, если нечем будет заняться, в полную версию встрою раздельное управление мобильным трафиком, wifi, etc. Но, если честно, не вижу в этом особого смысла. Приложению или можно ходить в сеть, или нельзя. Чуть-чуть нельзя - это извращения.
Б
быдло.jazz
10.06.2026 12:28 · 👁 7.5K
Помните, был такой проект DivestOS? Я про него рассказывал в канале, да и без меня многие были знакомы, как минимум с Mulch и Hypatia.
Прект, к сожалению, давно умер. Но в этой теме "умер" часто ничего не значит. Есть код - есть те кто поднимет упавшее знамя.
AXP.OS - форк на LOS, хотелось бы сказать что это прямой наследник DivestOS, но это не так. Проект существовал и при жизни оного и был на него плотно завязан, просто после его смерти взял кодовую базу и лучшие наработки и пошел дальше.
Есть две версии прошивки: Pro и Slim.
Pro - pre-root (Magisk), microG + Play Store.
Slim - практически 99% DivestOS.
Честно - сама прошивка мне не очень интересна по нескольким причинам. Основная - список поддерживаемых устройств. Но для кого-то этот список наоборот станет открытием: проект поддерживает, например, такие девайсы как OnePlus 5–8T, то есть ооочень древние раритеты по меркам рынка. А если учесть что проект включает в себя многое и из других проектов, таких как GrapheneOS, CalyxOS, Cromite - то, возможно, будет интересно и владельцам других устройств.
Еще из минусов: проект пилит один единственный, хоть и авторитетный в сообществе разраб. Обновления не частые, максимальная версия оси А15, а версии компонентов отстают от актуальных (см. скрин).
Плюсы, помимо названных: попытка совместить графеновский Vanadium, с eго патчами, и Cromite, с его наработками. Все вместе собрано в браузере и WebView проекта. GrapheneOS hardened_malloc, CVE/ASB-патчи ядра для старых устройств. DNS-content-blocker (hagezi), дополнительный deblobbing, WireGuard kernel-module, управление eSim через OpenEUICC (работает и с физическими симками на которые можно записывать eSim, тоже рассказывал) и еще всего и много. Ну и, релок загрузчика с предустановленным рутом, на ключах проекта без лишних танцев.
В общем, проект интересный. Вот ссылка на репо F-Droid, что доступно - на скрине. Саму прошивку и информацию о проекте найдете тут.
Б
быдло.jazz
04.06.2026 13:11 · 👁 7.5K
Внимание! Новый дополнительный урок в рамках нашего курса.
Старт: 11-го июня.
Большинство уже столкнулись с приложениями, которые определяют используете ли вы VPN на устройстве. Зачем - вы сами знаете, и криминализация вашего желания на доступ к информации - вопрос времени. Как они это делают и, главное, как избежать этого - узнаете на уроке.
FCKRKN или как использовать средства обхода и избежать детекта.
- как приложения детектят VPN
- почему необходимы изоляция и раздельное туннелирование
- преимущества рутованного устройства при работе с VPN/Proxy
- как их использовать без поднятия в системе детектируемых интерфейсов и флагов
- разберем что такое proxy-ядро
- tproxy, enchance или redirect; разберем какие способы перенаправления трафика в proxy-ядро на уровне netfilter не детектируются, какие из них наиболее актуальны
- используем удобный скрипт конвертации паблик-конфигов в нужный формат
- строим цепочки и защищаемся от сканирования
- раздельное туннелирование на уровне iptables, по UID, для приложений любого профиля (личный, рабочий, песочница и тд)
Бонус:
- делаем killswitch для конкретного пользователя в системе (например полный блок user 10) при отключении системы проксирования
Найти нельзя только то чего нет. Сделаем так что искать будет нечего. Root-Shell-Userspace, просто, красиво, без инъекций и лишнего кода. Настроил и забыл.
Ахтунг! Как и все дополнительные уроки, данный урок доступен только тем, кто прошел основной курс! (Последний поток доступен в записи)
Ахтунг два! На уроке не будет ничего о настройке собственного сервера! Мы не занимаемся администрированием серверов!
Стоимость участия: 10к
Запись у саппорта @JazzSupport
Б
быдло.jazz
21.05.2026 09:17 · 👁 6.9K
Во-вторых, это очень крутая задумка. А во-первых, будет небольшой ликбез.
Я часто упоминаю в канале что-нибудь связанное с использованием PWA-приложений или софта по типу Native Alpha или WebSpace. Потому что имею твердое убеждение: там где можно обойтись без установки кучи стороннего проприетарного кода на устройство, лучше так и поступить.
PWA (Progressive Web App) - это сайт, который ведёт себя как нативное приложение: устанавливается на домашний экран, работает офлайн через Service Worker, может слать push-уведомления и тд.
Технически это всего лишь веб-страница - браузер сам создаёт ярлык и крутит всё внутри своего UID.
В случае с PWA, основная поверхность атаки равна уязвимости используемого браузера.
WebSpace или аналог - это один Flutter-контейнер, который держит все нужные сайты внутри себя как организованные вкладки/коллекции. То есть это PWA наоборот: вместо ярлыка в браузере или раздутого standalone-APK, единое приложение-агрегатор с упором на приватность.
В данном случае основная поверхность атаки - системный движок WebView и его настройки.
В случае с закрытым проприетарным приложением, например с Max'ом - весь код приложения является "черным ящиком" и может служить поверхностью атаки. В том числе и со стороны самих разработчиков.
В двух первых случаях использование вместо обычного приложения имеет смысл только если вы используете защищенный браузер/webview с нужными флагами в файлах конфигурации и тд., а это в свою очередь требует или слепого доверия к ним, или userdebug-прошивки и root.
Использование отдельного готового приложения подразумевает что вы доверяете разработчику этого приложения или, как минимум, переписали манифест/порезали пермишены/отключили компоненты, используете изолированно от доверенных приложений с чувствительными данными и тд..
Все это удел гиков, параноиков и учеников дяди Джаза.
Для всех остальных вполне себе интересный компромисс.
https://github.com/shiahonb777/web-to-app
WebToApp - это, простым языком, open-source Android-приложение, которое собирает APK из сайтов/страниц, которые вы ему укажете.
Вот прям берете сайт и делаете из него апку в нужной конфигурации.
Каждый собранный APK получает богатую конфигурацию: блокировка рекламы/трекеров, DNS-over-HTTPS, прокси, выбор runtime-permissions и проч. Настроек реально много. Ничего не стоит взять сайт и сделать из него приложение для онлайн прослушивания и загрузки аудиокниг, ограничить в разрешениях, отключить рекламу и трекеры. С Max'ом играйтесь самостоятельно, мне оно не нужно ни в каком виде.
Софт имеет и другие не менее интересные функции, которые в данный пост не влезут при всем моем желании. И да, вам по-прежнему нужен надежный WebView с актуальными патчами, если не похер на данные, которые будут проходить через созданное через этот софт приложение.
Б
быдло.jazz
16.05.2026 13:08 · 👁 8.2K
И сам давно ничего стоящего не смотрел, и вам не советовал. Выходные - самое время.
"Рассказ служанки", 2017.
Когда вышел первый сезон, все это, вполне возможно, смотрелось как антиутопия. Сейчас, если немного сместить акценты, смотрится как, мать его, сценарий к пиздецу в котором мы если еще и не оказались, то стремительно приближаемся. Очень четко показана грань, отделяющая невозможное вчера от новой реальности завтра.
Словосочетания типа "традиционные ценности" из начальных серий реально триггерят так, как в 2017-ом и представить было невозможно. Я просто процитирую кусок описания сюжета книги Маргарет Этвуд, по которой снят сериал, все станет понятно:
"Галаад находится на территории современных США и постоянно ведёт войну с соседними странами и бывшими штатами. Искусство, театр, общественные пространства, кроме церквей и магазинов, объявлены вне закона как еретические. Передвижение людей строго ограничено, а улицы уставлены блокпостами. Разоблачённые общественностью атеисты, иноверцы, вступившие в секс без брака, и гомосексуалы подлежат смертной казни, а за более мелкие проступки — воровство, аморальное поведение, чтение запрещённой литературы — ждут отрубание конечностей или ссылка в колонию. Тем не менее это не мешает в стране процветать тайным клубам и борделям, в которых развлекаются сами командоры и прочие привилегированные мужчины. Женщины признаны людьми низшего сорта — им запрещено читать, получать образование..."
В таком вот духе. Замените "мужчины" и "женщины" на подходящие по смыслу термины, и все сразу станет шире и страшнее, чем феминистская повестка. Впрочем, сериал для думающих, и такие советы тут излишни.
Свежая версия Lazy для просмотра.
Б
быдло.jazz
08.05.2026 09:07 · 👁 10.3K
"...маленькая ошибка в коде Android разрушила иллюзию приватности"
https://www.securitylab.ru/news/572456.php
Надо быть сказочным долбоебом, чтобы называть ошибкой то, что Google оставил себе и товарищам такой канал эксфильтрации. Очень удобный и продуманный канал.
Суть: Android 16 представил оптимизацию registerQuicConnectionClosePayload в ConnectivityManager. Любое приложение с разрешениями INTERNET + ACCESS_NETWORK_STATE регистрирует через этот API произвольный UDP-payload в system_server. При закрытии socket'а приложения, system_server сам отправляет зарегистрированный пакет данных наружу. Поскольку отправка идёт от system_server'а, а он вполне себе привилегированная сущность, все это не подпадает под Always-on VPN + Block connections without VPN - стандартные опции. Реальный публичный IP устройства утекает на сервер атакующего, минуя VPN.
Проверить на уязвимость можно так:
su -c 'dumpsys connectivity' | grep -iE 'quic|close_quic'
true - всратая оптимизация активна, устройство потенциально уязвимо.
Registered QUIC connection close information: 0 - счетчик зарегистрированных payload'ов в текущий момент времени, нулевое значение нифига не отменяет уязвимости, только показывает в реальном времени: никто не подсосался к system_server.
Почему Google не хочет это фиксить? Ну, во-первых, не для того встраивали, чтобы убирать. Это не оптимизация QUIC close, а "отправь от моего имени из system_server что я тебе скажу". Ни один безопасник в здравом уме такого не допустит. GrapheneOS пофиксили это отключением единственного флага, и если бы это был банальный косяк разрабов - ничего не мешает вырубить флаг в последующих сборках AOSP. Но Google заявил принципиальный Won't Fix.
А во-вторых QUIC (UDP) активно используется Chrome, YouTube, Gmail, Google Maps через Cronet (network library от Google) и вот это все. Вся инфраструктура Gapps'ов сидит на этом. Убрать данный API - ушатать все к хренам, потом все долго и дорого переделывать и, главное, потерять для себя и партнеров один из каналов network identity tracking, да еще и оплатить из своего кармана. Это не бизнес модель ad networks, частью которой являются гуглы, фэйсбуки и прочие продаваны всех и каждого.
А теперь, мои маленькие рутованные друзья, придвиньтесь поближе. Нерутованные идите к графенам, они вам героически пофиксят что-нибудь.
Утечка происходит только потому, что system_server физически отправляет UDP-packet наружу через сетевой интерфейс. Когда пофиг какой/любой процесс на Android отправляет данные в сеть, kernel (ядро) запоминает "от чьего имени" этот packet, записывает UID процесса-отправителя. Это как штамп на конверте: отправлено от UID 1000 (именно такой UID будет иметь system_server на любом Android, это костанта).
Дальше пакет идёт через netfilter, который в большинстве случаев - это iptables, следовательно REJECT на UID 1000 - это ваш kill switch, а не то что там Google для нубасов нарисовал.
Есть гипотетическая вероятность что Google встроит BPF-bypass для системных UID в будущем, но это будет вот прям архитектурный сдвиг, который не пройдет незамеченным Android-сообществом и тем более не перекочует в кастомы типа LOS, crDroid и тд. В общем, не бойтесь Root. Он, в отличие от Google, вам друг и помощник.
Б
быдло.jazz
01.05.2026 11:27 · 👁 8.9K
Полезно Утилитарно полезно, ну, или, просто удобно.
https://github.com/AKS-Labs/CircleToSearch
Open-source клон Google Circle to Search для любого Android 10+
Это работает на любом устройстве.
Это не привязано к эко-системе Google и не требует его сервисов.
Это не отправляет на чужой сервер весь экран (если не используете соответствующую кнопку), как это делает Google. Только то что вы поместили в "круг".
Еще есть автономное распознавание текста, работает на 100% локально на вашем устройстве, распознавание QR, несколько поисковиков (всратых, конечно) на выбор и тд.
Несколько вариантов запуска, но удобнее всего назначить ассистентом по умолчанию и повесить на кнопку питания.