Прикольное приложение.

Представляет собой движок голосового ввода speech-to-text с несколькими моделями. Движок неплохо обучен, дружит (не всегда) со знаками препинания и поддерживает мультиязычный ввод. Работает с любой клавой, имеющей функцию голосового ввода, я тестировал с OpenBoard - мне понравилось. Доступ в сеть нужен только для загрузки языковых пакетов, после этого сеть можно отрубить любым файерволом.

Код проекта:
https://gitlab.futo.org/alex/voiceinput

Репозиторий F-Droid
https://app.futo.org/fdroid/repo?fingerprint=39D47869D29CBFCE4691D9F7E6946A7B6D7E6FF4883497E6E675744ECDFA6D6D

Кстати, этот пост написан с помощью этой проги. Правда пришлось немного подредактировать.

Расскажу про тулзу, но сначала небольшое отступление.

На курсе я рассказывал (и показывал) как понимание работы того что вы носите в кармане и минимальные навыки работы с командной строкой в терминале могут заменить пару десятков подобных приложений. Но, исходя из опыта, большинство нихрена не может ни в чем разобраться, если у этого нет понятного и наглядного UI.

Данный софт - некий аналог известного MAT, со своими плюсами и минусами. Предназначен для работы с компонентами приложений и может работать в режиме Root или через Shizuku. Контроллер компонентов в варианте Root, в свою очередь, доступен в двух режимах: Intent Firewall или Package Manager.

Функционал софта позволяет отключать, например, рекламные активити, встроенные в приложение, или определенные компоненты, представляющие собой трекеры отслеживания и сбора аналитики. Аналогично с поставщиками, службами и тд.

На скринах, показано сколько хрени можно отключить, чтобы минимизировать слив ваших данных. Тут вам и Yandex Metrica, и Google, и Huawei, и еще много всего. Ну, обычное дело, в общем.

Занимательное видео. Не помню где зацепил, но не суть. Суть в том, что "заряженный" плохими дядями iPhone не маячит хвалеными индикаторами конфиденциальности, которые должны оповещать об использовании камеры и микрофона, полностью эмулирует выключенное состояние, вплоть до имитации официальных анимаций и при всем при этом продолжает транслировать звук и изображение с камеры. В то время когда пользователь находится в полной уверенности что его устройство выключено и спит спокойным сном.

Справедливости ради надо заметить что трансляция видео в таком кейсе никакой особенной полезной нагрузки не несет, ибо выключенный или "выключенный", не важно, девайс обычно лежит на тумбочке мордой в небесный купол, и транслировать это - лишний жор батареи, который в конечном итоге возбудит пользователя. А вот трансляция звука окружения с "выключенного" устройства - это вполне себе да.

Здравствуйте, меня зовут Джаз и я старый пират и негодяй. Отвечу Евгению и всем кто пишет подобное мне в личку.

Известно ли мне? Несомненно известно. Так же как известно про сливы всех кто занят в этой или близких темах. Более того, я знаю кто использует полученную у меня на курсе информацию в своих проектах или для создания контента, знаю кто из постоянных участников курса приходит от складчины и тд. Да я даже знаю, что моя сборка двухлетней давности до сих пор перепродается где-то в Прибалтике.

Я уже говорил что ничего не имею против складчин, ибо у всех разная финансовая ситуация и степень трепетной любви к своему карману.
Огромное количество участников курса сначала ознакомились со сливом, а потом пришли на курс за конкретными навыками, потому что навыки - это не текст и картинки.

Могу добавить: если эта информация приносит вам пользу - пользуйтесь. Если это дает вам возможность получить новые знания и скилы - получайте. Я ценю время, которое трачу на эту тему и работаю на курсе с теми кто это понимает и знает, что ему нужно.

"Для тех, кто использует
Simple Mobile Tools/Apps — вся линейка приложений приобретена компанией ZipoApps, что подтвердил разработчик Тибор Капута".

github.com/SimpleMobileTools/General-Discussion/issues/241.

Simple Mobile Tools — это целостный набор основных приложений с открытым исходным кодом для Android, в которых особое внимание уделяется конфиденциальности. Я про них не раз рассказывал, например тут https://t.iss.one/tvoijazz/1163 и сам пользую их в различных кейсах.

ZippoApps - обычная говнокомпания, которая монетизируется как за счет демонстрации рекламы в приложениях, так и за счет продажи pro-версий этих приложений, в которых реклама отключена. Как бы и хрен с ними, вырезать рекламу и трекеры - дело не хитрое. Просто очередной пример того, как хороший и нужный опенсорс умирает без финансирования, и как "финансирование" хочет отбить свои бабки с процентами. Разраб собирал донаты и давал за них небольшие плюшки, типа возможности смены цвета интерфейса в приложении, чтобы хоть как-то окупить затраченные человеко-часы, но, видимо, ему сделали предложение рядом с которым донатные сборы - привычная модель монетизации большинства подобных проектов - засмущались и побледнели.

Релизы, которые выложены на F-Droid, скорее всего прекратят обновляться. Возможно, в будущем код будет форкнут, ибо FOSS.

Огорченное сообщество накидало альтернатив, если кому интересно www.reddit.com/r/SimpleMobileTools/comments/18929pq/simplemobiletools_was_sold_alternatives.

Я скажу не то, что многие ожидают, ибо а нахрена? Зачем "убеждать"? Зачем рассказывать о конкретной модели угроз тому, кого эта модель угроз никак не касается? Какую угрозу для вашего соседа, который работает на заводе и заказывает по субботам пиццу представляет слив данных доставки Яндексом? Не нужно тут ничего подтягивать к носу.

Итак, история первая, реальная. Ушлые ребята разводят бабку по телефону. Ведут ее с трубкой у уха от дома до банкомата, где она должна перевести деньги на "безопасный счет". В дело вмешивается местный охранник чего-то там охраняющий, пытается бабку образумить, говорит ей что ее, бабку, тупо разводят и вот это вот все. Что делает бабка? Она говорит охраннику чтобы он отсекся от нее, что она разговаривает со своим внуком и вообще это не его, охранника, дело. В итоге бабку удается убедить, но уже после того как она перевела довольно значительные для всех бабок бабки. Все эти бабки телевизор смотрят, о подобных случаях знают и, тем не менее, случаев таких меньше че-то не становится. Хрен ли этой бабке до слива базы с ее номером телефона? От слива она что ли должна защищаться? Она должна под свой берет вбить себе что не нужно брать трубку, когда звонят с чужого номера. Потому что это ее модель угроз. Потому что она бабка, и никто ей не позвонит чтобы она помогла мировой кризис разрешить. И Путин ей не позвонит, чтобы про пенсию поговорить.

История вторая, абстрактно-размытая. Многие мои знакомые по "гражданской" жизни используют WhatsApp. Я не использую. А как с тобой связаться, спрашивают? Пишите в жабу, если что-то серьезное, в крайнем случае в Телегу, если хотите мне фото своего кота скинуть. А у нас этого нет и что это вообще? Что я на это отвечаю? Если вам кровь из носа нужно со мной связаться - заводите жабу и Телегу. А нет - значит не так уж и нужно, и общайтесь там где-нибудь между собой в своих вотсапах на здоровье. Я как-нибудь потерплю без вашего кота.

Мое личное мнение - убеждать кого-то в чем бы то ни было дело глупое и бесполезное. Все эти споры на тему "мне нечего скрывать" и "за нами следят" давно потеряли всякий смысл и перекочевали в раздел "мне так удобно". Удобно кому-то чем-то там пользоваться? Да на здоровье. Но без меня. Убеждены что деньги нужно перевести на "безопасный счет"? Да вперед, переводите, это же ваши деньги, не мои. Проебетесь - начнете репу чесать, не проебетесь - это не ваша модель угроз. А я не охранник у банкомата.

С родственниками сложнее, не чужая бабка же. Но и тут в принципе все то же самое. Хочешь бабуся с внуком про пенсию потрындеть? Играй по правилам внука или трынди с соседкой. Повозмущается старушка, но или примет как должное, или пусть, условно, к банкомату идет. В следующий раз будет слушать, возможно, что ей говорят. Жестко, но иначе никак. Не объясните вы своей бабуле почему гугловские пуши - это зло в глобальном масштабе, если конкретно ее они никак не затрагивают, и вообще это не пенсия и пощупать это нельзя. Да и не нужно это, потому что это реально не ее модель угроз. А соскучится старушка по внуку - сама попросит "пракансультиравать". Для меня реальный кейс - все мои близкие между собой общаются как угодно. Со мной - на моих условиях. Принимают условия - сам им установлю все что нужно, настрою, "пракансультираваю" и помогу разобраться.

P.S. про приложения. Хорошие приложения, которые я не использую. Invizible даже разбирали как-то на курсах, очень крутой и функциональный софт.

Анонс предстоящего курса!

Старт: 11 января

Что в программе:

- работа с кастомными прошивками (выбор прошивки под свои задачи).

- получение systemless-Root изменение загрузочного образа без внесения изменений в раздел
/system, нюансы работы с альтернативными сборками Magisk с расширенным функционалом для более эффективного скрытия Root в системе

- разбираем KernelSU в качестве альтернативы Magisk, сравниваем плюсы и минусы

- установим и настроим альтернативный опенсорсный вариант доступа к приложениям из Play Store без использования аккаунта Google взамен подуставшего Aurora Store, проблема с генерацией токенов входа отсутствует

- подмена цифрового отпечатка смартфона и необходимых идентификаторов (разберем, что подменять бесполезно, а что необходимо)

- скрытие отпечатков, как альтернатива их подмене

- максимальная защита ваших данных и трафика от контроля со стороны провайдера и оператора

- защита от перехвата мобильного сигнала ложными базовыми станциями (мониторинг БС)

- правильная настройка Tor и VPN на смартфоне

- защита DNS-запросов, DNSCrypt, DoH и тд.

- разберем варианты и особенности шифрования данных в памяти смартфона

- подмена геолокации для приложений, основанная на координатах gps в привязке к базовым станциям операторов мобильных сетей (даже если sim-карта в устройстве отсутствует)

- подмена данных оператора связи для приложений (код и страна сетевого оператора, страна провайдера sim), выбор способа подмены в зависимости от целевого SDK приложения, скрытие данных оператора и sim-карты от приложений и сервисов

- защита камеры и микрофона от доступа в обход пользователя на современных версиях Android

- настройка скрытого зашифрованного "сейфа", с возможностью делать фото прямо внутри защищенного пространства (файлы тут же шифруются). Здесь же можно хранить текстовые заметки и любые документы, создание и скрытие зашифрованных томов с критически важными данными

- реализация утилиты secure delete, для безвозвратного удаления данных на смартфоне (для участников отдельного урока по антикриминалистике - автоматическое удаление с перезаписью полными циклами, а не ручное как в приложениях типа iShredder)

- современные методы отключения трекеров в приложениях, как системных так и установленных пользователем. Таких как Google Firebase и проч. [рассмотрим несколько вариантов]

- генератор "мусорного трафика", с акцентом на случаи когда он может понадобиться, для сокрытия реального обмена данными с сетевыми ресурсами

- отключение возможной утечки данных через snapshots (миниатюры скриншотов "недавних" приложений, которые делает система)

- настройка изолированного рабочего профиля на смартфоне (используется одновременно с основным без необходимости переключения) с отдельным списком установленных приложений, выходным IP и своими ключами шифрования

- отключение утечки трафика при загрузке системы

- защита от zero-click атак при открытии ссылок в браузерах и приложениях

- шифрование переписки и обмена файлами по любым каналам

- защита от создания снимков экрана в любом приложении (нюансы работы на Android 12+)

- выборочное скрытие установленных приложений друг от друга. Мастхэв для конфиденциальности данных

- скрытие любых приложений в системе. Разберем вариант скрытия в отдельном Privacy Space. Приложения скрываются от обнаружения как при проверке устройства, так и друг от друга

- скрываем выбранные файлы и директории на общем накопителе

- защита от утечки send IMSI to SUPL (отправка идентификатора Sim-карты через A-GPS)

- маршрутизация трафика (весь/выбранные приложения) смартфона через сеть Tor по схеме Tor-Over-VPN.

- работа с компонентами приложений: способы управления доступом в сеть без использования файервола, раздельное управление разрешениями на геолокацию, буфер обмена и тд

- внесение изменений в манифест приложения, работа с целевым SDK приложения, работа с разрешениями в манифесте, создание собственной подписи

- обходим запреты системы на доступ к Сервису специальных возможностей, управлению уведомлениями и тд, если ваша прошивка не предусматривает этого по умолчанию

- защита любого выбранного приложения от открытия посторонним, работаем с activity приложений вместо сторонних блокировщиков

- подмена изображения (фото/видео) для системной камеры и камер, встроенных в приложения

- обход ограничений Android на запись в основные системные разделы без перевода в R/W, изменение прав на доступ к исполняемым бинарным файлам в разделах, смонтированных Read Only, альтернативный способ для KSU и Magisk (new)

- отключение идентификатора Widevine Device ID

- обход ограничения Scoped Storage для полноценного управления всеми файлами на устройстве, новый способ

- разбираем способ передачи информации с использованием стеганографии без ограничений при работе с PGP-ключами

- подробный разбор защиты от ARP-атаки с простейшим примером такой атаки

- настраиваем альтернативные WebView (Calyx, Graphene, Divest) с возможностью выбора и переключения

- делаем свой модуль для подмены/скрытия отпечатков системы

- настраиваем прокси -"матрёшку":
Vless Reality, SS, VMESS, TUIC, Hysteria

Длительность основного курса: 6 дней. Стоимость: 25к.

◼️Требования для участия в курсе: разблокированный загрузчик + ПК с выходом в сеть. Крайне рекомендуется наличие флэшки и USB OTG-адаптера под ваш девайс.

Для самых маленьких - словарик нуба.

Запись/вопросы: @JazzSupport

Дополнительные уроки:

▪️ Защита от криминалистической экспертизы и несанкционированного доступа к данным на смартфоне. Экстренное автоматизированное и ручное удаление данных и ключей шифрования. Основные моменты:

- автоматизированное удаление выбранных данных и приложений при попытке перебора пароля блокировки

- автоматизированное скрытие выбранных приложений после разблокировки смартфона по индивидуальному шаблону

- ручное удаление пользовательских данных и ключей шифрования "в одно касание" без разблокировки девайса

- автоматизированный запуск удаления выбранных файлов с последующей перезаписью свободного пространства на накопителе (возможность восстановления исключается) при подключении к ПК или комплексам по извлечению данных

- поговорим о методике взлома смартфона при помощи комплекса типа UFED в контексте несанкционированного запуска отладки в обход блокировки экрана для последующего снятия данных и защите от этого

- очистка выбранных разделов данных, данных приложений и зашифрованных томов по расписанию или после разблокировки устройства посторонним по установленному таймеру с возможностью отмены удаления

- проверка контрольных сумм критически важных разделов устройства для мониторинга внесения несанкционированных изменений после физического изъятия

- Dead Switch, который просили. Если устройство не разблокировалось владельцем в течение заданного времени, происходит удаление всех/выбранных данных

- управление функциями безопасности с помощью жестов.

Пример 1: тапнули только вам известным способом по экрану блокировки - открывается реальный рабочий стол с нужными приложениями. Не тапнули - откроется фейковый "бытовой", все критически важные приложения и данные останутся скрыты в системе, доступ к настройкам устройства заблокирован.
Пример 2: нажали на определенную область на экране - удалились все/выбранные данные. На управление жестами возможна привязка любых действий и запуск любых скриптов и команд.

- расскажу об еще одном способе изъятия данных с устройства с разблокированным загрузчиком, с вариантом защиты от него (нюансы расшифровки userdata через режим восстановления)

- защита доступа к плиткам быстрых настроек и списку активных приложений

Внимание!!! На уроке присутствуют важные обновления и дополнения, не озвученные в анонсе, значительно расширяющие возможности защиты данных!

Продолжительность 2 дня.
Стоимость участия 12к.

▪️ Настройка виртуальной машины контейнерного типа.

- запуск VM на Android 12+ (Одновременно используем до 8-ми контейнеров)

- разберем варианты VM, стоит ли устанавливать более высокие версии осей и тд.

- изменение всех необходимых идентификаторов и цифровых отпечатков VM

- полная зачистка VM по нажатию одной кнопки (для участников урока по защите от криминалистической экспертизы и извлечения данных)

- возможность создания и использования образов системы с различными настройками (количество сохраненных образов ограничивается только наличием свободной памяти на носителе)

Бонус на уроке по VM:

- запуск клонов необходимых приложений внутри VM. Для каждого дубликата возможно изменение таких идентификаторов как брэнд, модель девайса, IMEI, IMSI, ICCID (серийный номер SIM), Android ID, MAC, SSID сети.

Фактически на выходе получаем несколько разных смартфонов в одном. Область применения достаточно обширная. От сохранения анонимности и конфиденциальности при использовании любых приложений и действий в них до работы с несколькими аккаунтами одновременно.

VM настраивается на смартфоне и не имеет никакого отношения к подобным решениям для ПК.

Продолжительность 1 день.
Стоимость участия 7к.

Внимание!!! Новый дополнительный урок на курсе!

Устанавливаем и используем вторую систему на устройстве.

- данный метод не имеет никакого отношения к А/В-разметке устройства, поэтому метод, который разберем, можно применять как на устройствах А-only (однослотные смартфоны, например Xiaomi), так и на устройствах с двумя слотами А/В (OnePlus, Google Pixel и тд.)

- вторая система устанавливается параллельно с основной, имеет свой раздел пользовательских данных, ключи шифрования и тд.

- при использовании дублирования, дополнительная система не имеет каких-либо ограничений по функционалу

- установка второй системы с Gapps (сервисы Google), если основная система DeGoogled, то есть не имеет установленных сервисов Google. Метод имеет ограничения по функционалу системы.

- к дополнительной системе применимы любые настройки и опции из основного курса

- настраиваем защиту от перезагрузки из дополнительной системы в основную с возможностью отмены такого запрета

- настраиваем удаление дополнительной системы "по касанию" или в случае попытки несанкционированного доступа к устройству

Две системы - два смартфона: один белый, второй рабочий. Дополнительная система "живет" столько, сколько необходимо владельцу, устанавливается и удаляется без необходимости дополнительной прошивки устройства и тд.

Внимание! Совместимость устройства для данного урока уточняйте у саппорта!

Продолжительность 1 день.
Стоимость участия 7к.

Внимание!!! Курс и дополнительные уроки посвящены защите данных, финансов и конфиденциальности пользователя. Вопросы прохождения антифрод систем МЕНЯ НЕ ИНТЕРЕСУЮТ!!! Но на технические вопросы по этой теме отвечу в рамках своей компетенции, программы курса и дополнительных уроков.

~ Доп.уроки доступны для приобретения только ученикам прошедшим основной курс.

Запись/вопросы @JazzSupport