2015年9月28日 星期一

保護隱私的 f-droid 及 guardian project 自由軟體市集

f-droid 市集管理員 我在 「西藏送給 Android 用戶的禮物」 「保護智慧手機安全與隱私的軟體與建議」 兩文當中解釋為何我的手機很少從 google play 下載 apps, 幾乎都只從 f-droid 下載 apps。 參與社會運動者特別應該重視這個建議。 請用手機造訪 f-droid 官網 下載並安裝 f-droid 市集 (repository) 管理 app; 本文解釋 "repository" 的概念。

在自由軟體的世界, 我們信任的不是政府, 也不是那些告訴你 「棄權就是安全」/ 「不要 root 比較安全?」 的大公司, 而是看得見原始碼的軟體, 以及長期幫我們把原始碼編譯成電腦/手機軟體的人。 我們盡量固定從可靠的幾個 repositories 下載軟體, 盡量不從陌生網站及來源下載軟體。 以手機來說, 就是盡量只透過 f-droid 下載軟體。 至於哪些 repositories 是可信任的? 沒有人幫你決定; 你有權利也有義務自己判斷

啟動 Guardian Project 市集 打開 f-droid 之後, 在主選單底下有一個 「repositories」 列出你所信任的市集, 如上圖。 預設僅啟用 f-droid 一個來源。 我大力推薦也打開 Guardian Project 這個來源。 Guardian Project (官網 / 維基百科 - 有人可以幫開中文頁面嗎? 想幫忙翻譯) 的宗旨在於開發並且推廣保護民眾隱私的手機自由軟體, 例如安全的聊天程式 ChatSecure。 Guardian Project 跟 f-droid 的創辦人是同一人 (Nathan Freitas)。 至於 f-droid archive 跟 guardian-project archive 存放的則是過時、 不推薦的軟體。 還有哪些來源可添加? 詳見 這一頁。 在 f-droid 的這個頁面上按下 「+」 號、 填寫新的 repository 網址, 意思就跟你在 linux 底下把新的來源檔放入 /etc/apt/sources.list.d/ (debian 或 ubunutu 系) 或放入 /etc/yum.repos.d/ (fedora 系) 一樣, 表示你從此信任這個新的來源/市集/repository 裡面的應用軟體。

啟動 Guardian Project 市集 f-droid 會把這些 repositories 所提供的軟體簡介放一份清單在你的手機裡。 這個清單需要不時更新 (從每個 repository 的官網下載新的清單)。 在 f-droid 右上角搜尋符號旁邊類似 「重新整理」 的按鈕就是在做這件事。 特別是當你發現有些 app 或某些版本看得見卻無法安裝的時候, 很可能就是因為你手機上的清單過時了, 需要更新。 初次啟用 guardian project 時, 它要你 「update」 也是這個意思。 這跟 debian 的 apt-get update 或 fedora 的 yum update 意思一樣。 另外, 你也可以從主選單的 preference (偏好設定) 進去設定 automatic update interval (多久自動更新軟體清單一次?)。

f-droid 的主選單裡還有一個 「bluetooth FDroid.apk」 的功能, 方便那些 「f-droid 網站被國家或公司封鎖」 的人民可以直接分享這個市集管理軟體。 事實上它還可以讓兩位 f-droid 用戶把 「對方所勾選願意分享的 apps」 視為市集、 透過 wifi 或 NFC 從對方手機下載 apk。

如果隔了一段時間沒有使用 f-droid, 安裝套件時可能會失敗。 這有可能是跟 debian 的 apt-get install ... 失敗一樣, 有某些套件太舊、 被移除了, 需要重新下載軟體簡介清單, 取得較新版的軟體檔案名稱。

有些 apps 在 f-droid 跟 google play 都可以下載, 但是在 f-droid 的版本限制比較少, 例如 離線地圖 osmand

9 則留言:

  1. 請問從手機的f-doid商店下載的apk (有設定保留apk)
    是放在哪個資料夾?!

    ps
    前兩則忘記設定 ”通知我”
    故重po 哈哈

    回覆刪除
    回覆
    1. sor懺悔自己敘述能力差

      我是說我安卓用商店(f-doid)app
      載的apk安裝檔 載好了都是放在哪個資料夾呢~~?
      ps. 有先在商店設定 //應用程式快取-保留已下載的apk檔案在SD上//

      但我找不到下載好的apk包 感覺很神祕...

      刪除
  2. 裝完之後,發現根本沒有人可以聯絡,所以…
    要不要開一個板,上面有xmpp address
    我先開個頭好了,我的xmpp address 是chienfulin@xmpp.zone

    回覆刪除
  3. 改版中新 F-Droid 有中文版塊討論區囉,

    還請中文用戶多上去回饋意見與提供建議~~

    https://forum.f-droid.org/t/f-droid/787

    (google blogger 硬是暗放了許多追踪器,非要暫時關閉 privacy badger,ublock才能留言 ="=凸 )

    回覆刪除
  4. 我安裝f-droid 後,更新軟件清單,出現以下error:

    f-froid: error getting f-droid index file -> no mirrors available
    guardian project error getting f-droid index file -> no mirror available

    請問如何解決呢? 謝謝

    回覆刪除
    回覆
    1. 你看一下 https://www.reddit.com/r/fdroid/comments/gx63pa/error_getting_fdroid_index_file_no_mirrors_aviable/
      進到 「設定」「軟體庫」, 關掉 f-droid 再打開, 有解決嗎?
      還有我忘記在哪裡讀到 guardian 的話只剩 guardian project archive 可用,
      所以現在我的設定是 f-droid 與 guardian project archive 打開, 另兩個關閉。

      刪除
  5. 一位使用 protonmail 的網友寄給我的豐富資訊,目前還沒有時間消化,已徵得作者同意, 先貼出來給大家參考。
    ====================================================================================
    推薦一些f-droid上的APP

    TrackerControl
    能分類列出各APP使用的追蹤器、裝置指紋、分析服務供應商及其網域名稱
    可與Blokada互補使用,手動將隱私疑慮的網域加入封鎖清單
    Blokada內建的List多由外國志願者維護,缺少台灣本土追蹤器需自行新增

    Insular,用手機work profile功能建立一個子空間
    將比較侵犯隱私又不得已要用的APP安裝在其中,減少能取得的數據
    可安裝(人為財死啊~)的理財、網銀、網購等APP
    平時也可凍結讓指定APP無法在背景執行,要用時才解凍運作

    Aurora Store
    免登入下載Google Play內的APP
    不用去第三方網站下載apk
    內建exodus-privacy列出APP用了哪些trackers
    https://reports.exodus-privacy.eu.org/en/

    NewPipe
    Youtube第三方客戶端,能免登入訂閱/建立playlist
    下載影片.mp4也很方便,或是存成.m4a音訊檔聽歌,不用到電腦youtube-dl了

    最後關於刷機的方向,建議有整合microg的ROM
    因為很多APP使用時還是需要google play服務才能運作
    microg能提供簡易需求如定位、通知推送等
    替代google play服務,大幅減少Google能獲取的資料量
    https://calyxos.org/docs/guide/microg/

    更進階像是GrapheneOS和CalyxOS
    但只支援Google Pixel系列手機
    能relock bootloader
    GrapheneOS更進階,使用IOMMU限制記憶體存取,減少來自如baseband等driver攻擊面
    https://grapheneos.org/faq#baseband-isolation

    另外許多第三方ROM有userdebug builds的安全性問題,參見
    https://madaidans-insecurities.github.io/android.html

    我認為慢慢改用open source替代品方向是對的,能減輕最後刷de-google的不適
    刷機前的原廠ROM都內建有google play service等背景服務以及各種預裝且無法移除APP
    不斷在背景掃描wifi改善其NLP(Network Location Provider)資料庫,也包含廣告ID的問題

    分享幾個國外Youtuber討論關於去Google、隱私工具使用、技術科普的頻道
    Rob Braxman Tech
    The Hated One
    Techlore
    可透過Invidious front-end存取Youtube
    https://github.com/iv-org/invidious
    這是其中一個實例,也能自己架設
    https://invidious.snopyta.org/

    遠距監考的代價:隱私、數位機會均等、電腦自主權
    https://ckhung0.blogspot.com/2021/09/proctoring.html

    提供一個治標不治本的救急方法
    使用SATA切換器(又叫做硬碟切換器,硬碟電源開關,一個約400元)
    每次開機時只有特定硬碟被通電,其餘斷電(SATA資料線仍連接)
    確保裝有監考軟體的硬碟,開機時沒有其他資料,專門用來考試
    平時日用的系統資訊(瀏覽記錄、已安裝)不會被存取
    也可同一台桌機切換開機Windows/Linux

    另外近期線上遊戲為了防止作弊,不斷要求更高權限
    甚至核心驅動程式權限,該情況與rootkit類似讓人不安
    以及知名線上遊戲因玩家眾多成為攻擊目標的問題
    但身為學生很少不玩遊戲的,也可以用這個方式來做隔離
    參考事件
    https://www.ithome.com.tw/news/137107
    https://lic.tumt.edu.tw/files/14-1025-9540,r14-1.php?Lang=zh-tw

    不過建議不要同時供電太多HDD可能不穩定,SSD可多幾顆較沒問題
    當然也有其他更底層的威脅如韌體層、GPU顯卡病毒等,不過至少作業系統以上是分開的

    回覆刪除

因為垃圾留言太多,現在改為審核後才發佈,請耐心等候一兩天。