貴哥的節慾手機資安與隱私策略

手機的資安與隱私比電腦要難保護很多 -- 因為不離身、 感測器多、 防護軟體少等等諸多因素。 本文列出幾個具體策略來提高手機的資安與隱私。 今天這篇主要是為了避免日常生活一般的廣告追蹤與惡意釣魚信件， 適用於一般人。 如果是要避免邪惡政府的監聽 -- 例如 2019 年之後的香港朋友們 -- 請參考幾年前寫的 保護智慧手機安全與隱私的軟體與建議 以及具有實戰經驗的中國網友所寫的 为啥朝廷总抓不到俺——十年反党活动的安全经验汇总。 本文僅適用於 android 手機。 至於蘋果產品用戶... 我完全幫不上忙... 只能推薦 62078 後門 這一篇， 尤其是第一段的諸多連結。

不要用指紋解鎖、臉孔解鎖、虹膜解鎖等等。 生物辨識是隱私之害、 國家機器的最愛。

[刷機] 我買手機， 從搜尋 「root friendly phone 2019」 開始。 買來之後第一件事就是刷機成 LineageOS。 除了比較安全之外， 也比較熟悉， 因為不同款的手機的 LineageOS 操作介面及預載的 apps 都差不多。 為什麼要刷機？ 刷機爬文起步。 當然， 刷機的工程較大、 門檻較高， 很難推薦每個人都自己刷； 對多數人而言， 比較實際的方式是趁著空機無資料， 花錢請信任的商家幫刷機。 如果嫌太麻煩，想省略這一部，就買比較信任的品牌。 我自己是買 google pixel。 但是！ 如果購買中國品牌的手機， 務必刷機。 (個人資訊外洩不自知，別在中國購買 Android 手機)

[對輸入法 apps 要特別警覺] 你的所有文字輸入都會經過輸入法 app， 這是惡意軟體最垂涎的竊聽/偷窺樞紐位置。 案例： oppo 與 htc 上預載的 spinmaze。

[改用 f-droid 市集] 我的手機上只有極少數的 apps 來自 google play， 例如健保快易通、 google sheet 或一些理財的 apps (人為財死啊～)。 其他絕大多數的 apps 都來自 f-droid 市集。 為什麼要用 f-droid 市集取代 google play ？ 如何使用 f-droid 市集？

[檢查並取消 app 的某些權限] 每次從 f-droid 以外的地方安裝一個新的 app， 都要 查看一下 甚至 封鎖 它所要求的某些權限。 特別是 「定位」 權限， 明明是很少 apps 需要的， 幹嘛開放讀取？ 試想： 若允許相機存取定位資訊， 只要有任何一張在家中拍攝 (任何事物， 例如杯子或貓咪) 的相片上網公開， 你家的位置不就曝光了嗎？ 因此我不僅拒絕每個 app 存取定位資訊， 連 GPS 平常也一直都關著， 偶需要用 osmand 找路時才臨時打開一下子。

[從 f-droid 安裝 blokada] 這個動作的 C/P 值最高 (簡單卻又強效)， 完成之後馬上從裸奔等級直接晉升到鎖子甲等級， 強力推薦給每一位 android 用戶。 (注意：google play 市集上的版本叫做blokada lite， 在 DNS 層次運作， 較粗糙、 用戶自己無法調整訂閱清單， 但也有一些差強人意的阻擋效果。) 最近我用 blokada 取代了 netguard 或 afwall+ ， 非常滿意， 強力推薦給大家。 三者的機制都是阻擋某些網路流量。 Netguard 與 afwall+ 讓你決定要阻擋手機這頭的哪些 apps 上網。 (例如手電筒或計算機幹嘛要上網？) Blokada 則比較類似 ublock origin， 它採用網友們所整理的清單來阻擋雲端那頭的某些網站， 更精準也更實用。 如同我在 adblock plus 那篇所說的， 就算你不太介意入侵性低的廣告也應該安裝， 因為它不只擋廣告， 還可以阻擋諸如釣魚或挖礦等等惡意程式碼的網站。 從 FilterLists 的 「相容軟體圖示」 也可以看得出來很多清單適用於 blokada/ublock origin/adblock plus/其他擋廣告軟體； 三者的設定方式也差不多。 不過！ 先前在瀏覽器上安裝了擋廣告的外掛之後， 偶爾會有某些網站的某些功能無法使用 (例如我經常遇到某些網站無法留言)。 如果未來在手機上遇到這樣的現象， 記得要先暫時關掉 blokada 來確認到底是誰的問題。 另外， 在較新版的 android 裡面， 每次開機都需要手動啟動 blokada， 因為它好像無法成功地自動啟動。 [2024/2] 最近我的 pixel 6 手機一直無法提供無線基地台服務； (顯示的訊息讓我誤以為是密碼打錯) 後來發現關掉 blokada 就 ok 了。 是 google 故意的嗎？

[安裝至少兩個瀏覽器， 一個關掉 javascript] 在手機上用瀏覽器逛陌生網站是很危險的事。 例如， 如果你的手機曾經莫名奇妙突然開始發燙， 有一種可能就是被某網站的 javascript 徵召去挖礦。 即使是一般認為正當的大網站， 可能也內嵌了 "session replay" js 程式碼。 手機上至少要安裝兩個瀏覽器， 其中一個關掉 js。 再進入 android 系統的「設定」=>「應用程式和通知」=>「預設應用程式」=> 把關掉js的那一個設為預設的瀏覽器。 例如我的 lightning 瀏覽器沒有關掉 js， 我只拿它登入 google (我用網頁版看 gmail， 不用 gmail app)、 只去學校、 我國政府、 google 旗下的 (不含 YouTube)、 及其他少數熟悉信任的網站。 其他絕大多數的網站 (包含 gmail 收到的網址， 也都用複製貼上的方式) 一律用 [關掉 js 的] jumpgo 瀏覽器來開啟。 (把 jumpgo 設為預設瀏覽器) 如果因為關掉 js 就無法閱讀， 那就先略過這個連結， 等回電腦上再看。 你不一定要跟我安裝相同的這兩個瀏覽器； 但強烈建議一定要是 open source 的。 (儘管現在裝了 blokada 之後， 「關閉 js」 這一條規則的重要性就比較沒有那麼高了， 我還是持續這麼做。)

[掃 QR code 或條碼的 app 不要自動連動任何 app， 包含瀏覽器] 有些掃 QR code 或條碼的 app 可以自動連動/轉給適當的 app。 這很方便； 但我不喜歡。 我喜歡像是 SecScanQR 這樣的app： 先讓我看到掃描出來的文字內容、 停頓思考一下 (例如 「是正常網址或是可疑網址？」) 再決定下一步是否要用 [預設、沒有js的瀏覽器] 開啟； 或是真的很放心， 那才手動複製網址、用有 js 的瀏覽器開啟

[有些 apps 千萬不要裝] 如前所述， 我幾乎只 (從 f-droid 市集) 安裝有原始碼的 apps。 如果你必須冒險安裝沒有原始碼的 apps， 那麼最最起碼一定要避開來自中國的沒有原始碼的 apps。 例如 惡意軟體拼多多、 偷兒童個資的抖音、 偷窺剪貼簿的抖音、 Camera360、美圖秀秀、 小影、 WPS Office、 ... 都會把隱私資料傳到中國，或是進行刪檔、提權等等侵犯用戶權益的劣行。 通訊類軟體如微信、 QQ 就不必多說了 -- 中國有沒有言論管制？ 如果不監控你的通訊， 如何管制？ 根據中國的 「网络安全法」( 中共官方、 百度) 第28條， 「网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。」 中國的 app 幫中共政府蒐集用戶資料，並非只是一個可能性而已， 根本就是法律所要求的必備 "功能" 啊！ 許多來自中國的 apps 甚至可能已經把身為臺灣公民的你納入 社會信用體系。 (覺得社會信用賞罰分明很棒嗎？你一定沒看過黑鏡系列的 急轉直下) 西方世界的軟體裡面， FB 旗下公司的 apps 也都不要安裝， 包含 FB、 Messenger、 WhatsApp、 Instagram。 臉書的不良記錄太多了： 性工作者的臉書夢魘、 劍橋分析、 ... 順便一提： 一定從電腦上要關掉臉書的 「站外動態」 並且 永遠不要用 FB 帳號登入其他apps 或網站！ 再來， 不要安裝免費的 vpn。 即使是付費的 vpn， 也要先認真研究。 全球百大 VNP 公司中， 三成 VPN 屬中資。 [關鍵評論、 inside]

[避免使用 不懷好意的 app 內嵌瀏覽器 ]

[不時重設廣告 ID] 偶爾想到， 就 重設廣告 ID， 以便減少 Google 廣告追蹤。

廣告產業緊密監控手機用戶一舉一動的現象已成為嚴重的議題 [ Tufekci 教授、 Zuboff 教授、 EFF 報告、 "Out of control" 系列報告、 ...] 更不用說中共及五眼聯盟國家政府的監控， 還有各式各樣的惡意軟體。 雖然我無法做到真正的 「手機禁慾」 [英文原文、 36氪簡中、 內容農場正體、 "我也照做，太棒了！"] 但至少以上的 「節慾設定」 讓我的手機變得比較安全、 省流量、 省電。 我認為這些知識比程式設計或 AI 更應該成為全民必修通識。