Twój smartfon miał być twoim królestwem. Krainą możliwości, w której twoje słowo jest rozkazem. Chcesz uwiecznić wspomnienia aparatem albo sprawdzić drogę? Wystarczy jeden gest ręki – jak machnięcie królewskim berłem.

Prawdziwi władcy mają wgląd w to, jak działa ich królestwo. Tak też było – system Android stworzony przez Google’a przebił się dzięki swojej otwartości. Przyciągał majsterkujące osoby i wolne duchy nielubiące korporacyjnego sztywniactwa (reprezentowanego przez Microsoft).

…Ale lata mijały, a Android się zamykał „dla bezpieczeństwa”. Niekiedy było to tylko pretekstem do utrwalania monopolu Google’a na tańszych smartfonach.

Na powierzchni nie zmieniło się tak wiele… Ale jeśli spróbujesz ruszyć pewną aplikację zwaną Usługami Google Play – to zaczną piętrzyć się problemy. Bo one, wbrew nazwie, nie usługują. Są uzurpatorem rządzącym twoim smartfonem.

Uzurpator – osoba, która niesłusznie uznaje, że ma prawo do jakiegoś stanowiska, tytułu, godności, funkcji

Źródło: słownik języka polskiego PAN

W tym wpisie będę miał (nie-)przyjemność przybliżyć Usługi, wrośnięte w trzewia smartfona jak złośliwy guz. Omówię też różne sposoby, w jakie można z nimi walczyć o władzę.

Będzie raczej powierzchownie, ale przystępnie, popularyzatorsko. Dla urozmaicenia sięgnę po porównania królewsko-zamkowe.
Zapraszam!

Kadr z anime One Piece pokazujący ciemną postać z wysoką koroną siedzącą na tronie. Na górną część tronu nałożono logo Androida, a na postać logo Usług Google Play.

Źródło: anime One Piece, logo Androida i Usług Google Play. Przeróbki moje.

Krótsza wersja

Wpis jest długi, a zdolność do skupiania uwagi coraz rzadsza :wink:
Jeśli ktoś woli informacje w pigułce, bez opisów i analogii, to zapraszam do wersji skróconej. Są tam same schematy pokazujące etapy walki o Androida (plus rozwijane, zwięzłe opisy).

Spis treści

Usługi Google Play

Na wielu smartfonach, niezależnie od producenta, różne aplikacje od korporacji Google (skazanego monopolisty) są zainstalowane domyślnie i straszą nas od pierwszego uruchomienia. Jedną z nich są wspomniane Usługi Google Play.

Usługi nie istnieją w próżni, a do zrozumienia ich roli może się przydać trochę kontekstu. Dlatego mam tu schemat pokazujący sytuację na przeciętnym smartfonie z Androidem:

Trzy warstwy systemu Android w trybie domyślnym, przy włączonych Usługach Google Play. Najniższa warstwa, zawierająca Usługi, oznaczona jako niedostępna.

Źródła elementów użytych na schematach pod koniec wpisu.

Warstwy schematu, podpisane po prawej, odpowiadają warstwom typowego Androida. Są tu dwie przykładowe aplikacje – Firefox oraz Sklep Google Play. W dolnej części schematu są z kolei nasze Usługi – komunikujące się zarówno z apką Sklep, jak i korporacją Google.

Usługi Google Play to coś innego niż Sklep Google Play

Wiele osób myli te dwie rzeczy, więc pozwolę sobie wypunktować różnice:

  • Sklep Google Play to nazwa bazy aplikacji kontrolowanej przez Google’a.

    Jest dostępna również w internecie pod adresem play.google.com.

  • Apka o tej samej nazwie odpowiada za pobieranie aplikacji z tej bazy.
    (Mówię tu o nazwie publicznej; wewnętrzna to com.android.vending).

    Warto też wiedzieć, że za instalację odpowiada już sam Android i można ją wykonać na własną rękę, bez udziału Sklepu. Mimo że Google próbuje to obrzydzać.

  • Zarówno baza, jak i apka mają tę samą czterokolorową ikonę, przypominającą grot strzałki o zaokrąglonych wierzchołkach.
  • Apka jest przeznaczona dla użytkowników – ma swój interfejs, da się ją włączyć przez opcje lub ikonę na ekranie głównym itd.

Usługi są natomiast przeznaczone dla innych aplikacji, a nie użytkowników. To zbiór funkcji, z których inne apki (w tym Sklep) mogą korzystać. Mają ikonę pojedynczego czterokolorowego puzzla, zaś ich nazwa wewnętrzna to com.google.android.gms.

Można wprawdzie kontrolować niektóre ich zachowania przez ustawienia smartfona (zakładka Google), ale to jedyna część widoczna dla użytkowników. Same nie zapewniają własnego interfejsu.

Ciemne strony Usług

Usługi zapewniają udogodnienia, takie jak możliwość osadzania Map Google’a w innych aplikacjach. Ale też rzeczy patologiczne, jak unikalny identyfikator reklamowy AAID. Elementy śledzące, dodane przez firmy reklamowe do apek, mogą go sobie sprawdzać i używać do rozpoznawania użytkowników.

Takie identyfikatory, w połączeniu z danymi z GPS-a, są masowo przetwarzane przez brokerów i rok temu im wyciekły, ujawniając miliony ludzkich lokalizacji. Dlatego uważam, że absolutnie każdy powinien wyłączyć ID reklamowe (porady pod linkiem, to bardzo proste).

A to zaledwie ta najbardziej oczywista rzecz. Mając wgląd w fundamenty systemu – i nie dając prawie żadnego wglądu w siebie – Usługi mogą naruszać prywatność na znacznie więcej sposobów.

Inny przykład nadużyć? Opcja skanowania nazw oraz innych danych hotspotów wokół nas. W ten sposób Google może ustalić naszą lokalizację nawet przy wyłączonym GPS-ie… I Wi‑Fi. Bo to skanowanie to odrębna funkcja, ukryta w opcjach.

Pominę już fakt, że nasz smartfon robi dla korpo darmową robotę i utrwala ich monopol, aktualizując im bazy hotspotów, którymi nie dzielą się publicznie.

Analogia zamkowa

Na smartfonie z Androidem jesteśmy jak władcy teoretyczni. Siedzimy na tronie, mamy komnaty, cośtam możemy rozkazywać…

Prawdziwe życie toczy się jednak wokół komnat uzurpatora. Przychodzą do niego dziwne, zakapturzone postaci i wsuwają listy pod jego drzwi. W zamian odbierają inne, zaplombowane i zapewne pełne informacji o królestwie.

Warto zapamiętać, że nie widzą uzurpatora na oczy, tylko komunikują się pod drzwiami. Ma to spore znaczenie na późniejszych etapach.

Niejedna osoba toleruje ten stan rzeczy i brak realnej władzy, bo uzurpator dzieli się czasem błyskotkami. Wręcza na przykład misternie wykonane mapy, streszcza wiadomości w zrozumiałej postaci…

…A że zdobył te mapy, rozdając tajemnice naszego królestwa? Na zasadzie wymiany ze swoimi odpowiednikami z innych królestw, którzy też je gromadzą? Na ten fakt niektórzy wolą pozostać ślepi.

Możliwości użytkowników

Jako użytkownicy możemy poruszać się po obszarze zielonym Androida – bawić się pstryczkami (systemowymi ustawieniami) i do pewnego stopnia kontrolować aplikacje, ich uprawnienia, powiadomienia itd.

Przeciw zwykłym, szarym apkom (jak przysłowiowa apka-latarka grzebiąca w SMS-ach) takie zabezpieczenia wystarczą. Ale Usługi, jako coś wrośniętego w smartfona, to całkiem inna bestia.

Można niby odebrać im uprawnienia, ale trzeba to zrobić przez głębiej ukryte menu. Poza tym zawsze jest ryzyko, że to obejdą, jak w opisanym wyżej przypadku skanowania Wi-Fi.

Fałszywych danych również im się nie poda, bo na domyślnym Androidzie nie możemy zaglądać do plików wewnętrznych aplikacji ani do głębszych rejonów systemu.

Głębsze warstwy nazwałem tu jądrem systemu. Wbrew oficjalnej definicji, bo formalnie jądrem Androida jest poczciwy Linux.
Swoją drogą – zielona głowa robota w tym głębszym rejonie to logo Androida i symbolizuje czysty, niezmieniany system.

Jaka opcja pozostaje użytkownikom chcącym mieć pewność, że Usługi ich nie przechytrzą? Tylko ich wyłączenie, bo odinstalować się nie da.
To wprawdzie zabieg łatwo odwracalny, ale można mieć nadzieję, że tak na chama to się nie reaktywują.

Wyłączenie Usług i pierwsze kłopoty

Ktoś może w końcu nie wytrzymać i skorzystać z tej kuszącej opcji: wejść w Ustawienia, potem Aplikacje, znaleźć tam Usługi i je zwyczajnie wyłączyć pstryczkiem.

Od razu rozpęta się pandemonium. Zaczną pojawiać się liczne powiadomienia mówiące, że aplikacje A, B, C i inne nie zadziałają bez Usług. Nawet zwykły Zegar zacznie się buntować.

Część tych powiadomień to fałszywe alarmy i wystarczy je wyłączyć

Google tak jakoś zaprojektował Androida, że każda nieudana próba znalezienia Usług jest eskalowana do poziomu poważnie brzmiącego komunikatu.
W rzeczywistości szanujące się aplikacje powinny wyłapywać takie błędy i jakoś dostosowywać się do sytuacji.

Zwłaszcza jeśli Usług używały tylko po to, żeby sięgnąć do ID reklamowego.

Przykład aplikacji jojczących, ale działających normalnie? Wspomniany Zegar. Tricount (do podliczania wydatków na wyjazdach). Aplikacja jednej z linii kolejowych.

Żeby wyciszyć irytujące powiadomienia, można:

  • zapamiętać pokazującą się nazwę aplikacji,
  • odwiedzić Ustawienia, potem Aplikacje,
  • jeśli szukanej nazwy nie ma na liście, to wybrać opcję pokazywania apek systemowych w górnym prawym rogu,
  • znaleźć na liście jojczącą aplikację i ją kliknąć,
  • wybrać zakładkę Powiadomienia i wyłączyć pokazywanie wybranych (albo wszystkich) powiadomień od tej apki.

W ten sposób niektóre aplikacje przestaną histeryzować i będą działały normalnie bez Usług.

Oprócz nich jest niestety wiele apek, które faktycznie polegają na Usługach i bez nich nie zadziałają. Jak większość bzdetów od Google’a, w tym nasz przykładowy Sklep (instalator i aktualizator aplikacji).

Trzy warstwy systemu Android przy wyłączonych Usługach Google Play. Ikona Google i ich aplikacje są wyszarzone, nie działają.

Zewnętrzne aplikacje też niestety zaczną się wykładać.
Kiedyś nie działała Mapa Turystyczna, mimo że opiera się na otwartej OpenStreetMapie, a nie Mapach Google’a (może coś się zmieniło od tej pory). Nie działa podobno mapka wbudowana w Ubera czy Lyfta. Nie zadziałają różne aplikacje bankowe… Długo by wymieniać.

Analogia zamkowa

Wyłączenie Usług jest jak postawienie barier przed wszystkimi drzwiami do komnat uzurpatora (bo wtargnąć niestety się nie da). Odcięcie go od możliwości kontaktu z zewnętrznymi agentami.

Po fakcie okazuje się niestety, że miał wielu stronników.

Niektórzy to klakierzy, którzy tylko jojczą, że tragedia się dzieje, ale ostatecznie się podporządkują. Są też jednak tacy, którzy nadal próbują wsuwać listy pod drzwi uzurpatora, a nie otrzymując odpowiedzi, całkiem odmawiają współpracy.

Tak to już bywa, że władza tylko formalnie jest w rękach jednego człowieka. W praktyce jest rozproszona po różnych ośrodkach i trzeba albo je udobruchać, albo wymienić cały dwór. „Na układy nie ma rady”.

Ogólnie: wyłączenie Usług demaskuje patologiczną zależność innych korposów od Google’a.

Co ważne i warte podkreślenia: ta zależność nie była nieunikniona.
Usługi są nakładką na prawdziwego Androida i mało co tworzą od zera. Dało się je obejść i tworzyć apki rozmawiające bezpośrednio z mechanizmami systemu. Albo przynajmniej realizujące plan B w razie braku Usług.

…Ale twórcy aplikacji, również ci więksi, woleli oprzeć się na Usługach, wziąć je za pewnik. I nawet nie myśleć o smartfonach bez Google’a :roll_eyes:

Ciekawy przypadek Huaweia

Nie trzeba być małym graczem ani majsterkującym buntownikiem, żeby odczuć brak Usług. Doświadczył tego chiński gigant Huawei, kiedy Google odciął ich od swoich aplikacji na polecenie rządu USA.
W efekcie życie ze smartfonem Huawei jest jak świadome wyłączenie Usług Google’a, ze wszystkimi tego zaletami i wadami. Plus, nie ukrywajmy, to zmiana jednego szpiegującego korpo na inne.

Osobiście świadomie zatrzymałem się na tym etapie – wyłączyłem Usługi, wyciszyłem narzekające powiadomienia, pożegnałem się z apkami odmawiającymi współpracy (w tym wieloma popularnymi). I olałem bełkotliwe głosy z internetu, nazywające takie podejście luddyzmem.

Jak obchodzę brak Usług Google'a

  • Zamiast Sklepu Play używam dwóch aplikacji:

    • Aurora Store do zdobywania aplikacji oficjalnych, zamkniętych, z baz Google’a (używa kont-marionetek do pobierania z oficjalnego Sklepu).
    • F-Droida do zdobywania alternatyw o otwartym kodzie źródłowym (ufam im, bo mają rygorystyczny proces oceniania).
  • Apki podstawowe, jak Telefon, Aparat itd. można zastąpić otwartymi zamiennikami z serii Fossify (pobieram z F-Droida).
  • Dobrym zamiennikiem dla Google Maps są Organic Maps, działające offline i oparte na OpenStreetMapie.
  • Niektóre apki, również od dużych platform, działają normalnie bez Usług (przykładem Messenger, na którego czasem niestety jestem skazany).

  • Wielu serwisów i mediów społecznościowych (Gmaila, Reddita, Facebooka…) da się używać przez strony internetowe, a nie aplikacje.

    Czasem warto pójść nieoficjalną drogą. Serwis X/Twitter można np. czytać przez różne instancje Nittera, takie jak xcancel.com.

W przypadku, gdy nie istniało żadne sensowne obejście, po prostu zrezygnowałem z niektórych rzeczy. I myślę że na tym nie straciłem :wink:

Niektórzy chcą jednak iść o krok dalej i mieć obie rzeczy naraz – kontrolę nad systemem, ale i działające popularne aplikacje.

Przejęcie dolnych warstw systemu

Choć producenci smartfonów zwykle się z tym nie afiszują, czasem możliwe jest obalenie systemowych barier i podporządkowanie sobie dolnej warstwy. Wtrącenie uzurpatora do lochu i przejęcie jego komnat.

Break free from the facade of their tyranny
Pull them down from their thrones of authority
Rise up and take back what you are owed
Listen now, we refuse to be controlled

Źródło: Bury Tomorrow, „Boltcutter”.

Można wyróżnić dwa sposoby przejęcia władzy nad smartfonem:

  • rootowanie telefonu

    Intuicyjnie: sprawienie, że dolna warstwa stanie się zielona i dostępna. Samego rootowania nie będę tu opisywał, nie mając doświadczeń w temacie. Poza tym bardzo dobrze (i po polsku!) robi to blog „Wolność w kieszeni”.

  • wgranie alternatywnego systemu (custom ROM-a)

    Takie systemy często są oparte na Androidzie, ale dają użytkownikom więcej wolności. Dolna warstwa nie jest zwykle otwarta (bo jednak daje to pewne zabezpieczenie), ale chętne osoby mogą ją łatwo zrootować dla pełni kontroli.

Trzy warstwy systemu alternatywnego wobec Androida. Najniższa warstwa jest teraz oznaczona jako dostępna, ale ikona Google i ich aplikacje są wyszarzone, nie działają.

Na alternatywnym systemie dolna warstwa jest zwykle żółta, ale łatwo ją zazielenić.
A czemu Usługi Google na szaro? To wyjaśnię za moment.

Problem pierwszy: bootloader

Oba sposoby przejmowania systemu łączy to, że najpierw trzeba „wykonać podkop”, żeby zyskać możliwość załadowania własnych rzeczy.
Oficjalnie taki podkop nazywa się „otwarciem bootloadera”, gdzie bootloader to część odpowiedzialna za ładowanie systemu, w której działanie się ingeruje.

Nie jest to jakąś magią od strony technicznej, a szczegółowe instrukcje można znaleźć na stronkach przyjaznych użytkownikom. Jeden link dałem wyżej.

Problem w tym, że nie każdy producent daje lekką ręką możliwość takiej ingerencji: niektórzy rzucają kłody pod nogi, niektórzy całkiem blokują. Na Githubie można znaleźć ranking producentów i modeli, oceniający ich pod kątem łatwości wymiany podstaw systemów.

Potężny problem z Play Integrity

Gdy już się uda przejąć dolną warstwę, to możliwe staje się pełne usunięcie Usług albo karmienie ich fałszywymi danymi. W ten sposób aplikacje powinny działać normalnie (bo Usługi przecież istnieją), ale bez dostępu do danych, prawda?

Czasem tak, ale niestety można się naciąć. Jak na schemacie wyżej. To dlatego, że Usługi zawierają funkcję o nazwie Play Integrity.

Mówiąc intuicyjnie: Usługi „skanują” na prośbę aplikacji przestrzeń wokół siebie, szukając dowodów na to, że znajdują się w nietypowych warunkach. Że nie są „zanurzone w domyślnej czerwieni”, że tak nawiążę do pierwszych schematów.

Póki co mówię tutaj o weryfikacji na poziomie podstawowym. O jej gorszym rodzaju będzie później.

Swoimi wnioskami dzielą się z pytającymi je aplikacjami. Te zaś, słysząc o nietypowym systemie, mogą odmówić działania. Tak robiły lub robią nadal: aplikacje bankowe, niektóre gry, apka McDonalda, mObywatel (który, co ciekawe i na plus, działał po zwykłym wyłączeniu Usług na domyślnym systemie). I pewnie wiele innych.

Ciekawostka

Mechanizm Play Integrity nazywał się kilka lat temu SafetyNet. Takiej nazwy użyłem, wspominając o nim na blogu po raz pierwszy.
Dosłownie oznaczało to: „sieć bezpieczeństwa”. Taka, którą można zarzucić na użytkownika, żeby nie zagrażał interesom firm od aplikacji :wink:

Wyścig zbrojeń

Czy posiadanie dolnej warstwy nie miało przypadkiem dawać kontroli? Może dałoby się przechytrzyć Usługi, zmieniając ich otoczenie?

Istotnie, cały czas trwa wyścig zbrojeń między Usługami i ich wykrywaczem ingerencji a aplikacjami, które próbują te ingerencje ukryć.
Istnieje cały ekosystem obejść i zamienników. Przykładowo:

  • MicroG to alternatywa dla Usług, naśladująca niektóre ich funkcje;
  • Różne programy takie jak Magisk czy uzupełniający go Play Integrity Fix próbują ukrywać przed Usługami fakt, że system jest zmodyfikowany.

Czasem obejścia działają i pozwalają odpalić niepokorne aplikacje na zmodyfikowanym systemie. Nie ma jednak gwarancji, że tak się stanie.

Analogia zamkowa

Rootowanie albo instalacja alternatywnego systemu jest jak zebranie sojuszników, wtargnięcie do komnat uzurpatora tajnym podziemnym przejściem i ich siłowe przejęcie.

Gdyby wtrąciło się uzurpatora do lochu i nie zrobiło nic więcej, to znów mielibyśmy scenariusz z buntem jego zaufanych ludzi. Dlatego zamiast tego albo robi się z niego zakładnika (obstawiając go strażnikami), albo podstawia zamiennika.

Żadna z metod nie jest niestety pewna.
Ludzie z zewnątrz mogą poznać, że zamiennik nie ogarnia wszystkiego w ten sam sposob.
Z kolei w przypadku pilnowania uzurpatora może on zaalarmować kontaktujących się z nim ludzi, jaka jest sytuacja i że nie ma już władzy. Widząc to, jego zawzięci stronnicy ponownie odmówią współpracy.

Masochizm fanów omijania Usług (subiektywna opinia)

Jak najbardziej kibicuję autorom opisanych obejść i chylę przed nimi czoła… Ale nieco mi zgrzyta kultura, jaka narosła wokół przechytrzania Usług.

Część światka prywatnościowego delektuje się zwycięstwami. Triumfalnie informuje o każdym sukcesie, udanym obejściu Google’a i uruchomieniu aplikacji na zmienionym systemie. A po pewnym czasie luka, którą się chwalili, zostaje załatana i trzeba szukać nowych.

W moich oczach to trochę tak, jakby Google i autorzy aplikacji zależnych byli zbirami, regularnie napadającymi majsterkowiczów w zaułku. A oni się cieszą, że się wymknęli. „Tym razem zastawił przejście koszami, ale przecisnąłem się bokiem i mu uciekłem”.

No i fajnie… Ale może zamiast cieszyć się z ucieczek, lepiej włożyć energię w neutralizowanie zbira? Przez nagłaśnianie tematu, przybliżanie go ludziom, zorganizowaną krytykę apek zdających się na Play Integrity? Przedstawianie tego jako dyskryminacji i działań antykonkurencyjnych?
Świata nie zmieni się samym komputerkiem.

GrapheneOS

Wśród alternatywnych systemów istnieje jeden, który wyróżnia się na tle pozostałych. Zapewnia najwyższy poziom cyberbezpieczeństwa – co zresztą jest głównym aspektem, na którym skupiają się jego twórcy.

Złośliwi mogliby powiedzieć, że to ludzie, którzy wszystkie punkty umiejętności włożyli w zdolności techniczne, kosztem komunikacyjnych (sprzeczki, wbijanie szpil innym projektom). Mimo to ich lubię; trochę jak Doktora House’a.

Ten system to świetny kontrargument na przypadki, kiedy coś staje się zależne od Google’a, powołując się na bezpieczeństwo. Graphene zwyczajnie jest pod tym względem lepszy. Jeśli ktoś stawia na Google’a, a jego wyklucza, to pokazuje wewnętrzną sprzeczność swoich działań.

W kontekście tego wpisu ważniejsze jest natomiast to, że Graphene podchodzi do Usług inaczej niż pozostali. Zamiast je wymieniać albo zostawiać w zmienionym otoczeniu, stosują sandboxing Usług. Dosłownie „zamknięcie w piaskownicy”, w praktyce odizolowanie.

Intuicyjnie można powiedzieć, że to jak zamknięcie Usług w makiecie systemu (albo jaskini Platona, jeśli ktoś kojarzy). Karmienie ich wiarygodnymi, spójnymi wewnętrznie danymi, które jednak nie pokażą im rzeczywistości.

Analogia zamkowa

Można powiedzieć, że Graphene wykorzystuje fakt, że uzurpator komunikuje się przez liściki wkładane pod drzwiami. I robi przebudowę zamku w taki sposób, żeby nie tykać jego komnat.

Zamiast go zamykać w lochu i podstawiać zamiennika albo otaczać go strażnikami – buduje wokół niego dyskretne atrapy.

Kiedy uzurpator idzie do pokoju po mapy, to je znajdzie bez przeszkód. Ale będą to podróbki bez ważnych lokalizacji (prawdziwy składzik na zamkowe mapy został przeniesiony).

Przed prawdziwymi drzwiami do jego komnat stają inne, fałszywe. A sługa siedzący za nimi przechwytuje listy, podmienia na niegroźne i podaje je dalej pod drzwiami uzurpatora.

…I tak dalej. Życie uzurpatora się nie zmieniło, ale stało się czymś oderwanym od prawdziwego życia zamku.

Trzy warstwy systemu GrapheneOS. Usługi Google są odgrodzone od reszty systemu i widać po kolorach, że działają prawidłowo

Uwaga

Nim ktoś się podjara, warto dodać, że na chwilę obecną Graphene działa tylko na smartfonach Pixel. Produkowanych przez Google’a… Ale, paradoksalnie, względnie łatwych do odgooglowania.
Na pocieszenie – niedawno ludzie od Graphene’a nawiązali współpracę z Motorolą (Mobility, czyli własnością Lenovo, a nie amerykańską Solutions). Może to zmienić stan rzeczy i sprowadzić Graphene’a na popularniejsze smartfony.

Z punktu widzenia użytkowników wiele rzeczy działa jak na typowym Androidzie, nie ma za to masowego wykradania danych. Czyżby zwycięstwo?
…Niestety nie. Google ma jeszcze asa w rękawie.

Play Integrity i weryfikacja sprzętowa

W głębinach smartfona tkwi niezależny, odizolowany chip kryptograficzny. Bywa znany pod niejedną angielską nazwą, taką jak ogólna TEE (Trusted Execution Environment) czy Secure Element.

Osobiście wolę jednak nazwę enklawa. Lepiej oddaje kluczową cechę tego chipa, czyli izolację, a nie jakieś abstrakcyjne zaufania czy bezpieczeństwa.

Bonus: kojarzy się z pamiętnymi złolami z „Fallouta 2”.

Enklawy mają swoje pozytywne zastosowania przy ochronie danych. Przykładowo: mogą przechowywać informacje wrażliwe, takie jak wzorzec odcisku palca, jeśli ktoś ustawi taki tryb odblokowania ekranu.

Problem jednak w tym, że ich możliwości są nadużywane. Enklawy biorą udział w procesie kontrolowanego uruchamiania systemu (to tzw. secure boot). Zapisują w sobie jego stan, ściskając dane do krótkich ciągóœ znaków.

Potem mogą okazywać te informacje na żądanie. Mówić pytającym Usługom, czy są na fabrycznym Androidzie, czy też na zmienionym systemie. Ten poziom weryfikacji nosi nazwę wewnętrzną MEETS_DEVICE_INTEGRITY (albo MEETS_STRONG_INTEGRITY, jeśli do tego Android ma wszystkie aktualizacje).

Cztery warstwy systemu Graphene OS i przepływ informacji między Usługami Google a kryptograficznym chipem. Ikona Google i ich aplikacje są wyszarzone, nie działają

Wcześniej wspominałem o obejściach. To może znowu by warto ich użyć?
Tu niestety nie pomogą. Enklawy oznaczają przekazywane informacje swoim cyfrowym podpisem, który:

  • jest niemożliwy do podrobienia (mocna kryptografia);
  • może być nakładany tylko przez enklawę (narzędzie znajduje się w jej wnętrzu i nigdy nie jest udostępniane innym);
  • jednoznacznie ujawnia pytającym, że to oficjalna informacja od enklawy (oczekiwany wzorzec podpisu jest publicznie znany; jego znajomość nijak nie ułatwia jego podrobienia).

Wisienka na torcie? Ci, którzy stosują taką weryfikację, uzależniając się od Usług Google, mogliby korzystać zamiast tego z opcji wbudowanej w Androida, która dopuszczałaby inne niezrootowane systemy. Ale wybierają zależność.

Analogia zamkowa

Fundamenty naszego zamku stoją na skale. W jaskiniach wewnątrz tej skały mieszka tajemnicza Wyrocznia, które wiele wie i wiele widziała.
Nie da się do niej dostać i można się z nią porozumiewać jedynie przez wrzucanie kartki z konkretnymi pytaniami do wąskiej szczeliny. Potem czeka się na odpowiedź.

Wyrocznia wie, jak powinien wyglądać zamek. Przy każdej jego przebudowie całym ciałem odczuwa drgania. Wie, że coś się zmieniło.

Jeśli uzurpator nie wierzy sobie i czuje, że może być oszukiwany – pyta wyroczni, czy zamek został zmieniony. Otrzymuje odpowiedź w zaplombowanej kopercie. Na plombie widnieje odcisk niemal nieskończenie misternej pieczęci.

Gdyby ktoś naruszył kopertę, to uzurpator by to zobaczył. Pieczęci nie podrobi ani on, ani nikt inny, wydaje się technologią wręcz kosmiczną.
Zna natomiast dokładnie jej oczekiwany wygląd i zawsze rozpozna, czy dostał oryginalną kopertę od Wyroczni. W tej kopercie zawsze znajdzie prawdziwą odpowiedź.

Powiązane wpisy

To ogólne zjawisko – użycie odizolowanych enklaw, cyfrowych podpisów i szyfrów do narzucania kontroli – jest znane pod nazwą trusted computing. Przestrzegano przed tym już ponad 20 lat temu (zaś były szef Microsoftu to promował krótko po zamachu z 11 września).
Poza tym Google już kiedyś chciał użyć tych metod do podzielenia cyfrowego świata. Ich propozycja nosiła nazwę Web Environment Integrity i pozwoliłaby każdej stronie internetowej weryfikować „mainstreamowość” systemu próbującego ją odwiedzić.

Przyszłe zagrożenia

Ktoś może doczytać do tego etapu, ale nie widzieć zagrożenia dla siebie. „No dobra, Usługi zbierają dane i nie pozwolą mi zmienić systemu. Okej. Ale ja nie chcę go zmieniać, poza tym częściej używam komputera”.

Tyle że nikt nie jest bezpieczny. Google zaczął niedawno eksperymentować z nowym trybem zabezpieczenia ReCAPTCHA. Nowa wersja może wymagać użycia smartfona do zeskanowania kodu QR. Nawet kiedy korzysta się z kompa.
A że po zeskanowaniu kod trafia do Usług – to brak smartfona z Usługami (i pewnie przechodzącego pomyślnie Play Integrity) może oznaczać odcięcie od stron, które wdrożyły u siebie ten mechanizm.

Jeszcze gorsze jest widmo współpracy rządów z korpo i przeforsowania aplikacji, bez której trudno działać w społeczeństwie. Mniej niż dwa lata temu straszyłem taką wizją:

Gdyby obywatele musieli na mocy przepisów mieć jakąś aplikację, zaś aplikacja dopuszczałaby poprzez trusted computing tylko nieliczne, najpopularniejsze systemy od dużych firm – to mamy gotowy przepis na dystopijne, zmonopolizowane państwo.

A teraz… No cóż, właśnie powstaje Europejski Portfel Tożsamości Cyfrowej (EUDI). Póki co promowany jako ułatwienie, a nie wymóg.

Jego kod źródłowy jest wprawdzie otwarty i rozwijany publicznie – tak serio, a nie komicznie jak polski mObywatel – ale niewiele to zmienia.
Bo w tym otwartym kodzie wprost pojawiają się, mimo potężnego oporu komentujących, fragmenty sugerujące, że zadziała tylko na urządzeniach przechodzących weryfikację Play Integrity.

Można również znaleźć w sieci dokumentację cyfrowego portfela niemieckiego, w którym omawiają parę kwestii związanych z weryfikacją. Wyraźnie sugerują, że będą się trzymali Usług Google Play.

Mimo że – podkreślę raz jeszcze, bo to ważne – mogliby użyć funkcji wbudowanych w samego Androida.

Jak w takich warunkach ma przetrwać jakakolwiek konkurencja wobec Google’a? Nawet jeśli ktoś nie chce walczyć o swobodę majsterkowania (bo tego nie robi) – może powalczyć przeciw monopolizacji.

Co można zrobić?

Proponuję głośno protestować i nagłaśniać patologie wokół Usług. Nie spoczywać na laurach z myślą, że jakoś to będzie, że Magiskiem się przymaskuje, że tajne klucze wyciekną. Dotąd niektórzy dawali się kopać zbirowi, ale teraz już naprawdę trzeba wołać o pomoc, bo ten sięga po nóż.

Proponuję założyć, że weryfikacja będzie coraz szczelniejsza. Bo wszelkiej maści uzurpatorom zależy na kontroli i nie odpuszczą, póki jej nie zacieśnią.

W przygotowaniu na czarny scenariusz można rozważyć używanie dwóch tańszych smartfonów – jeden prywatniejszy, z kartą SIM, bez Usług Google’a. Drugi mainstreamowy, bez karty SIM, używany przez hotspoty w razie konieczności.

Można odchodzić od Google’a i namawiać do tego innych. Wykorzystać to, że przez najbliższe półtora roku infosfera może łatwo wchłaniać treści przeciwne patologiom cyfrowym:

  • Niechęć do imperializmu USA i powiązanych z nimi krajów bije rekordy, dzięki czemu argumenty za suwerennością trafiają na podatny grunt.

    Zaczęło działać sporo kont promujących federalizację Europy. Niezależnie od stosunku do nich (sam jestem sceptyczny) – można potraktować komentarze pod ich wpisami jak darmowy megafon dla swoich antykorporacyjnych przemyśleń.

  • Forsowanie AI sprawia, że na świecie rodzi się oddolny opór. Google jest zaś jednym z naczelnych forsujących, warto to podkreślać.
  • W 2027 roku odbędą się w Polsce wybory do parlamentu. Idealny czas, żeby ponaciskać na polityków i proponować wymiankę: głosy za czyny :wink:

To okno może się zamknąć po wyborach, zwłaszcza amerykańskich. Jest ryzyko, że ktoś wtedy powie: „teraz jest dobra władza, znów lubimy Ameryczkę”. I spróbują cofnąć postępy w zakresie suwerenności.

Zamykanie cyfrowego świata jest jak przykrywanie garnka pokrywką. Jeśli robi to ręka zbyt silna, żeby stawić jej opór, to można przynajmniej doprowadzać nastroje do wrzenia. Żeby po przykryciu wszystko wykipiało.

I na tej metaforze zakończę wpis. Do zobaczenia w kolejnych!

Źródła ikon na schematach

  • Ikona błędu (autor(-ka): Fathema Khanom) ze strony Flaticon.
  • Ikona chipa ze strony Flaticon (autorstwa: Maan Icons).
  • Oficjalne ikony Firefoksa, Usług, Sklepu, Androida, GrapheneOS i firmy Google – z Wikimedia Commons.