Tuneado de GT-I9300 (SS Galaxy S3)


#1

Por si es de vuestro interés y continuando con mis manías habituales.
Por supuesto muy mejorable.

(necesito google para no ser eremita, y por comodidad).

Un saludo.

Alcance del proyecto

Se desea instalar una rom más segura y garantista de privacidad en un teléfono Samsung Galaxy S3.
Se debe permitir la instalación (al menos) de aplicaciones para:

  • Lectura de correo electrónico (google).
  • Calendario y contactos (google).
  • Sistema de consulta de mapas y navegación (no dependiente de google).
  • Mensajería electrónica (google) y WhatsApp.
  • Accesoso Dropbox mediante EncFS.

ROM

De las ROM disponibles las más atractivas son Omnirom (http://omnirom.org/, https://en.wikipedia.org/wiki/Omnirom) y Paranoid (http://www.paranoidandroid.co/).

  • Omnirom se supone que es libre, con muchos de los activista de CyanogenMod antes de que se hiciera privativa. Tiene buena pinta, consumo de batería bajo y Privacy Guard. Versión de SO 4.4.4.
  • Paranoid se supone libre. Tiene la versión 5.1 disponible para S3.

Opto por Omnirom.

Privilegios root

Omnirom viene sin root. Hay que hacer root medianten SuperSU (http://docs.omnirom.org/Installing_Omni_on_your_device#SuperSU, http://download.chainfire.eu/supersu).

Arrancando en modo recovery, basta con instalar la actualización de SuperSU.

Privacidad

El sistema operativo trae instalado Privacy Guard, pero tiene una granularidad de privilegios bastante generalista con lo que se opta por XPrivacy (https://github.com/M66B/XPrivacy). Existe una versión pro (http://www.xprivacy.eu/) con más opciones. Esta versión pro se adquiere por donativo o mediante explicación justificativa de por qué no se quiere hacer donativo (formulario del final de la página).

Para la instalación de XPrivacy es necesario instalar previamente el marco de ejecución Xposed (http://repo.xposed.info/). Desde Xposed se indica que se instale XPrivacy. Si se tiene la licencia pro basta con poner el archivo en /sdcard. La versión pro permite aplicar plantillas (descargadas de internet) a aplicaciones/categorías sin tener que especificarlas manualmente), y limitar la visibilidad de un grupos de contactos.

Desde XPrivacy se indica a todas las aplicaciones (instaladas y provinientes de rom) que solicite permise para acceso a recursos. Se reinicia el teléfono para que se soliciten todos los permisos necesarios. Los más peliagudos son los relacionados con:

  • Cuentas de usuario.
  • Ubicación.
  • Contactos y calendario.
  • Llamadas telefónicas, operador, mensajes sms/mms.
  • Aplicaciones instaladas.
  • Identificacion (del teléfono).
  • Red (acceso, consultas dns, dirección ip).

Tiendas y repositorios de aplicaciones

Se instala repositorio aplicaciones F-Droid (https://f-droid.org/) como repositorio principal. Se instalan aplicaicones:

  • AFWall+. (cortafuegos)
  • AnySoftKeyboard. (teclado)
  • AnySoftKeyboard - Spain Language.
  • ChatSecure. (mensajería instantánea segura por google y xpmm)
  • CSipSimple. (llamadas telefónicas seguras por voip).
  • Ghost Commander. (gestor de ficheros)
  • K-9 Mail. (gestor de correo-e)
  • KeePassDroid. (gestor de contraseñas)
  • Orbot. (cliente para acceso a Tor).
  • orWall. (fuerza a aplicaciones a usar Tor)
  • OsmAnd~. (gestor de mapas, rutas y navegador sin linea).
  • SSH for AnySoftKeyboard.
  • Widget del Calendario. (muestra calendario en pantalla principal).

Se instala tienda/repositorio de aplicaciones Aptoide (http://www.aptoide.com/) como repositorio de aplicaciones privativas. Se instalan aplicaicones:

  • Dropbox.
  • Cryptonite. (encfs para dropbox)

Tor y cortafuegos

Se activa Orbot, pero no se configura como proxy transparente. Eso se delegará a orWall.
En orWall se seleccionan todas las aplicaciones excepto AFWall+. Se indica como aplicación sip: CSipSimple.

En AFWall+ indicar:

  • Activar notificaciones.
  • Fix Startup Data Leak.

y se permite acceso a red a:

  • Servicio NTP.
  • Aplicaciones ejecutándose como root.
  • Servicios DNS+DHCP.
  • Aptoide.
  • ChatSecure.
  • Cryptonite.
  • CSipSimple.
  • Descargas.
  • Dropbox.
  • F-Droid.
  • K-9 Mail.
  • Media Server.
  • Navegador.
  • Orbot.
  • OsmAnd~.
  • Rom Manager.
  • WhatsApp.
  • Xposed.

Rom Manager

Para la gestión de ROMs se opta por Rom Manager (http://www.clockworkmod.com/rommanager).

GAPPS

Omnirom viene sin GAPPS, por lo que para utilizar algunos servicios (como ChatSecure con cuenta de google) es necesario instalarlos.

Desde Rom Manager se instala la GAPPS.

Tras reiniciar inhabilito aplicaciones:

  • Agente comentarios Market.
  • Búsqueda de Google.
  • Cola de impresión.
  • Configuración para partners de Google.
  • Gmail.
  • Google Backup Transport.
  • Google One Time Init.
  • Google Play Store.
  • Hangouts.
  • Noticias y tiempo.
  • Picasa Uploader.
  • Síntesis de Google.
  • Sound Search de Google Play.
  • TalkBack.
  • Teclado Android (AOSP).

En orWall y AFWall+ selecciones (como que deben pasar por Tor y deben tener acceso a red):

  • Administrador de cuentas de google, Servicios de google Play, Google Backup Transport, Marco de servicios de Google, Sincronización de contactos de Google.
  • Sincronización de Google Calendar.

Geolocalización

Para la geolocalización, tras la instalación de GAPPS, se usa Google por defecto. Se desea no usarlo, para lo que se instala desde F-Droid:

  • µg UnifiedNlp for devices with GAPPS.
  • LocalWifiNlpBackend.
  • LocalGsmNlpBackend.
  • OpenBmapNlpBackend.

Desde Xposed se instala:

  • XposedUnifiedNlp.

Se reinicia, y desde Menú (general de lanzador de aplicaciones) -> µg UnifiedNlp -> Configure location backends -> (seleccionar todos).

En orWall y AFWall+ selecciones (como que deben pasar por Tor y deben tener acceso a red):

  • org.openbmap.unifiedNlpProvider.
  • GSM Location Service.

#2

De las ROM disponibles las más atractivas son Omnirom (http://omnirom.org/
, https://en.wikipedia.org/wiki/Omnirom) y Paranoid (
http://www.paranoidandroid.co/).

Si quieres ponerte paranoico al máximo ninguna ROM para teléfono móvil
puede ser completamente libre, o tal vez más apropiadamente en este caso,
auditable/trazable, porque siempre vas a tener las dependencias de
binarios como los de, al menos, la tarjeta de vídeo y la radio.

El Replicant puede que sea una alternativa más depurada, pero apenas he
curioseado su web. Un ejemplo de las limitaciones de esta aproximación a
los teléfonos móviles:
http://redmine.replicant.us/projects/replicant/wiki/ReplicantStatus

Por eso yo siempre pensé que puestos a trabajar con un Android
auditable/auditado sería más fácil trabajar con cosas como los tvboxes, que
aunque probablemente te hagan renunciar a cosas como aplicaciones gráficas
al menos debería poder usarse como mini servidores de bajo coste.


#3

por cierto, eso de quitarse todas las dependencias para no usar servicios
Google y luego engancharte a dropbox… pues hijo, más que de paranoico es
de maniático :wink:


#4

Que ya lo sé hombre. La infraestructura que tenía con owcloud la deseché hace unos meses y he vuelto por comodidad a dropbox/google. Me he prostituido tecnológicamente un poco, pero es que como comenté, es durillo quitarse todas las dependencias.

Teniendo tiempo se puede hacer sin problemas, pero no tengo mucho y voy dejando cosas para luego con lo que al final llego a fallos.