Browse Source

from wiki

master
dan 3 years ago
commit
6c86895a32
  1. 414
      README.md

414
README.md

@ -0,0 +1,414 @@
# Privacy Matters on my phone
Percorso in 5 passi su come entrare in possesso del proprio smartphone dopo averlo comprato.
## Obiettivo
L'obiettivo di questo progetto è di raccogliere strumenti e le conoscenze per utilizzare uno smartphone Android nel
rispetto più ampio possibile della propria privacy. Tale progetto non ha uno scopo divulgativo riguardo la salvaguardia
della privacy: il problema è ormai chiaro a tutti, vuole invece essere di supporto a chi consapevolmente vuole
proteggersi. In quest'ottica, il progetto è strutturato a livelli, dal più facile da perseguire ma con un alto livello
di compromesso fino a un livello più difficile senza lasciare spazio a dubbi e compromissioni.
Vogliamo rompere la sacralità dell'utilizzo dello smartphone. La quale non viene oramai neanche più messa in
discussione. Ricorderete quando si pensava a togliere la batteria prima di comunicazioni riservate, ora che non si
possono più togliere non si mette neanche in discussione il motivo per cui si faceva. Siamo regrediti nel mettere in
discussione l'oggetto. Il modo in cui ora accettiamo che faccia *cose* ha del sacrale.
L'idea è che si debba essere padroni/proprietari/root/capaci/liberi sul proprio dispositivo (hardware). Il telefono
intelligente è un PC, ci si possono mettere sopra le mani. Va anche ricordato che è molto più intimo di un Computer
Personale, a maggior ragione vorremo che la fiducia sia simmetrica.
È importante ricordare che non ci sono alternative ad Android. Gli altri smartphone (anche detti telefonini
intelligenti, o furby) sono solamente gli Apple iOS e sempre più rari, i Windows.
PMOMP è un percorso in forma ludica, come direbbe Rodari. E si basa sulla visualizzazione di 6 livelli.. aspetta sono
cinque. Cinque livelli, ma uno è il livello zero. Ma vedremo più avanti come funziona. L'idea è che arrivare a mettere
la mani dentro l'oggetto, liberarlo e di conseguenza liberarsi, possa avvenire più facilmente per passi, meglio se
visualizzabili.
== nota: inserire link alle diapositive PMOMP o fare le slide: intro, livelli, post
## Livello 0
Uso il telefono così come mi arriva. Quando non capisco bestemmio.
## Livello 1
Uso consapevole di un telefono Android collegato ad un account Google.
Si accetta di utilizzare l'account di Google e le sue app ma si studia quali settaggi impattano sulla privacy,
la gestione dei permessi richiesti da app di terze parti e le pratiche più sicure di utilizzo del proprio
telefono, ad esempio non collegarsi a reti wifi aperte di cui non si conosce la provenienza.
Il primo passo per proteggere la propria privacy su un telefono Android è quello di studiare i settaggi per la
privacy del proprio account Google.
Da la [pagina privacy di Google][] possiamo ottenere questo che è il [contratto implicito][] che ogni utente
stipula con Google per il trattamento da parte di quest'ultimo dei dati sensibili. Tutto il documento viene
presentato come qualcosa fatto per noi ma in realtà si capisce il valore che deriva dalle nostre informazioni,
prendiamo ad esempio il passaggio: *I nostri sistemi automatizzati analizzano i contenuti dell'utente (incluse
le email) al fine di mettere a sua disposizione funzioni di prodotto rilevanti a livello personale, come
risultati di ricerca personalizzati, pubblicità su misura e rilevamento di spam e malware*
Si usano termini come *a sua disposizione funzioni di prodotto rilevanti* e *pubblicità su misura* ma mi
sembra ovvio chi ci guadagna dall'analizzare le **mie** email: chi vende quelle pubblicità e chi offre quei
prodotti. Questa citazione è interessante anche perché viene ripresa nei termini d'uso dei servizi di Google
ma con qualche piccola modifica: *I nostri sistemi automatizzati analizzano i contenuti dell'utente (incluse
le email) al fine di offrire funzionalità dei prodotti rilevanti a livello personale, come risultati di
ricerca personalizzati, pubblicità su misura e rilevamento di spam e malware. Questa analisi si verifica nel
momento in cui i contenuti vengono trasmessi, ricevuti e memorizzati.*
Scompare il termine **mettere a sua disposizione** sostituito da **offrire**, inoltre si aggiunge la frase:
*Questa analisi si verifica nel momento in cui i contenuti vengono trasmessi, ricevuti e memorizzati* , questa
precisazione non è casuale, anzi è molto importante, perché i termini d'uso nel capoverso precedente ci dicono
questo: Quando l'utente carica, trasmette, memorizza, invia o riceve contenuti da o tramite i nostri Servizi,
**concede a Google (e ai partner con cui collaboriamo) una licenza globale** per utilizzare, ospitare,
memorizzare, riprodurre, modificare, creare opere derivate (come quelle derivanti da traduzioni, adattamenti o
altre modifiche apportate in modo tale che i contenuti funzionino al meglio con i nostri Servizi), comunicare,
pubblicare, eseguire pubblicamente, visualizzare pubblicamente e distribuire i suddetti contenuti.
Per essere corretti, il capoverso continua con questa limitazione d'uso: I diritti che concede con questa
licenza riguardano lo scopo limitato di utilizzare, promuovere e migliorare i nostri Servizi e di svilupparne
di nuovi.
Ma il punto è un altro: il fatto che io abbia fatto una ricerca su Google, da casa mia, collegato alla mia
wi-fi, con il mio telefono, magari quando mi stavo spostando da una camera all'altra, diventa un'informazione
(il Google Account X, sul dispositivo Y, collegato alla rete Z, nella posizione Lat,Long mentre si spostava di
tot metri) di proprietà di Google, perchè dire che può memorizzare, riprodurre, modificare, creare opere
derivate, etc etc etc, significa che ne ha la proprietà.
Quindi, chiarito la posizione di chi ci fornisce Android per i nostri cellulari, a questo livello sappiamo che
la nostra privacy è il prezzo da pagare per avere accesso ai servizi offerti dal sistema operativo.
### Cosa lascio dietro di me e chi può raccoglierlo
A questo punto capiamo cosa viene raccolto della nostra privacy e come possiamo dire in che modo gestirla.
Partiamo dalla pagina [myactivity di Google][], da questa pagina possiamo accedere:
* All'[eliminazione delle nostre attività registrate][]
* Ai [settaggi di registrazione delle nostre attività][]
* Alla [cronologia degli spostamenti][]
* La [gestione dei dispositivi][], purtroppo nella gestione dei dispositivi non possiamo
che cancellare la cache dei dispositivi utilizzati e
[prendere atto dei dispositivi collegati][] al nostro account fino a 2 settimane fa.
Qui invece possiamo [gestire il collegamento del nostro account a siti e app][].
### Sullo smartphone cosa posso ancora fare?[^nota1]
[^nota1]:Queste informazioni sono prese da un Android 7.1.1
Sono dell'opinione che le notifiche siano da ridurre al minimo perché anche la risposta ad esse in termini di
tempo può essere utilizzato per profilarmi, quindi dove si può disattivo le notifiche che ritengo superflue:
Inoltre percepisco il mio rapporto con l'oggetto come io che gli faccio domande e lui
risponde, non certo che mi chiama con un fischio quando decide di attirare la mia
attenzione. Le notifiche (sonore, a led lampeggianti, a messaggio-sopra-lo-schermo) sono
l'equivalente digitale del guinzaglio.
Continuo ad avere un sacro rispetto per la telefonata che fa *drin*, quella che, sola,
merita sul mio telefono una notifica di tipo sonoro. Probabilmente dovuta per quando
telefonare era uno sforzo, costoso. Una volta qualcuno disse Ahoy, segnali di trunk e
camici bianchi in palazzi altissimi senza finestre ma con stemmi quasi araldici: AT&T. E
quella brutta brutta storia del Meucci? Si parla di diritti. Cose grosse. C'è stato un
tempo in cui una telefonata non si poteva ignorare. Era il tempo dei telefoni fissi, e
lasciar squillare un telefono sarebbe parso sgarbato e dunque segno di bassa moralità. Poi
sono arrivati i telefonini, quelli stupidi, e siamo diventati tutti sempre reperibili.
Segno unico dello schiavo. Se abbiamo sviluppato la capacità di ignorare una telefonata
proveniente da numero nascosto, dobbiamo ora prepararci ad andare più in profondità, usare
il cervello invece che abituarlo al rumore.
== NOTA: aggiungere come consultare lo storico delle notifiche.
#### Configurazione Wi-FI:
In *configura*, togliere la notifica delle reti pubbliche
#### Bluetooth:
Attivare solo quando utilizzato
#### Utilizzo dati:
Attivare solo quando utilizzato
#### Wireless e reti (Altro):
Attivare l'NFC solo quando utilizzato
#### Notifiche:
Come si diceva prima, sono per la disattivazione di tutte le notifiche che non valuto necessarie, qui sta ad
ognuno di noi decidere cosa vuole e cosa no. Unico suggerimento: nel menù puntinato, selezionare *Mostra
sistema*, per avere l'insieme completo di tutto ciò che genera una notifica sul nostro device.
#### App:
Dal menu *Configura*, accesso speciale e da qui si apre un elenco molto interessante, da notare: *Accesso ai
dati senza limitazioni*, *Accesso a dati di utilizzo*, *Modifica impostazioni sistema*, una attenzione
particolare merita *Amministrazione dispositivo*.
#### Geolocalizzazione:
Selezionando il menù a puntini, scegliere la voce *Ricerca* e da li disattivare la ricerca reti Wi-Fi e la
ricerca dispositivi Bluetooth, entrambe le ricerche non sono funzionali ai servizi Wi-Fi o Bluetooth ma come
specificato sono utilizzate per migliorare la geolocalizzazione Condivisione posizione Google e Cronologia
delle posizioni Google dovrebbero essere disabilitate se lo avete fatto nel vostro Google Account.
\newpage
## Livello 2
Il telefono viene collegato ad un account Google, ma non vengono utilizzate le sue app, si utilizzano app
alternative fornite da market alternativi, [f-droid][]
Si tratta di una vera e propria uscita dal kindergarden (giardino d'infanzia, walled quanto basta).
Cosa mi offre Google di cui non posso fare a meno: Android stock, cioè la versione di base
del S.O. Android, porta con se solo il gestore del telefono, dei contatti e il browser di
sistema, nulla più, il resto è parte delle gapps cioè delle app di Google e stiamo
parlando di:
* Play
* Gmail
* Youtube
* Drive
* Google Maps
* Google Search
* Google Foto
* Google Duo (Una volta era Hangout)
* Calendar
* Contatti
* Telefono
E tanto altro ancora, per ognuna di queste app, escludendo per il momento *Play*, cercheremo un'alternativa,
per adesso non cercheremo solo software libero ma useremo tutto ciò che troviamo in play.
### Gmail
Personalmente, ritengo gmail la migliore applicazione di Google, dopo il motore di ricerca, e il fulcro del
suo successo in ambito mobile. Trovare un sostituto a Gmail è un arduo compito. Suggeriamo come validi client
di posta elettronica, quindi buoni anche come client per gmail, [AquaMail][] e [K9][].
### Youtube
Non c'è un'alternativa all'app di youtube per consultare i contenuti di youtube, l'unica cosa che si può
consigliare a riguardo è la consultazione via browser.
Alternativamente, [NewPipe][] (presente solo in F-Droid, niente PlayStore causa restrizioni di Google)
consente di navigare youtube senza account. Permette anche di ascoltare in background, scaricare il
video/audio ed è integrabile col sistema di share/apri-con/default-app.
### Drive
Ci sono centinaia di servizi di cloud alternativi a Drive. Possiamo suggerire owncloud, nextcloud e seafile
per un cloud totalmente autogestito e volendo crittato.
### Google maps
La migliore alternativa è ovviamente open street map, che non implementa una sua app ufficiale, la migliore da
utilizzare su questa piattaforma è Osmand
### Google Search
Qui si aprirebbe un progetto totalmente nuovo: motori di ricerca, alternative a Google. Mi limito a suggerire
duckduckgo la app
### Google Foto
Anche qui ci sono centinaia di alternative valide, a voi la scelta. Vi proponiamo Open Camera
### Google Duo
Ci sono molte alternative anche per la messaggistica, ci sentiamo di suggerire Signal e Telegram.
## Livello 3 - Il Grande Passo
Non si collega il telefono ad un account Google e si usano solo app alternative.
Perderemo dunque l'uso di WhatsApp, di Facebook e di Enjoy. Se il Furby l'abbiamo
comperato apposta, il livello 3 è una fase di transizione.
Siamo giunti al momento di lasciarci definitivamente alle spalle Google e tutte le sue app, compreso il
PlayStore.
Per fare ciò, basta partire da un smarthphone android con il settaggio di fabbrica, meglio se dotato di un
android stock (Qui bisogna fare una nota/link/pagina ad un elenco di hardware consigliato). Il settaggio di
fabbrica è quello che troviamo al primo avvio del telefono, se si ha un telefono usato, basta andare su
**Backup e ripristino** e poi su **Ripristino dati da fabbrica**.
ATTENZIONE la procedura di ripristino dati da fabbrica, cancella tutto ciò che avevamo sul telefono, perciò
consigliamo di fare un copia di tutto ciò che vogliamo tenere.
Possiamo anche scaricare le apk che vogliamo tenerci e che non possiamo trovare al di fuori del play store,per
fare ciò, i passi sono questi:
Installare [adb][] sul PC su cui vogliamo copiare le apk.
Per sapere quali device con android sono collegati userò il comando:
adb device
Per avere la lista delle app installate sul nostro telefono.
adb shell pm list packages
Per ottenere il percorso reale all'apk, per ognuna di quelle che ci interessano, dobbiamo lanciare il comando
adb shell pm path [nome_del_package]
Come ultima cosa:
adb pull [percorso_reale_all_apk] [percorso_sul_nostro_pc]
All'avvio di android ci verrà chiesto l'inserimento di un account Gmail, se diciamo di andare oltre, verremo
avvertiti del fatto che non potremo avere molti servizi, ma se rispondiamo sempre *no*, *ignora*, *avanti*,
etc. il sistema si avvierà tranquillamente.
E adesso che ci faccio?
Se avevo copiato delle app, per installare le copie, mi basta il comando
adb install [file.apk]
Dopo di che, tramite il browser, scarico qui [f-droid][], e installo tutto ciò che mi serve, dopo vediamo un
elenco di app suggerite.
## Livello 4 - La cima della montagna
Non si usa Android stock preinstallato ma si installa una versione alternativa del sistema operativo.
La versione del S.O., o ROM più diffusa al momento si chiama [LineageOS][]. Che ha sostituito la defunta Cyanogenmod.
Abbiamo fatto molta strada e siamo arrivati ad un punto molto delicato: abbiamo ottenuto il massimo della
privacy dal nostro sistema Android, ma è abbastanza questo per noi? Cosa possiamo fare ancora? Possiamo
affrontare l'ultima questione: il sistema operativo.
Abbiamo in tasca dei veri e propri PC, su cui però non possiamo installare il S.O. che vogliamo: dobbiamo
tenerci quello che ci troviamo preinstallato dal produttore del telefono. Non è del tutto vero...
### Il modding degli smartphone Android
Da molti anni, intorno all'ecosistema di Android, è nata una community di hacker che ha iniziato a preparare
rom alternative per molti smarthphone. Queste rom vengono *cucinate* principalmente come vanto: "Ho la Mia
versione di Android sul Mio Cellulare, sono troppo un figo!" Ma ci ha fatto scoprire che il sistema Android
non nasce con le Gapps (le app di Google) ma in realtà sono distinte dal SO e quindi si possono anche non
installare del tutto.
Da dove si parte? Si parte da una lunga e tediosa ricerca della Rom che funzioni con il nostro device, dico
questo perché purtroppo non tutti i produttori di smartphone amano che il legittimo proprietario del telefono
ci possa installare quello che vuole. Quindi bisogna o sbloccare il bootloader o avere i permessi di root sul
device per poter installare ciò che si vuole e questo ovviamente diventa un grosso limite allo sviluppo di rom
alternative.
Quindi come prima cosa, se non si è ancora comprato uno smartphone Android, sarebbe bene controllare se quello
che stiamo per comprare abbia il bootloader aperto o ci dia direttamente i diritti di root sul nostro
telefono.
A breve in questa pagina inizieremo a pubblicare i device e i produttori che *consigliamo* per
l'implementazione del 4° livello.
## App index
Indice di applicazioni OSS/FOSS raggruppate per categoria, con link.
un indice (semplice) di applicazioni OSS e FOSS, raggruppate per categorie, eventualmente con una lista feature.
Sono incluse anche applicazioni che usano servizi chiusi (es: NewPipe per Youtube), segnalate.
Download Link: Purtroppo non tutti gli sviluppatori open conoscono/usano F-Droid, quindi mi sembra lecito
offrire il link al PlayStore (e di conseguenza altri mirror). Eventualmente link al .apk (da risorsa
attendibile, a voi l'attendibilità).
Source Link, Licenza: Se queste informazioni non sono ovvie nel link al mirror, includerle nel seguente
documento. Per esempio, F-Droid mi sembra le esponga in modo molto facile.
### File Managers
[Amaze File Manager][]:
Semplice, Leggero ed Ergonomico, con supporto FTP
### Camera
[Open Camera][]:
Offre anche opzioni avanzate tra cui: esposizione, macro, focus manuale e gestione metadati
### Youtube
[NewPipe][]: Navigazione senza account. Download video/audio, Riproduzione in Background
## Risorse e link
https://fsfe.org/campaigns/android/android.html
https://f-droid.org
https://guardianproject.info
https://microg.org
http://repo.xposed.info
https://github.com/M66B/XPrivacy
https://brnmod.rocks
https://copperhead.co
http://www.replicant.us/
https://neo900.org/
http://maruos.com/
https://www.apkmirror.com/
http://lineageos.org/
http://paranoidandroid.co/
https://developers.google.com/android/
https://wiki.debian.org/AndroidTools
http://aokp.co/
https://slimroms.org/
http://opengapps.org/
https://copperhead.co/android/
# PROPOSTE e TODO
## file da stampa Pdf
### link inline per la versione da stampa
## Intermezzo: Come mi procuro un telefono furbo?
Ci sono considerazioni tecniche e considerazioni di tipo geopolitico.
Chiedi all'amica che già ce l'ha.
Fai caso che abbia 2GB di RAM e almeno 16 GB di memoria interna (o una SD)
Verifica che sia tra le [device supportate da LineageOS][]
### Un mantra
motorola SI, nexus SI, samsung no, htc NO, asus vecchi NO, huawei FORSE, shaomi FORSE.
## I cinque livelli dal punto di vista filosofico
Proposta: i livelli potrebbero essere nominati in modo mito-narrativo
* livello 0 Default - Il telefono così come è arrivato
* livello 1 Igiene - As is, ma cura ai settaggi per la privacy
* livello 2 Virtù - Con Google, ma si usano app alternative
* livello 3 Stoici - Senza Google, si usano solo app alternative
* livello 4 Sparta - Si usa una ROM alternativa e niente gapps
* livello 5 Grande yogurth - ROM alternativa e con gapps usate con consapevolezza
aggiungere:
* cosa è f-droid
* cosa è un telefonino
* la filiera: i middle man (costruttore telefonino, costruttore OS, rivenditore e ISP, SIM --brand)
* il discorso bring your own device
* i consigli per gli acquisti
* il riciclo
* numero come IDentificativo (la conseguente difficoltà nella MNP)
[Amaze File Manager]:https://f-droid.org/packages/com.amaze.filemanager/
[Open Camera]:https://f-droid.org/packages/net.sourceforge.opencamera/
[NewPipe]:https://f-droid.org/packages/org.schabi.newpipe/
[pagina privacy di Google]:http://www.google.it/policies/privacy/
[myactivity di Google]:https://myactivity.google.com
[eliminazione delle nostre attività registrate]:https://myactivity.google.com/delete-activity
[settaggi di registrazione delle nostre attività]:https://myaccount.google.com/activitycontrols
[cronologia degli spostamenti]:https://www.google.it/maps/timeline?hl=it&pb
[contratto implicito]:http://static.googleusercontent.com/media/www.google.co.in/en/in/intl/it/policies/privacy/google_privacy_policy_it.pdf
[gestione dei dispositivi]:https://myactivity.google.com/page?page=devices&utm_source=my-activity
[prendere atto dei dispositivi collegati]:https://myaccount.google.com/device-activity
[gestire il collegamento del nostro account a siti e app]:https://myaccount.google.com/security#connectedapps
[AquaMail]:https://play.google.com/store/apps/details?id=org.kman.AquaMail&hl=it
[K9]:https://play.google.com/store/apps/details?id=com.fsck.k9&hl=it
[adb]:https://developer.android.com/studio/command-line/adb.html
[f-droid]:https://f-droid.org/
[device supportate da LineageOS]:https://wiki.lineageos.org/devices/
[LineageOS]:http://lineageos.org
Loading…
Cancel
Save