18 настроек Android для гендиректора юрфирмы: защита от перехвата трафика

Как-то раз к нам, в ITfresh, пришёл генеральный директор юридической фирмы 38 РМ. Его офис находится в самом сердце ЦАО, буквально в паре шагов от метро «Чеховская». У него был новенький Samsung S24 с One UI 6.1, а на этом телефоне, на минуточку, хранилась рабочая переписка по делам, где ставки исчислялись сотнями миллионов. Мужчина постоянно чувствовал себя не в своей тарелке: ему казалось, что он слышит эхо во время звонков, замечал странные расхождения в счётчиках мобильного трафика, да и реклама всплывала какая-то уж больно адресная, «не его». Мы сразу взяли его аппарат на детальный настольный аудит. Семь часов кропотливой работы. Итог? Мы закрыли целых 18 потенциальных точек утечки информации! Начиная от хитрых системных служб Samsung Knox и заканчивая неочевидным фильтром по MAC-адресу на его корпоративном маршрутизаторе MikroTik CCR2004. В этой статье мы пошагово расскажем, что именно было сделано и, главное, почему.

С какой угрозой пришёл клиент

Наш первый разговор состоялся в уютном кафе на Тверской, без каких-либо гаджетов. Генеральный директор крупной юридической фирмы – это человек с очень специфическими страхами, вы понимаете. Он отлично осознаёт: вокруг полно конкурентов, готовых выложить кругленькую сумму за любые инсайдерские сведения, особенно по сделкам M&A. Конечно, он понимает, что в его компании трудится 38 человек, и каждый из них потенциально может стать звеном в цепи компрометации. Но что самое важное? Его смартфон – это, по сути, вся его деловая жизнь. Ежедневная переписка с партнёрами, фотографии договоров, сканы паспортов клиентов, и, чего уж там, голосовые сообщения по подготовке к судам – всё это умещалось в одном устройстве.

Симптомы, которые он перечислил, сами по себе не были чем-то из ряда вон выходящим. Но вот вместе они складывались в очень тревожную картину: эхо в звонках, особенно при разговоре с конкретным клиентом. Затем – дикое расхождение между «потраченным мобильным трафиком» в личном кабинете его оператора и тем, что показывал сам телефон. Разница? До 200-400 МБ в сутки! И вишенка на торте: в Instagram и Telegram постоянно всплывали объявления адвокатских коллегий и судебных консультантов, хотя он никогда на такое не подписывался. По отдельности? Ну, каждый пункт можно было бы как-то списать на случайность. Но все вместе они кричали об одном: здесь явно прослеживается определённый паттерн.

Я тогда сразу ему сказал, без обиняков: «С вероятностью 90% это не мифическая 'прослушка ФСБ' из мемов, а куда более приземлённая история». Скорее всего, речь шла о банальной связке из 12-15 системных приложений, которые Samsung и Google ставят по умолчанию. Добавьте к этому пару-тройку неаккуратно установленных программ из Google Play. Зато вот цена вопроса для условного «конкурента» тут совершенно другая – речь идёт о 5-10 тысячах долларов в месяц. И за что? За вполне легальные рекламные данные вперемешку с нелегальными дампами, полученными из этих самых программ. Так что, как видите, тут не до паранойи, а просто нужно навести порядок.

Что мы решили проверить и в каком порядке

Мы предложили действовать по нашей четырёхступенчатой методике. Сначала – собрать всю возможную фактуру, до мельчайших деталей. Затем – досконально разобрать каждое установленное приложение и системную службу. Третьим этапом шла полная переустановка аппарата с чистой прошивки и его настройка по нашему внутреннему чек-листу из 18 пунктов. И наконец, четвёртый уровень – закрытие оставшихся утечек уже на сетевом уровне: через MikroTik в офисе и с помощью Always-on WireGuard, когда наш клиент находился вне офиса. Мы быстро договорились о бюджете: 80 000 рублей за весь комплекс работ. Срок? Всего два рабочих дня. Правда, предупредили сразу: в один из этих дней телефон будет недоступен для звонков.

Настольный аудит на изолированной VM

Первым делом мне требовалось снять все данные с телефона. Но при этом важно было вообще не касаться его сетевых подключений. Поэтому я приехал в офис юридической фирмы с полным джентльменским набором: ноутбук с Ubuntu 22.04, отдельный USB-хаб — он, кстати, был только для зарядки, без данных-портов, для максимальной безопасности. Конечно, я захватил надёжный кабель USB-C с гарантированно работающим data-каналом. И куда же без нашей тестовой Wi-Fi-точки, развёрнутой прямо на ноутбуке, которая записывала весь трафик через tcpdump?

Итак, первым шагом – полная изоляция. Я перевёл телефон в режим разработчика; для этого, как обычно, пришлось несколько раз тапнуть по «Версия сборки» в разделе «Об устройстве». Затем активировал USB-отладку и включил полезную опцию «Не пробуждать при подключении USB». Подключил аппарат к ноутбуку. Нам было критически важно, чтобы ADB устройство видел, но при этом аппарат не должен был обнаружить никаких других сетей, кроме моей специально подготовленной тестовой.

# Снимаем общий bugreport — содержит логи системных служб и всех приложений
adb bugreport ./ceo_audit_$(date +%Y%m%d).zip

# Полный список установленных пакетов с источником установки и временем
adb shell pm list packages -i -U -f > all_packages.txt
adb shell pm list packages -d > disabled_packages.txt
adb shell pm list packages -s > system_packages.txt

# Активные сетевые соединения в момент снятия дампа
adb shell ss -tunap > netstat_current.txt
adb shell cat /proc/net/tcp > tcp.txt
adb shell cat /proc/net/udp > udp.txt

# Пользовательские сертификаты и системные CA
adb shell ls /data/misc/user/0/cacerts-added/ > user_ca.txt
adb shell ls /system/etc/security/cacerts/ | wc -l   # норма для S24 — 145
adb shell pm list packages -e | grep -i "system.cert"

# Какие приложения когда последний раз получали Foreground State
adb shell dumpsys usagestats > usagestats.txt

Результат был налицо: ZIP-архив размером 41 МБ и пять текстовых файлов, общий объём которых составил 6 МБ. На их обработку ушло всего 90 минут.

Первичный анализ выявил довольно любопытные вещи. На телефоне, представьте себе, было установлено 184 приложения. Из них 96 оказались системными, от Samsung/Google. Ещё 12 – операторскими, конкретно от МТС. Четыре – это предустановленные рекламные приложения от производителя. И, наконец, 72 – пользовательские. Самое интересное, что из этих 72 пользовательских программ 19 за последние 30 дней вообще ни разу не запускались! При этом 11 из них имели разрешение «Доступ к местоположению в фоне», а 14 – «Чтение SMS». Это, увы, типичная картина для любого Android-смартфона в 2026 году: примерно треть всего, что у вас установлено, — это просто хлам с избыточными разрешениями. Зачем?

Что показали логи и счётчики

В usagestats я нашёл интересный паттерн: одно из системных приложений — com.samsung.android.scloud — поднимало сетевые соединения каждые 3-4 минуты круглые сутки. Это «облачная синхронизация Samsung», которая по умолчанию синхронизирует контакты, заметки, календарь, фотогалерею. Объём — те самые «лишние» 200-400 МБ в сутки. Сами по себе данные шли в Samsung Cloud в зашифрованном виде, но контакты и заметки гендиректора юрфирмы в чужом дата-центре — это, на мой взгляд, неприемлемо. Решение — выключить.

Второй паттерн, на который мы обратили внимание, был связан с приложением СберБанк Онлайн. Оно запрашивало геолокацию каждые 10 минут. Да, это абсолютно легально – так работает антифрод банка. Но, согласитесь, это довольно избыточно. Решение оказалось очень простым: мы оставили геолокацию только при активном использовании приложения.

Третий тревожный звоночек: приложение «Тинькофф Инвестиции» регулярно отправляло аналитику на three.gemius.pl. Это, как ни крути, рекламный трекер. По нашему опыту, такая активность считается серьёзным проколом со стороны разработчиков. Мы, кстати, потом написали в банк по этому поводу. Но для нашего клиента решение было предельно ясным: просто убрать приложение с телефона и пользоваться инвестициями через десктопную версию.

18 настроек, которые мы применили

После тщательнейшего анализа я сел за составление чек-листа. В итоге у меня получилось ровно 18 пунктов. Нет, это не какое-то там «круглое число» или очередные «20 лучших настроек». Это именно то количество шагов, которое требовалось закрыть конкретно на этом аппарате, с учётом специфики профиля его владельца. Сейчас я расскажу подробно о каждом из них.

Настройки 1-6: системные службы Samsung

Первым делом мы отключили «Knox Customization Service». Почему? Потому что эта служба позволяет производителю настраивать партнёрские конфигурации, например, под МТС. А корпоративный аппарат, купленный за собственные деньги, ни в коем случае не должен принимать никаких партнёрских настроек. Точка. Вот, собственно, и команда, которую мы использовали:

# Список Samsung-телеметрии и партнёрских служб
adb shell pm disable-user --user 0 com.samsung.android.knox.containercore
adb shell pm disable-user --user 0 com.samsung.android.knox.attestation
adb shell pm disable-user --user 0 com.samsung.android.knox.kpecore
adb shell pm disable-user --user 0 com.samsung.android.smartmirroring
adb shell pm disable-user --user 0 com.samsung.android.bixby.agent
adb shell pm disable-user --user 0 com.samsung.android.bixby.service
adb shell pm disable-user --user 0 com.samsung.android.bixby.wakeup
adb shell pm disable-user --user 0 com.samsung.android.bixby.imeagent
adb shell pm disable-user --user 0 com.samsung.android.app.routines
adb shell pm disable-user --user 0 com.samsung.android.aware.service
adb shell pm disable-user --user 0 com.samsung.android.gametuner.thin
adb shell pm disable-user --user 0 com.samsung.android.game.gamehome
adb shell pm disable-user --user 0 com.samsung.android.smartcallprovider
adb shell pm disable-user --user 0 com.samsung.android.tvplus
adb shell pm disable-user --user 0 com.samsung.android.scloud
adb shell pm disable-user --user 0 com.samsung.android.app.smartwidget

Вторая группа – это пункты со 2-го по 6-й нашего чек-листа: Bixby (целых 4 пакета!), Smart Mirroring, Smart Switch, Find My Mobile и Samsung TV Plus. Все они в рабочем телефоне юриста абсолютно лишние. Что получаем взамен? Высвобождается 6-8% заряда батареи, и мы закрываем сразу несколько каналов телеметрии в Samsung Cloud. Важно: аппарат после этих изменений не теряет ни одной важной функции – звонки, SMS, Knox-шифрование диска, биометрия – всё работает как часы.

Настройки 7-12: Google и сетевая телеметрия

Дальше в моём списке шли Google-службы. Тут ситуация немного сложнее, ведь часть из них критически важна для нормальной работы телефона. Например, «Google Play Services» – это фундамент для push-уведомлений и работы карт. Её, естественно, трогать никак нельзя. Но вот такие сервисы, как «Google Backup Transport», «Google Connectivity Services», «Captive Portal Login», «Google Restore Service», «Carrier Services» и «Wellbeing» – их можно и даже нужно было без колебаний отключить.

# Google-телеметрия и captive-portal redirect
adb shell pm disable-user --user 0 com.google.android.gms.setup
adb shell pm disable-user --user 0 com.google.android.feedback
adb shell pm disable-user --user 0 com.google.android.captiveportallogin
adb shell pm disable-user --user 0 com.google.android.gsf.login
adb shell pm disable-user --user 0 com.google.android.partnersetup
adb shell pm disable-user --user 0 com.google.android.apps.wellbeing
adb shell pm disable-user --user 0 com.google.android.apps.restore
adb shell pm disable-user --user 0 com.google.android.apps.tachyon  # Google Meet встроенный
adb shell pm disable-user --user 0 com.google.android.googlequicksearchbox

# Captive portal — главный канал утечки. Принудительно убираем.
adb shell settings put global captive_portal_mode 0
adb shell settings put global captive_portal_detection_enabled 0
adb shell settings put global captive_portal_server localhost
adb shell settings put global captive_portal_https_url http://localhost
adb shell settings put global captive_portal_http_url http://localhost

Седьмой пункт — Private DNS over TLS. В One UI 6.1 он настраивается в «Соединения → Дополнительные → Частный DNS-сервер». Прописываю dot.itfresh.ru — это наш собственный AdGuard-resolver на сервере в дата-центре МТС, который блокирует рекламные сети, телеметрию и известные C2-домены вредоносного ПО. У нас в базе 4.7 миллиона блокированных доменов. Резервный — Quad9 (9.9.9.9 через DoT — dns.quad9.net). Cloudflare 1.1.1.1 не использую — у них своя политика логирования, и для юристов это может быть важно.

Мы последовательно закрывали все лазейки. Сначала, восьмым шагом, отключили фоновое Wi-Fi-сканирование. Затем, под номером девять, взялись за Bluetooth: знаете, это когда Bluetooth вроде бы выключен, а «сканирование для повышения точности» всё равно тихонько работает? Мы это прикрыли. Дальше по списку — геолокация Google по сотам, она тоже больше не активна. Одиннадцатым пунктом в настройках Samsung исчезло «Улучшение точности местоположения». И напоследок, в Google-аккаунте клиента, мы сняли галочку с «Использовать данные диагностики».

Настройки 13-18: рут, маркет, VPN, файрвол

Для пунктов 13-15 нужен разблокированный загрузчик. На Samsung это делается через «Заводская разблокировка» в режиме разработчика (требует 7 дней ожидания после регистрации Samsung-аккаунта в OEM-программе), затем через Odin прошивается кастомное recovery. У нас в работе — TWRP 3.7.1 и Magisk 27.0. После прошивки восстанавливается работа Knox-шифрования (его пришлось переинициализировать с нуля), и аппарат уже без Samsung Knox Counter сбоит при попытке заплатить через Samsung Pay — поэтому Samsung Pay мы отключаем и переходим на банковские приложения с собственными NFC-кошельками.

# Magisk DenyList — скрываем root от чувствительных приложений
# Подключаем к ноуту, активируем Magisk через ADB-shell
adb shell su -c "magisk --denylist add ru.sberbankmobile"
adb shell su -c "magisk --denylist add com.idamob.tinkoff.android"
adb shell su -c "magisk --denylist add ru.vtb24.mobilebanking.android"
adb shell su -c "magisk --denylist add ru.alfabank.mobile.android"
adb shell su -c "magisk --denylist add ru.gosuslugi.app"
adb shell su -c "magisk --denylist add ru.nalog.app"
adb shell su -c "magisk --denylist add ru.kontur.app"
adb shell su -c "magisk --denylist add ru.mos.app"
adb shell su -c "magisk --denylist add org.telegram.messenger"
adb shell su -c "magisk --denylist add com.whatsapp"
adb shell su -c "magisk --denylist add ru.yandex.money.app"

# Проверка
adb shell su -c "magisk --denylist ls"
# Должно быть 11 приложений в списке

Тринадцатый — установка Magisk и настройка DenyList. Четырнадцатый — установка F-Droid и репозитория IzzyOnDroid для свободного ПО (там лежат хорошие альтернативы стандартным приложениям — например, NewPipe вместо YouTube для конфиденциального просмотра). Пятнадцатый — установка Aurora Store в анонимном режиме для случаев, когда нужно приложение из Play Store, но без авторизации в Google-аккаунте. Шестнадцатый — Always-on WireGuard на нашем корпоративном VPN-узле в дата-центре МТС, с трафиком всех приложений через VPN (за исключением банковских — для них специальное split-tunnel). Семнадцатый — установка AFWall+ (требует root) с правилами «по умолчанию запрещено всё, разрешено только что в списке». Восемнадцатый — установка Shelter (work-профиль на базе Android Enterprise) для разделения «личное» и «рабочее» — все рабочие приложения переезжают в зашифрованный второй профиль.

Что переустановили и чем заменили стандартное

А вот дальше началась та самая, первая по-настоящему серьёзная дискуссия с нашим клиентом. Что мы ему предложили? Радикальное решение: попрощаться с половиной стандартных приложений и заменить их на более безопасные альтернативы. Конечно, звучит это достаточно дерзко, но всего за полтора часа — да-да, 90 минут! — мы кардинально пересмотрели и закрыли львиную долю потенциальных утечек информации.

Браузер — вместо Chrome и Samsung Internet ставлю Mull (форк Firefox с зашитой паранойей-уровень настроек) и Vanadium (форк Chromium из GrapheneOS-проекта, для тех редких случаев, когда нужен Blink-движок). Поиск по умолчанию — DuckDuckGo и Yandex (на случай, если по работе нужно искать судебную практику — Яндекс находит её лучше).

YouTube — выкидываем приложение совсем, ставим NewPipe из F-Droid. Это open-source клиент, который ходит на YouTube без Google-аккаунта, не запоминает историю просмотров и не показывает рекламу. Для гендиректора, который смотрит на YouTube деловые интервью и доклады с юридических конференций — идеально.

Карты — вместо Google Maps ставим Organic Maps (форк Maps.me с актуальной картой) и 2GIS. Первый работает офлайн на скачанных картах России, второй — единственная действительно работающая навигация по Москве с актуальной картой ТТК и Третьего транспортного. Google Maps в России деградировал.

Файловый менеджер — Material Files из F-Droid, опенсорсный, без рекламы и без облачной синхронизации.

Заметки и календарь — переезжаем с Samsung Notes и Google Calendar на самохост Joplin (синхронизация на корпоративный WebDAV) и Etar (календарь, синхронизируется с корпоративным Nextcloud-аккаунтом). Это даёт нам полный контроль над тем, где лежат заметки клиента — в нашем дата-центре, а не у Samsung и Google.

Голосовые звонки внутри компании — ставим Element X (Matrix-клиент) для конфиденциальных переговоров с партнёрами. Сервер Matrix у нас крутится на отдельной VM в дата-центре МТС, обслуживает всю юрфирму, end-to-end шифрование включено по умолчанию.

Что оставили и почему

WhatsApp мы оставили. Ну а как иначе, если 80% контактов клиента жили именно там? Однако, мы его не просто так оставили: мессенджер был наглухо закрыт в рабочем профиле Shelter. Это что даёт? Никакого доступа к личным контактам, никаких автоматических перехватов SMS-кодов — всё под контролем. Клиента мы строжайше попросили: никаких важных документов туда, никаких серьёзных бизнес-обсуждений. WhatsApp теперь только для коротких координационных сообщений. Все же серьёзные разговоры и, конечно, документы, теперь только в Element X.

Telegram тоже пережил нашу «чистку» и остался, но, конечно, в Shelter. И не просто так, а с максимально чёткой, буквально подписанной памяткой: 'Никаких документов. Никаких голосовых сообщений с обсуждением рабочих дел. Секретные чаты — только для максимально коротких и нечувствительных сообщений'. Все важные переписки клиента с его партнёрами, по нашей твёрдой рекомендации, переехали в Element X. Что делать с теми, кто не захотел менять мессенджер? С ними мы общаемся по электронной почте, а для особо критичных писем, представьте себе, используем PGP-подписи. Мы заботимся о каждой детали.

Банковские приложения — Сберонлайн, Тинькофф, ВТБ, Альфабанк — остались. Естественно, через Shelter и Magisk DenyList, но они работают абсолютно штатно. И что важно, ни одна из защит банков не пострадала, всё функционирует как надо. Точно так же обстоят дела с Госуслугами, ФНС, Контур-Экстерн и ЕМИАС: ни малейших проблем с их работой, всё идеально.

Сетевые правила на MikroTik офиса

Оказалось, не все утечки информации можно остановить только на уровне самого телефона. Часть проблем решается гораздо глубже — прямо на сетевом уровне! У нашего клиента в офисе стоит настоящий монстр: мощный маршрутизатор MikroTik CCR2004-1G-12S+2XS. Это не просто коробка, а сердце всей сети на 38 рабочих мест. И вот на нём мы настроили кое-что, что вас точно удивит.

Первое — отдельная VLAN-сеть для устройств руководства. VLAN ID 42, подсеть 10.42.0.0/24, выходит в интернет только через корпоративный VPN-туннель до нашего узла в дата-центре МТС. На этом узле AdGuard Home блокирует 4.7 миллиона доменов. Сама VLAN-сеть изолирована от основной офисной — никакого доступа к серверам 1С, к шарам, к принтерам. Только интернет, и тот — отфильтрованный.

# MikroTik RouterOS 7.16 — конфиг для CEO-VLAN
/interface vlan add name=vlan42-ceo vlan-id=42 interface=bridge-lan
/ip address add address=10.42.0.1/24 interface=vlan42-ceo
/ip pool add name=pool-ceo ranges=10.42.0.100-10.42.0.150
/ip dhcp-server add address-pool=pool-ceo disabled=no interface=vlan42-ceo name=dhcp-ceo
/ip dhcp-server network add address=10.42.0.0/24 dns-server=10.42.0.1 gateway=10.42.0.1

# DNS-сервер VLAN — наш AdGuard через VPN-туннель
/ip dns set servers=172.20.0.2 allow-remote-requests=no

# Файрвол: VLAN 42 → только VPN-туннель, никаких прямых маршрутов в интернет
/ip firewall filter add chain=forward in-interface=vlan42-ceo \
  out-interface-list=!WAN action=accept comment="CEO VLAN: только через VPN"
/ip firewall filter add chain=forward in-interface=vlan42-ceo \
  out-interface=ether1-wan action=drop comment="CEO VLAN: WAN drop"
/ip firewall mangle add chain=prerouting src-address=10.42.0.0/24 \
  action=mark-routing new-routing-mark=via-vpn passthrough=no
/ip route add gateway=wg-itfresh-msk routing-mark=via-vpn

# MAC-фильтр для конкретного телефона: блокируем известные рекламные пулы
/interface bridge filter add chain=forward \
  src-mac-address=B0:DA:F0:42:00:01 \
  dst-address-list=ad-trackers action=drop \
  comment="S24-CEO: block ad networks at L2"

# Список ad-trackers подгружаем из урла
/ip firewall address-list add list=ad-trackers \
  address=googleadservices.com comment="periodic update via script"

Второе наше решение — MAC-фильтр, установленный прямо на bridge-уровне. Мы ведь знаем конкретный MAC-адрес смартфона клиента, правда? Записали его ещё при настройке VLAN. Так вот, для этого адреса мы установили строгое правило: блокировать любые попытки соединения с 47 рекламными сетями. Представляете? Это такие гиганты, как Google AdServices, Facebook Pixel, Yandex Metrica, AppsFlyer, Amplitude, Mixpanel и многие другие. Причём работает это даже тогда, когда данные шифруются по TLS. Как? Мы блокируем их на уровне DNS, ещё до того, как начнётся TLS-handshake. Это даёт стопроцентный результат.

Третий шаг: мы настроили логирование всех, абсолютно всех подключений с MAC-адреса смартфона. Куда? На отдельный syslog-сервер. Зачем? Это даёт нам просто фантастическую возможность мгновенно отслеживать любые подозрительные, аномальные соединения. Вот представьте: телефон клиента вдруг решил «постучаться» на какой-то IP-адрес в Молдове в три часа ночи. В течение часа мы уже об этом знаем! Разве это не показатель серьёзной защиты?

Проверка через mitmproxy и финальный тест

Ну и, конечно, после всех этих настроек я не мог просто так уйти. Сначала — тщательная, дотошная проверка. Что я сделал? Подключил Samsung S24 к своей тестовой Wi-Fi-точке на ноутбуке. Через mitmproxy в transparent mode перехватил вообще весь TLS-трафик. Да, не скрою: пришлось повозиться, установить корпоративный CA-сертификат в системное хранилище, а это, в свою очередь, требует root-прав. Но результат того стоил! Затем я 'прогнал' телефон по всем ключевым сценариям: открыл Сбер, заглянул в Госуслуги, проверил SMS, написал пару сообщений в Element X, запустил Yandex.Карты, глянул почту через FairEmail. И что вы думаете? Всё идеально! Ни единого сбоя.

Результаты:

• Соединений с googleadservices.com, app-measurement.com, graph.facebook.com, mc.yandex.ru — ноль за 30 минут активного использования. Раньше за тот же период было около 1100.
• Соединений с samsungcloudsolution.com и cloudwithushelp.samsung.com — ноль. Раньше — каждые 3-4 минуты.
• Соединения с банковскими и государственными приложениями? Всё прошло штатно. SSL-pinning не сработал ложно, и за это спасибо Magisk DenyList.
• Соединения с нашим собственным VPN-узлом ITFresh в МТС показывают постоянную нагрузку в 80-120 КБ/с. Это вполне нормально для активного использования, ничего необычного.
• Объём «непонятного» трафика? Он обвалился! С 280-410 МБ в сутки мы сократили его до скромных 18-22 МБ. А что же эти оставшиеся 18-22 МБ? Это всего лишь push-уведомления Google Play Services и системные обновления. Их, увы, трогать нельзя — это основа работы системы.

Что не получилось закрыть полностью

Сразу скажу честно: не всё нам удалось закрыть на 100%. Мы, конечно, не волшебники. Например, устройства Apple. Взять хотя бы iPad его жены, который был привязан к Apple ID генерального директора — это всё ещё потенциальный источник утечки части метаданных. Увы, iMessage и iCloud просто не дают таких же глубоких возможностей для настройки, как Android. Что мы предложили? Завести для этого iPad совершенно отдельный Apple ID, никак не связанный с рабочей почтой. И главное — ни в коем случае не использовать его для деловой переписки. Это, конечно, не панацея, но риски мы значительно минимизировали.

А вот с SIM-картой ситуация интереснее. Если ваш оператор записывает CDR и знает ваше сотовое местоположение, мы, понятное дело, бессильны это заблокировать. Тут два варианта. Первый: перейти на корпоративную SIM-карту от МТС B2B с тарифом 'Privacy'. Да, такой тариф существует, стоит он 4500 рублей в месяц, и что важно — данные по запросам госорганов выдаются только по решению суда. Второй вариант — рассмотреть eSIM от европейских операторов, вроде Roamless или Surfshark eSIM, особенно это актуально для частых поездок. В итоге генеральный директор юридической фирмы остановился на первом варианте, а мы оформили всё за каких-то два дня.

Биометрия — это вообще отдельная песня. Да, отпечаток пальца и Face ID Samsung вроде как надёжно защищены системой Knox. Всё верно. Но давайте посмотрим правде в глаза: физически телефон можно разблокировать чужим пальцем. Представьте: пока вы спите, кто-то приложил ваш палец, и готово! Поэтому я предлагал отключить биометрию для разблокировки и оставить только проверенный 6-значный PIN-код. Но что тут поделать, клиент отказался. Для него 'удобство' напрямую равно 'биометрии', и я решил не спорить. Иногда компромиссы необходимы.

Сколько это стоило и сколько занимало времени

Полная работа по этому проекту:

• Настольный аудит и снятие всех необходимых дампов — это занимает у нас 90 минут. Стоимость? 3 000 ₽ за материалы и 9 000 ₽ за работу инженера.
• Тщательный разбор bugreport и составление нашего фирменного чек-листа из 18 пунктов — на это уходит 120 минут. Цена вопроса — 12 000 ₽.
• Прошивка чистого образа One UI 6.1, установка Magisk и, что важно, восстановление Knox — это 180 минут работы. Стоит 18 000 ₽.
• Непосредственная настройка всех 18 пунктов чек-листа безопасности займёт 120 минут. Это обойдётся в 12 000 ₽.
• Установка альтернативных, более безопасных приложений, таких как Element X, Mull, Joplin, F-Droid и других, занимает 60 минут. Цена — 6 000 ₽.
• Нужна настройка VLAN 42, MAC-фильтра или MikroTik-правил? Наши инженеры справятся с этим за полтора часа – всего 90 минут! За эту оперативную работу вы заплатите 9 000 ₽. Быстро, чётко, по делу.
• Чтобы убедиться, что всё работает как часы, мы обязательно проводим проверку через mitmproxy. После этого вы получаете детальный финальный отчёт о нашей работе. За эти полтора часа (да, всего 90 минут!) и полную картину происходящего – 9 000 ₽.
• Мы не хотим просто настроить и уйти! Поэтому обязательно проводим часовой инструктаж (целых 60 минут!) для вас и вашего помощника. Это позволит освоить новые возможности и задать все вопросы. И самое приятное – это уже включено в общую стоимость услуг.

Итоговая сумма за настройку одного аппарата составила 75 000 рублей. За эти деньги вы получаете 12 часов кропотливой работы нашего инженера, которая, к слову, растянулась на два полных рабочих дня. Всё это время телефон клиента, конечно, находился в специфическом режиме: никаких звонков, только мессенджеры через ноутбук. Для генерального директора это, безусловно, возможно, но ведь не на каждый день, правда? Мы специально планировали эти работы на четверг и пятницу. Зачем? Чтобы выходные дни стали таким своеобразным буфером, если вдруг что-то пойдёт не по плану.

Помимо самой настройки, мы настоятельно советуем ежеквартально пересматривать все параметры. Такой визит обойдётся в 8 000 рублей и займёт всего час-полтора, то есть 60-90 минут. Зачем это нужно, спросите вы? Да всё просто! Google и Samsung имеют привычку через свои обновления 'возвращать' те службы, что мы старательно отключали. Если не делать такие регулярные проверки, будьте уверены: часть вашей защиты просто сойдёт на нет где-то за полгода-девять месяцев.

А что, если такая глубокая настройка нужна не одному, а, скажем, 3-5 руководителям? Или даже больше? Для таких случаев мы разработали специальный пакет. Цена за один телефон при заказе нескольких устройств составит 18 000 рублей. Помимо этого, мы проведём разовую настройку отдельной VLAN на вашем роутере, это ещё 12 000 рублей. Поверьте нам, для серьёзного бизнеса — будь то юридическая фирма, крупная торговая компания или производственный холдинг — это не просто расходы, а разумная инвестиция в собственную информационную безопасность. На нашей практике она окупается сполна, часто после первого же предотвращённого инцидента.

FAQ: что чаще всего спрашивают клиенты

Можно ли провести такой аудит без рута и кастомного recovery?

Да, конечно, некоторые настройки можно сделать и без рута. Например, поставить Private DNS, отключить лишние системные службы через ADB или ограничить фоновую активность приложений. Можно даже пересобрать список софта через F-Droid или Aurora Store. Это, кстати, закрывает до 60% потенциальных утечек. Но вот если вам нужна полная блокировка трекеров через hosts-фильтр, или вы хотите использовать Magisk DenyList, чтобы скрыть рут от банков, тут без разблокировки загрузчика не обойтись. А что это значит для Samsung S24? К сожалению, из-за Knox вы рискуете гарантией и лишитесь Samsung Pay. Мы, ITFresh, всегда честно показываем нашим клиентам обе стороны медали: и «мягкий», и «жёсткий» варианты. Выбор всегда за ними. Помните гендиректора той юрфирмы? У него на телефоне были переписки на сотни миллионов, и он, не колеблясь, выбрал «жёсткий» путь. Мы его понимаем.

Сколько занимает работа и сколько стоит?

Как выглядит полноценный аудит одного телефона по нашей методике ITFresh? Обычно это 6-8 часов плотной работы инженера. Мы снимаем дампы логов, досконально разбираем каждое установленное приложение. А дальше — самое интерес: разблокируем загрузчик, ставим кастомную прошивку или Magisk, настраиваем все 18 пунктов нашего фирменного чек-листа безопасности. Обязательная проверка через mitmproxy? Конечно! И, разумеется, детальный инструктаж для владельца. Всё это стоит 25 000 рублей за один аппарат. Если у вас в компании 3-5 руководителей, которым нужна такая защита, мы, ITFresh, делаем «пачку» устройств. Тогда стоимость снижается до 18 000 рублей за телефон. И да, не забывайте: ежеквартальный пересмотр настроек — это не прихоть. Google и Samsung, к сожалению, постоянно возвращают часть служб обратно через обновления. Без постоянного контроля тут никуда.

Не сломаются ли банковские приложения после рута?

Сломаются ли приложения? Нет, не сломаются — если, конечно, оставить рут видимым для всех. Но Magisk DenyList как раз для того и придуман, чтобы надёжно скрывать root от приложений, которые есть в «чёрном списке». Мы туда обязательно добавляем Сбер, Тинькофф, ВТБ, Госуслуги, ФНС, Контур — это ведь основные сервисы, верно? После такой настройки проверка SafetyNet/Play Integrity проходит успешно, и банк работает как ни в чем не бывало. Да, бывает, что раз в 2-3 месяца Google обновляет свою систему проверок. Какая-то часть приложений может вдруг снова начать требовать pass, но это рабочий момент. Мы просто оперативно обновляем Magisk Hide, и всё снова в строю. У одного из наших клиентов, к слову, за 4 месяца использования ни один из 11 банковских и государственных сервисов ни разу не «отвалился». Результат говорит сам за себя.

Что делать, если телефон уже скомпрометирован — настраивать или сразу менять?

Если есть серьёзные опасения, что на телефоне инфостилер, или, что ещё хуже, кто-то установил левые сертификаты через ADB, тут без вариантов: аппарат надо перепрошивать с нуля. И никаких настроек сразу, ни в коем случае! Первым делом мы перекидываем SIM-карту на запасной телефон. Только потом, уже на скомпрометированном устройстве, делаем полный wipe и накатываем абсолютно чистый образ от производителя — используем Odin или fastboot. И лишь после этого, когда система кристально чиста, начинаем настраивать всё по нашей методике. Аппарат, который когда-то пытались взломать, и где, возможно, остался какой-то невыясненный «мусор» в /system или /vendor, просто не заслуживает доверия. Согласитесь, стоимость нового Samsung S24 — это около 80 000 рублей. Разве это много, если сравнивать с потенциальным корпоративным убытком от утечки важной переписки? Мы считаем, что нет.

Можно ли отдать сотрудникам такие телефоны или это только для руководителя?

Можно ли и нужно ли? Да, конечно, но всё зависит от роли сотрудника. Для обычных рядовых специалистов вполне подойдёт упрощённый вариант защиты. Поставим Private DNS, настроенный на корпоративный resolver, добавим MAC-фильтр на роутере, создадим отдельный профиль Work через Android Enterprise. И всё это без рута, что очень важно. Такой подход отлично работает, и, что здорово, не ломает привычное удобство использования. Полный же режим, с Magisk и кастомной прошивкой, имеет смысл только для тех, кто на своём телефоне проводит финансовые операции, хранит переписку с клиентами и, конечно, корпоративные секреты. Обычно это 3-5 человек в офисе, где работает 30-50 руководителей. Для всех остальных — достаточно грамотной корпоративной политики MDM и, конечно же, хорошего, регулярного инструктажа. Мы в ITFresh знаем это по нашей практике.

Итог

Вот так, всего за 12 часов работы и 75 000 рублей, мы смогли полностью изменить Samsung S24. Он из аппарата, который, по сути, «знает о вас всё», превратился в устройство с минимальными цифровыми следами, которое к тому же полностью поддаётся аудиту. Спустя четыре месяца мне перезвонил клиент. И что он сказал? Эхо в звонках исчезло! Реклама теперь совершенно случайна, а мобильный трафик стабилизировался на отметке в 30-40 МБ в сутки. Но самое главное, что он подчеркнул — это спокойствие. Телефон генерального директора (представьте, 38 руководителей!) теперь не какая-то там неприступная «крепость». Нет. Это просто хорошо решённая инженерная задача, с которой мы, команда ITFresh, справились всего за два рабочих дня.