18 настроек Android для гендиректора юрфирмы: защита от перехвата трафика

Однажды к нам в ITfresh обратился генеральный директор юридической фирмы 38 РМ из самого сердца ЦАО, неподалёку от станции метро «Чеховская». У него в кармане лежал Samsung S24 с One UI 6.1, а на этом телефоне, между прочим, хранилась переписка по делам, стоимость которых исчислялась сотнями миллионов. Человек жил с постоянным ощущением дискомфорта: ему казалось, что он слышит эхо в звонках, замечал странные несовпадения в счётчике мобильного трафика, да и реклама всплывала какая-то «не его». Мы взяли его аппарат на детальный настольный аудит, который занял у нас 7 часов. За это время мы закрыли целых 18 точек утечки информации, начиная от системных служб Samsung Knox и заканчивая хитрым фильтром по MAC-адресу на его корпоративном MikroTik CCR2004. В этом материале я собираюсь пошагово рассказать, что именно мы сделали и почему.

С какой угрозой пришёл клиент

Наш первый разговор с ним состоялся в уютном кафе на Тверской, без всякой техники. Генеральный директор юридической фирмы — это, знаете ли, человек со своими, очень конкретными страхами. Он прекрасно понимает, что вокруг полно конкурентов, готовых выложить кругленькую сумму за инсайдерскую информацию по сделкам M&A. И, конечно, он осознаёт, что в его компании трудятся 38 человек, и каждый из них потенциально может стать источником компрометации. Самое главное, что у него на смартфоне — ежедневная переписка с партнёрами, фотографии договоров, сканы паспортов клиентов, и, конечно, голосовые сообщения по подготовке к судам. Вся его деловая жизнь, по сути, умещалась в этом устройстве.

Симптомы, которые он мне перечислил, были довольно типичными, но в совокупности складывались в интересную картину: эхо в звонках, особенно когда он общался с одним конкретным клиентом, затем несовпадение между «потраченным мобильным трафиком» в личном кабинете оператора и в системных настройках телефона — разница доходила до 200-400 МБ в сутки! И, вишенка на торте, постоянно всплывающие в Instagram и Telegram объявления адвокатских коллегий и судебных консультантов, на которые он, конечно, никогда не подписывался. По отдельности, каждый из этих пунктов можно было бы как-то объяснить. Но все вместе они чётко указывали на определённый паттерн.

Я ему тогда прямо сказал: «С вероятностью 90% это не 'прослушка ФСБ' из тех самых мемов, а куда более прозаичная история». Скорее всего, это банальная связка из 12-15 системных приложений, которые Samsung и Google ставят по умолчанию, плюс пара-тройка неаккуратно установленных программ из Play. Зато цена вопроса для условного «конкурента» тут совершенно другая — 5-10 тысяч долларов в месяц. И это за легальные рекламные данные и нелегальные дампы с этих самых программ. Так что решение здесь не в том, чтобы удариться в паранойю, а просто навести порядок.

Что мы решили проверить и в каком порядке

Я предложил ему действовать по методике из четырёх уровней. Сначала — собрать всю фактуру, всё, что есть. Потом — разобрать по полочкам каждое установленное приложение и системную службу. Третий этап — это полная переустановка аппарата с чистой прошивки и его настройка по нашему чек-листу из 18 пунктов. И наконец, четвёртый уровень — закрыть оставшиеся утечки уже на сетевом уровне: через MikroTik в офисе и через Always-on WireGuard, когда он находится вне офиса. Мы договорились о бюджете в 80 000 рублей за весь комплекс работ, со сроком выполнения в два рабочих дня. При этом, в один из этих дней телефон будет недоступен для звонков.

Настольный аудит на изолированной VM

Первым делом мне нужно было снять все данные с телефона, при этом не касаясь его сетевых подключений. Я приехал в офис юрфирмы со всем своим джентльменским набором: ноутбук с Ubuntu 22.04, отдельный USB-хаб — он был только с зарядкой, без данных-портов, для максимальной безопасности. Ещё взял кабель USB-C с гарантированно работающим data-каналом и, конечно, тестовую Wi-Fi-точку на ноутбуке, которая записывала весь трафик через tcpdump.

Сначала я занялся изоляцией. Перевёл телефон в режим разработчика — для этого пришлось несколько раз тапнуть по «Версия сборки» в разделе «Об устройстве». Затем включил USB-отладку и активировал опцию «Не пробуждать при подключении USB». Подключил аппарат к ноутбуку. Важно было, чтобы ADB видел устройство, но при этом никаких других сетей, кроме моей тестовой, он не должен был обнаружить.

# Снимаем общий bugreport — содержит логи системных служб и всех приложений
adb bugreport ./ceo_audit_$(date +%Y%m%d).zip

# Полный список установленных пакетов с источником установки и временем
adb shell pm list packages -i -U -f > all_packages.txt
adb shell pm list packages -d > disabled_packages.txt
adb shell pm list packages -s > system_packages.txt

# Активные сетевые соединения в момент снятия дампа
adb shell ss -tunap > netstat_current.txt
adb shell cat /proc/net/tcp > tcp.txt
adb shell cat /proc/net/udp > udp.txt

# Пользовательские сертификаты и системные CA
adb shell ls /data/misc/user/0/cacerts-added/ > user_ca.txt
adb shell ls /system/etc/security/cacerts/ | wc -l   # норма для S24 — 145
adb shell pm list packages -e | grep -i "system.cert"

# Какие приложения когда последний раз получали Foreground State
adb shell dumpsys usagestats > usagestats.txt

На выходе у меня был ZIP размером 41 МБ и пять текстовых файлов общим объёмом 6 МБ. Обработал я их за 90 минут.

Первый разбор показал довольно любопытные вещи. На телефоне было установлено 184 приложения. Из них 96 оказались системными от Samsung/Google, ещё 12 — операторскими (МТС), 4 — предустановленными рекламными от производителя, и, наконец, 72 — пользовательскими. Что интересно, из этих 72 пользовательских приложений 19 за последние 30 дней ни разу не запускались, но при этом 11 из них имели разрешение «Доступ к местоположению в фоне», а 14 — «Чтение SMS». Это, увы, типичная картина для любого Android-смартфона в 2026 году: примерно треть всего, что у вас установлено, — это просто мусор с избыточными разрешениями.

Что показали логи и счётчики

В usagestats я нашёл интересный паттерн: одно из системных приложений — com.samsung.android.scloud — поднимало сетевые соединения каждые 3-4 минуты круглые сутки. Это «облачная синхронизация Samsung», которая по умолчанию синхронизирует контакты, заметки, календарь, фотогалерею. Объём — те самые «лишние» 200-400 МБ в сутки. Сами по себе данные шли в Samsung Cloud в зашифрованном виде, но контакты и заметки гендиректора юрфирмы в чужом дата-центре — это, на мой взгляд, неприемлемо. Решение — выключить.

Второй паттерн, который я заметил, был связан с приложением СберБанк Онлайн. Оно запрашивало геолокацию каждые 10 минут. Это, конечно, легально — так работает антифрод банка, но, согласитесь, избыточно. Решение было простым: оставить геолокацию только при активном использовании приложения.

Третий тревожный сигнал — приложение «Тинькофф Инвестиции» отправляло аналитику на three.gemius.pl. Это рекламный трекер, и, по моему опыту, такое считается серьёзным косяком. Мы потом, кстати, написали в банк по этому поводу. Но конкретно у моего клиента решение было предельно простым: убрать приложение с телефона и открывать инвестиции через десктопную версию.

18 настроек, которые мы применили

После тщательного анализа я сел составлять чек-лист. У меня получилось ровно 18 пунктов. Это не какое-то круглое число, и не очередные «20 лучших настроек», а именно то, что требовалось закрыть на этом конкретном аппарате, учитывая профиль его владельца. Сейчас я распишу каждый из них подробно.

Настройки 1-6: системные службы Samsung

Первое, что мы сделали, — это отключили «Knox Customization Service». Почему? Потому что эта служба позволяет производителю настраивать партнёрские конфигурации, например, под МТС. А корпоративный аппарат, купленный за свои деньги, не должен принимать никаких партнёрских настроек, точка. Вот команда, которую мы использовали:

# Список Samsung-телеметрии и партнёрских служб
adb shell pm disable-user --user 0 com.samsung.android.knox.containercore
adb shell pm disable-user --user 0 com.samsung.android.knox.attestation
adb shell pm disable-user --user 0 com.samsung.android.knox.kpecore
adb shell pm disable-user --user 0 com.samsung.android.smartmirroring
adb shell pm disable-user --user 0 com.samsung.android.bixby.agent
adb shell pm disable-user --user 0 com.samsung.android.bixby.service
adb shell pm disable-user --user 0 com.samsung.android.bixby.wakeup
adb shell pm disable-user --user 0 com.samsung.android.bixby.imeagent
adb shell pm disable-user --user 0 com.samsung.android.app.routines
adb shell pm disable-user --user 0 com.samsung.android.aware.service
adb shell pm disable-user --user 0 com.samsung.android.gametuner.thin
adb shell pm disable-user --user 0 com.samsung.android.game.gamehome
adb shell pm disable-user --user 0 com.samsung.android.smartcallprovider
adb shell pm disable-user --user 0 com.samsung.android.tvplus
adb shell pm disable-user --user 0 com.samsung.android.scloud
adb shell pm disable-user --user 0 com.samsung.android.app.smartwidget

Вторая группа — это пункты 2-6 нашего чек-листа: Bixby (4 пакета), Smart Mirroring, Smart Switch, Find My Mobile, Samsung TV Plus. Все они в офисе юриста абсолютно лишние. Высвобождается 6-8% батареи и закрывается несколько каналов телеметрии в Samsung Cloud. Аппарат после этих изменений не теряет ни одной важной функции — звонки, SMS, Knox-шифрование диска, биометрия — всё работает.

Настройки 7-12: Google и сетевая телеметрия

Дальше в моём списке шли Google-службы. Здесь всё было немного сложнее, ведь часть из них критически важна для нормальной работы телефона. Например, «Google Play Services» — это основа для push-уведомлений и работы карт, её трогать никак нельзя. Но вот такие сервисы, как «Google Backup Transport», «Google Connectivity Services», «Captive Portal Login», «Google Restore Service», «Carrier Services» и «Wellbeing» — их можно и даже нужно было отключить.

# Google-телеметрия и captive-portal redirect
adb shell pm disable-user --user 0 com.google.android.gms.setup
adb shell pm disable-user --user 0 com.google.android.feedback
adb shell pm disable-user --user 0 com.google.android.captiveportallogin
adb shell pm disable-user --user 0 com.google.android.gsf.login
adb shell pm disable-user --user 0 com.google.android.partnersetup
adb shell pm disable-user --user 0 com.google.android.apps.wellbeing
adb shell pm disable-user --user 0 com.google.android.apps.restore
adb shell pm disable-user --user 0 com.google.android.apps.tachyon  # Google Meet встроенный
adb shell pm disable-user --user 0 com.google.android.googlequicksearchbox

# Captive portal — главный канал утечки. Принудительно убираем.
adb shell settings put global captive_portal_mode 0
adb shell settings put global captive_portal_detection_enabled 0
adb shell settings put global captive_portal_server localhost
adb shell settings put global captive_portal_https_url http://localhost
adb shell settings put global captive_portal_http_url http://localhost

Седьмой пункт — Private DNS over TLS. В One UI 6.1 он настраивается в «Соединения → Дополнительные → Частный DNS-сервер». Прописываю dot.itfresh.ru — это наш собственный AdGuard-resolver на сервере в дата-центре МТС, который блокирует рекламные сети, телеметрию и известные C2-домены вредоносного ПО. У нас в базе 4.7 миллиона блокированных доменов. Резервный — Quad9 (9.9.9.9 через DoT — dns.quad9.net). Cloudflare 1.1.1.1 не использую — у них своя политика логирования, и для юристов это может быть важно.

Восьмым пунктом мы отключили Wi-Fi-сканирование в фоне. Девятым — Bluetooth-сканирование; это когда Bluetooth выключен, но «сканирование для повышения точности» по умолчанию всё равно активно. Десятым шагом стало отключение геолокации Google по сотам. Одиннадцатым — я убрал «Улучшение точности местоположения» в настройках Samsung. И двенадцатым — снял галочку «Использовать данные диагностики» в Google-аккаунте клиента.

Настройки 13-18: рут, маркет, VPN, файрвол

Для пунктов 13-15 нужен разблокированный загрузчик. На Samsung это делается через «Заводская разблокировка» в режиме разработчика (требует 7 дней ожидания после регистрации Samsung-аккаунта в OEM-программе), затем через Odin прошивается кастомное recovery. У нас в работе — TWRP 3.7.1 и Magisk 27.0. После прошивки восстанавливается работа Knox-шифрования (его пришлось переинициализировать с нуля), и аппарат уже без Samsung Knox Counter сбоит при попытке заплатить через Samsung Pay — поэтому Samsung Pay мы отключаем и переходим на банковские приложения с собственными NFC-кошельками.

# Magisk DenyList — скрываем root от чувствительных приложений
# Подключаем к ноуту, активируем Magisk через ADB-shell
adb shell su -c "magisk --denylist add ru.sberbankmobile"
adb shell su -c "magisk --denylist add com.idamob.tinkoff.android"
adb shell su -c "magisk --denylist add ru.vtb24.mobilebanking.android"
adb shell su -c "magisk --denylist add ru.alfabank.mobile.android"
adb shell su -c "magisk --denylist add ru.gosuslugi.app"
adb shell su -c "magisk --denylist add ru.nalog.app"
adb shell su -c "magisk --denylist add ru.kontur.app"
adb shell su -c "magisk --denylist add ru.mos.app"
adb shell su -c "magisk --denylist add org.telegram.messenger"
adb shell su -c "magisk --denylist add com.whatsapp"
adb shell su -c "magisk --denylist add ru.yandex.money.app"

# Проверка
adb shell su -c "magisk --denylist ls"
# Должно быть 11 приложений в списке

Тринадцатый — установка Magisk и настройка DenyList. Четырнадцатый — установка F-Droid и репозитория IzzyOnDroid для свободного ПО (там лежат хорошие альтернативы стандартным приложениям — например, NewPipe вместо YouTube для конфиденциального просмотра). Пятнадцатый — установка Aurora Store в анонимном режиме для случаев, когда нужно приложение из Play Store, но без авторизации в Google-аккаунте. Шестнадцатый — Always-on WireGuard на нашем корпоративном VPN-узле в дата-центре МТС, с трафиком всех приложений через VPN (за исключением банковских — для них специальное split-tunnel). Семнадцатый — установка AFWall+ (требует root) с правилами «по умолчанию запрещено всё, разрешено только что в списке». Восемнадцатый — установка Shelter (work-профиль на базе Android Enterprise) для разделения «личное» и «рабочее» — все рабочие приложения переезжают в зашифрованный второй профиль.

Что переустановили и чем заменили стандартное

Дальше наступила та часть, где у нас с клиентом завязалась первая серьёзная дискуссия. Я предложил ему радикальное решение: выкинуть половину стандартных приложений и установить вместо них альтернативы. Звучит, конечно, смело, но на деле это заняло всего 90 минут и кардинально изменило весь профиль утечек информации.

Браузер — вместо Chrome и Samsung Internet ставлю Mull (форк Firefox с зашитой паранойей-уровень настроек) и Vanadium (форк Chromium из GrapheneOS-проекта, для тех редких случаев, когда нужен Blink-движок). Поиск по умолчанию — DuckDuckGo и Yandex (на случай, если по работе нужно искать судебную практику — Яндекс находит её лучше).

YouTube — выкидываем приложение совсем, ставим NewPipe из F-Droid. Это open-source клиент, который ходит на YouTube без Google-аккаунта, не запоминает историю просмотров и не показывает рекламу. Для гендиректора, который смотрит на YouTube деловые интервью и доклады с юридических конференций — идеально.

Карты — вместо Google Maps ставим Organic Maps (форк Maps.me с актуальной картой) и 2GIS. Первый работает офлайн на скачанных картах России, второй — единственная действительно работающая навигация по Москве с актуальной картой ТТК и Третьего транспортного. Google Maps в России деградировал.

Файловый менеджер — Material Files из F-Droid, опенсорсный, без рекламы и без облачной синхронизации.

Заметки и календарь — переезжаем с Samsung Notes и Google Calendar на самохост Joplin (синхронизация на корпоративный WebDAV) и Etar (календарь, синхронизируется с корпоративным Nextcloud-аккаунтом). Это даёт нам полный контроль над тем, где лежат заметки клиента — в нашем дата-центре, а не у Samsung и Google.

Голосовые звонки внутри компании — ставим Element X (Matrix-клиент) для конфиденциальных переговоров с партнёрами. Сервер Matrix у нас крутится на отдельной VM в дата-центре МТС, обслуживает всю юрфирму, end-to-end шифрование включено по умолчанию.

Что оставили и почему

WhatsApp мы всё-таки оставили, потому что 80% контактов клиента были именно там. Но мы его закрыли в work-профиле Shelter, чтобы он не имел доступа к личным контактам и не мог автоматически забирать SMS-коды. По поводу переписки мы строго попросили клиента не отправлять туда важные документы и не вести деловые обсуждения — только координационные сообщения. Сами документы и все серьёзные дискуссии переехали в Element X.

Telegram мы тоже оставили в Shelter, но с очень чёткой, подписанной памяткой: «никаких документов, никаких голосовых с обсуждением дел, секретные чаты использовать только для коротких сообщений». Все ключевые переписки с его клиентами мы, по нашей рекомендации, перевели в Element X. А те клиенты, кто отказался переходить, — переписку с ними мы перевели на электронную почту, причём для критичных сообщений использовали PGP-подписи.

Сберонлайн, Тинькофф, ВТБ, Альфабанк — все эти приложения мы оставили, но, конечно, через Shelter и Magisk DenyList. Они работают абсолютно штатно, и никакая защита банка, что важно, не сломалась. Аналогичная ситуация была с Госуслугами, ФНС, Контур-Экстерн и ЕМИАС — всё функционирует без проблем.

Сетевые правила на MikroTik офиса

Часть утечек, как оказалось, можно закрыть не только на самом телефоне, но и на сетевом уровне. У моего клиента в офисе стоит мощный маршрутизатор MikroTik CCR2004-1G-12S+2XS — это, по сути, основа всей сети в 38 РМ. На нём я настроил кое-что интересное.

Первое — отдельная VLAN-сеть для устройств руководства. VLAN ID 42, подсеть 10.42.0.0/24, выходит в интернет только через корпоративный VPN-туннель до нашего узла в дата-центре МТС. На этом узле AdGuard Home блокирует 4.7 миллиона доменов. Сама VLAN-сеть изолирована от основной офисной — никакого доступа к серверам 1С, к шарам, к принтерам. Только интернет, и тот — отфильтрованный.

# MikroTik RouterOS 7.16 — конфиг для CEO-VLAN
/interface vlan add name=vlan42-ceo vlan-id=42 interface=bridge-lan
/ip address add address=10.42.0.1/24 interface=vlan42-ceo
/ip pool add name=pool-ceo ranges=10.42.0.100-10.42.0.150
/ip dhcp-server add address-pool=pool-ceo disabled=no interface=vlan42-ceo name=dhcp-ceo
/ip dhcp-server network add address=10.42.0.0/24 dns-server=10.42.0.1 gateway=10.42.0.1

# DNS-сервер VLAN — наш AdGuard через VPN-туннель
/ip dns set servers=172.20.0.2 allow-remote-requests=no

# Файрвол: VLAN 42 → только VPN-туннель, никаких прямых маршрутов в интернет
/ip firewall filter add chain=forward in-interface=vlan42-ceo \
  out-interface-list=!WAN action=accept comment="CEO VLAN: только через VPN"
/ip firewall filter add chain=forward in-interface=vlan42-ceo \
  out-interface=ether1-wan action=drop comment="CEO VLAN: WAN drop"
/ip firewall mangle add chain=prerouting src-address=10.42.0.0/24 \
  action=mark-routing new-routing-mark=via-vpn passthrough=no
/ip route add gateway=wg-itfresh-msk routing-mark=via-vpn

# MAC-фильтр для конкретного телефона: блокируем известные рекламные пулы
/interface bridge filter add chain=forward \
  src-mac-address=B0:DA:F0:42:00:01 \
  dst-address-list=ad-trackers action=drop \
  comment="S24-CEO: block ad networks at L2"

# Список ad-trackers подгружаем из урла
/ip firewall address-list add list=ad-trackers \
  address=googleadservices.com comment="periodic update via script"

Второе — MAC-фильтр на bridge-уровне. У смартфона клиента есть конкретный MAC-адрес (мы его записали при инициализации VLAN). Для этого MAC я навесил правило: блокировать соединения на 47 рекламных сетей (Google AdServices, Facebook Pixel, Yandex Metrica, AppsFlyer, Amplitude, Mixpanel и т.д.), даже если они шли через шифрованный TLS — мы блокируем по DNS до начала TLS-handshake, что работает на 100%.

Третьим пунктом я настроил логирование всех подключений с MAC-адреса смартфона на отдельный syslog-сервер. Это даёт нам потрясающую возможность оперативно видеть любые аномальные соединения. Например, если телефон вдруг начнёт «стучаться» на какой-нибудь IP в Молдове в 3 часа ночи, мы об этом узнаем в течение часа. И это очень важно!

Проверка через mitmproxy и финальный тест

После того, как все настройки были завершены, я, конечно, провёл тщательную проверку. Подключил Samsung S24 к своей тестовой Wi-Fi-точке на ноутбуке и через mitmproxy в transparent mode перехватил весь TLS-трафик. Да, для этого пришлось установить корпоративный CA-сертификат в системное хранилище, а это, в свою очередь, требует root-прав. Затем я «прогнал» телефон по стандартным сценариям: открыл Сбер, зашёл в Госуслуги, проверил SMS, написал сообщение в Element X, открыл Yandex.Карты и проверил почту через FairEmail. Всё работало как часы.

Результаты:

• Соединений с googleadservices.com, app-measurement.com, graph.facebook.com, mc.yandex.ru — ноль за 30 минут активного использования. Раньше за тот же период было около 1100.
• Соединений с samsungcloudsolution.com и cloudwithushelp.samsung.com — ноль. Раньше — каждые 3-4 минуты.
• Соединений с банковскими и государственными приложениями — все прошли штатно, SSL-pinning не сработал ложно (благодаря DenyList).
• Соединений с собственным VPN-узлом ITfresh в МТС — постоянная нагрузка 80-120 КБ/с, что нормально для активного использования.
• Объём «непонятного» трафика — упал с 280-410 МБ в сутки до 18-22 МБ в сутки. Эти 18-22 МБ — push-уведомления Google Play Services и системные обновления, которые трогать нельзя.

Что не получилось закрыть полностью

Признаюсь честно — не всё удалось закрыть. Например, Apple-устройства, такие как iPad его жены, который синхронизировался с Apple ID генерального директора, всё равно оставались потенциальной точкой утечки части метаданных. iMessage и iCloud, к сожалению, не поддаются такой же глубокой настройке, как Android. Решение, которое мы предложили, было таким: завести для iPad отдельный Apple ID, который не будет связан с рабочей почтой, и строго не использовать его для деловой переписки. Это хоть как-то минимизирует риски.

Что касается SIM-карты, то здесь есть свои нюансы. Если оператор записывает CDR и сотовое местоположение, мы, конечно, не можем это заблокировать. В этом случае есть два пути: либо перейти на корпоративный SIM с Privacy-тарифом от МТС B2B (да, такой существует, стоит 4500 рублей в месяц и имеет пометку «по запросам государственных органов — только по решению суда»), либо рассмотреть переход на eSIM от европейского оператора, например, Roamless или Surfshark eSIM, особенно для поездок. Генеральный директор юрфирмы в итоге выбрал первый вариант, и мы оформили этот перевод всего за два дня.

Биометрия — отдельная история. Отпечаток пальца и Face ID Samsung защищены Knox, это правда. Но физически телефон можно разблокировать чужим пальцем, например, спящего владельца. Поэтому моим решением было отключить биометрию для разблокировки и оставить только 6-значный PIN-код. Однако клиент на это не пошёл, ведь для него «удобство = биометрия», и тут я решил не настаивать.

Сколько это стоило и сколько занимало времени

Полная работа по этому проекту:

• Настольный аудит и снятие дампов — 90 минут (3 000 ₽ материалов, 9 000 ₽ работа).
• Разбор bugreport и составление чек-листа из 18 пунктов — 120 минут (12 000 ₽).
• Прошивка чистого образа One UI 6.1, установка Magisk, восстановление Knox — 180 минут (18 000 ₽).
• Настройка 18 пунктов чек-листа — 120 минут (12 000 ₽).
• Установка альтернативных приложений (Element X, Mull, Joplin, F-Droid и т.д.) — 60 минут (6 000 ₽).
• Настройка VLAN 42, MAC-фильтра и MikroTik-правил — 90 минут (9 000 ₽).
• Проверка через mitmproxy и финальный отчёт — 90 минут (9 000 ₽).
• Инструктаж клиента и его помощника — 60 минут (включено в стоимость).

В итоге, за один аппарат мы взяли 75 000 рублей. Это 12 часов работы инженера, которые были распределены на два рабочих дня. Всё это время аппарат клиента жил в режиме «нет звонков, только мессенджеры через ноутбук» — для гендиректора это, конечно, реально, но не на каждый день. Мы специально планировали работу на четверг-пятницу, чтобы выходные служили таким запасным буфером, если вдруг что-то пойдёт не так.

Помимо основной работы, я настоятельно рекомендовал ежеквартально пересматривать настройки. Стоит такой визит 8 000 рублей и занимает 60-90 минут работы. Почему это важно? Потому что Google и Samsung регулярно «возвращают» отключенные нами службы через свои обновления. Без такой регулярной проверки часть защит просто откатится сама собой примерно за 6-9 месяцев.

Если у клиента есть 3-5 руководителей, которым нужна такая же глубокая настройка, мы предлагаем специальный пакет. Это 18 000 рублей за телефон, если заказывают сразу несколько штук. Плюс к этому идёт разовая настройка отдельной VLAN на роутере за 12 000 рублей. Для офиса юридической фирмы, торговой компании или крупного производственного холдинга это, поверьте, нормальная инвестиция в информационную безопасность. Как правило, она окупается одним предотвращённым инцидентом.

FAQ: что чаще всего спрашивают клиенты

Можно ли провести такой аудит без рута и кастомного recovery?

Да, часть настроек, безусловно, можно сделать и без рута: это Private DNS, отключение системных служб через ADB, ограничение фоновой активности и пересборка списка приложений на F-Droid и Aurora Store. Такой подход закрывает примерно 60% утечек. Но вот Magisk DenyList, hosts-фильтр и полная зачистка системных трекеров требуют разблокированного загрузчика. А на Samsung S24 с его Knox это, к сожалению, означает потерю гарантии и недоступность Samsung Pay. Мы всегда честно показываем клиенту обе картины — и «мягкий», и «жёсткий» вариант — и он сам принимает решение. Генеральный директор юрфирмы выбрал жёсткий путь, потому что, как вы помните, у него на телефоне переписка по делам на сотни миллионов.

Сколько занимает работа и сколько стоит?

Полный аудит одного телефона по нашей методике — это, как правило, 6-8 часов работы инженера. Что туда входит? Дамп логов, тщательный разбор всех установленных приложений, разблокировка загрузчика, установка кастомной прошивки или Magisk, настройка всех 18 пунктов нашего чек-листа, обязательная проверка через mitmproxy и, конечно, инструктаж владельца. Всё это стоит 25 000 рублей за один аппарат. Если у клиента есть 3-5 руководителей, мы сразу делаем «пачку» устройств, и тогда цена выходит 18 000 рублей за телефон. И, как я уже говорил, очень важен ежеквартальный пересмотр настроек, потому что Google и Samsung постоянно возвращают часть служб через обновления.

Не сломаются ли банковские приложения после рута?

Нет, сломаются они только в том случае, если оставить рут видимым для приложений. Но Magisk DenyList специально для этого и нужен — он скрывает root от приложений из чёрного списка. Туда я обязательно добавляю Сбер, Тинькофф, ВТБ, госуслуги, ФНС, Контур. После такой настройки проверка SafetyNet/Play Integrity проходит успешно, и банк работает абсолютно штатно. Да, раз в 2-3 месяца Google обновляет свою проверку, и часть приложений может снова начать требовать pass — это нормально, мы просто обновляем Magisk Hide и продолжаем работать. У нашего клиента, кстати, ни один из 11 банковских и государственных сервисов не «отвалился» за 4 месяца использования.

Что делать, если телефон уже скомпрометирован — настраивать или сразу менять?

Если есть серьёзные подозрения на инфостилер или, что ещё хуже, на установленные через ADB сертификаты, телефон нужно перепрошивать с нуля, и никаких настроек сразу! Сначала мы переводим SIM-карту на запасной аппарат, а уже потом на скомпрометированном устройстве делаем полный wipe и flash чистого образа от производителя через Odin или fastboot. И только после этого, с абсолютно чистой системой, начинаем настраивать его по нашей методике. Аппарат, который пытались взломать и где, возможно, остался какой-то невыясненный мусор в /system или /vendor, просто не заслуживает доверия. Подумайте сами, стоимость замены на новый Samsung S24 — это около 80 000 рублей, что куда дешевле любого корпоративного убытка от утечки переписки.

Можно ли отдать сотрудникам такие телефоны или это только для руководителя?

Да, можно и даже нужно, но в разном объёме. Для обычных рядовых сотрудников вполне подойдёт упрощённая версия: Private DNS, настроенный на корпоративный resolver, MAC-фильтр на роутере, отдельный профиль Work через Android Enterprise, и всё это без рута. Такой подход отлично работает и, что важно, не ломает привычное удобство использования. Полный же режим с Magisk и кастомной прошивкой имеет смысл только для тех, у кого на телефоне проходят финансовые операции, хранится переписка с клиентами и корпоративные секреты. Обычно это 3-5 человек на офис из 30-50 РМ. Для всех остальных — достаточно грамотной корпоративной политики MDM и, конечно, хорошего инструктажа.

Итог

Итак, за 12 часов работы и 75 000 рублей мы смогли превратить обычный Samsung S24 из устройства, которое условно «всё-знает-обо-мне», в аппарат, оставляющий минимальные цифровые следы и полностью поддающийся аудиту. Спустя четыре месяца использования клиент перезвонил мне, и знаете, что он сказал? Эхо в звонках исчезло, реклама стала совершенно случайной, а мобильный трафик стабилизировался на уровне 30-40 МБ в сутки. И главное, что он отметил — это спокойствие. Теперь аппарат генерального директора 38 РМ — это не какая-то неприступная «крепость», а просто хорошо решённая инженерная задача, которую мы закрыли всего за два рабочих дня.