Morfitronik Security & Privacy

Android: Repozytorium aplikacji OpenSource (F-Droid)

2016-10-11 18:47:13
Morfik

Przeszukując sklep Google Play za nowymi aplikacjami, które mógłbym wgrać na swojego Neffos’a C5, zawsze staram się zwracać uwagę co tak naprawdę zamierzam zainstalować. Nie chodzi tutaj tylko o poleconą mi przez kogoś aplikację, a konkretnie jej nazwę, bo te mogą być przecież bardzo podobne i łatwo zainstalować nie tego app’ka, którego powinniśmy. Android jest prawie jak windows, no może z tą różnicą, że jest udostępniany na wolnych licencjach. Z racji swojej popularności musi być bardzo prosty w obsłudze, by nie generować żadnych błędów i problemów wśród korzystających z niego użytkowników. Z doświadczenia wiem, że prostota obsługi nie zawsze idzie w parze z bezpieczeństwem, a gdy mamy przed sobą tak popularny system operacyjny jak Android, to już tylko krok dzieli nas od kompromitacji systemu przez wgranie jakiejś trefnej aplikacji ze sklepu Google. Nie znam tych wszystkich programików, które są w nim dostępne ale można zrobić lekki przesiew instalując jedynie aplikacje OpenSource. Przeszukiwanie Google Play pod tym kątem nie jest zbyt wygodne, dlatego też ktoś postanowił uruchomić projekt F-Droid zrzeszający wolne aplikacje, które możemy wgrać na swój telefon bez większego problemu. Ten wpis będzie poświęcony właśnie aplikacji F-Droid.

Czym jest F-Droid

Użytkownicy linux’ów, w szczególności dystrybucji Debian, wiedzą jak ważne jest posiadanie z swoim systemie aplikacji spod znaku Free & OpenSource. Tego typu podejście w dużej mierze zabezpiecza nas przed podejrzanym oprogramowaniem. Chodzi o to, że za sprawą OpenSource jesteśmy w stanie przebadać kod i wprowadzane w nim zmiany pod kątem szkodliwości dla systemu operacyjnego. Z kolei Free sprawia, że rozwój aplikacji zwykle nie jest motywowany nadmierną chęcią zysku i wzbogacenia się.

W sklepie Google jest cała masa aplikacji, które mają dopisek “zawiera reklamy”. Może i taki programik jest nam udostępniany za free ale za to jesteśmy zmuszani do ciągłego oglądania reklam, czy też taka aplikacja śledzi nasze poczynania i przesyła gdzieś w ten sposób zebrane dane. Reklamy można co prawda odfiltrować za sprawą adblock’a ale tylko pod warunkiem, że mamy router z wgranym firmware OpenWRT. Niemniej jednak, w przypadku sporej części aplikacji w tym sklepie nie wiemy praktycznie nic na temat kodu źródłowego.

Nie to bym w każdej aplikacji na Androidzie widział złowrogie oprogramowanie ale jeśli taki program ma 100-500 milionów użytkowników i do tego nic nie wiadomo na temat mechaniki jego działania, to co powstrzyma twórców takiej aplikacji przed podejmowaniem zachowań niezbyt korzystnych dla docelowej grupy odbiorców? Aspekt władzy i pieniądza jeszcze tylko dodatkowo zaognia tę kwestię. Dlatego właśnie powstał F-Droid.

F-Droid, to repozytorium aplikacji, mniej więcej takie jak Google Play, z tym, że znajdujące się w nim programiki muszą być na wolnych licencjach, np GPL, Apache czy MIT. Każda taka pozycja na liście jest bardzo przyzwoicie opisana. Wiemy, kto tworzy dany projekt, gdzie go znaleźć oraz też gdzie znajdują się źródła tej konkretnej aplikacji:

1.f-droid-smartfon-android-info-aplikacja

Każdą aplikację można zainstalować sobie w Androidzie za pomocą paczki .apk z pominięciem F-Droid’a. Problem w tym, że w ten sposób zainstalowany program nie będzie otrzymywał aktualizacji. Ten mechanizm był/jest znany choćby z windowsów, gdzie po pewnym czasie mamy w systemie całą masę nieaktualnego softu, co stwarza zagrożenie dla bezpieczeństwa. Jako, że F-Droid oferuje nam repozytorium aplikacji, to każdy app’ek będzie podlegać procesowi aktualizacji, tak jak to ma miejsce w Google Play, czy każdym linux’ie.

2.f-droid-smartfon-android-aktualizacja

Instalacja F-Droid (brak w Google Play)

Prawdopodobnie już wiecie, że aplikacji F-Droid nie ma w sklepie Google Play, a to z tego względu, że narusza ona umowę z Google. Chodzi o to, że F-Droid umożliwia instalację w Androidzie aplikacji z pominięciem Google Play. Dlatego też, by móc zainstalować na swoim smartfonie F-Droid, musimy odwiedzić oficjalną stronę projektu i pobrać z niej plik .apk.

F-Droid pochodzi za zewnętrznego źródła w stosunku do Google Play. Nie damy rady standardowo zainstalować takiej aplikacji. Przed procesem instalacyjnym musimy włączyć w Androidzie możliwość instalacji programów z niezaufanych źródeł. W przypadku, gdy ta opcja nie jest zaznaczona, to zostaniemy o tym fakcie poinformowani podczas instalacji:

3.f-droid-smartfon-android-wlaczenie-nieznane-zrodla-aplikacji

Po włączeniu powyższej opcji, instalujemy F-Droid i uruchamiamy go:

4.f-droid-smartfon-android-instalacja

Czekamy chwilę, aż F-Droid zaktualizuje informacje, przechodzimy na zakładkę aktualizacje i instalujemy update przeznaczony dla F-Droid.

5.f-droid-smartfon-android-aktualizacja

Po chwili okno F-Droid’a zostanie zamknięte. Czekamy moment i odpalamy tę aplikację skrótem na pulpicie. Wchodzimy w menu (trzy kropki w prawym górnym rogu) i wybieramy Repozytoria. Tam z kolei zaznaczamy również repozytorium The Guardian Project:

6.f-droid-smartfon-android-repozytoria

Teraz możemy zacząć szukać interesujących nas aplikacji. Warto zaznaczyć, że by korzystać z F-Droid nie musimy się nigdzie rejestrować, tak jak to ma miejsce, np. w Google Play.

Instalowanie aplikacji z F-Droid

Aktualnie w repozytorium F-Droid znajduje się około 2100 aplikacji. Nie jest to przytłaczająca liczba, przynajmniej nie w porównaniu z około 1,5 miliona aplikacji, które można znaleźć w Google Play. Niemniej jednak, jest z czego wybierać. Pod zakładkami jest ulokowane rozwijane menu. W nim z kolei mamy różne kategorie oprogramowania:

7.f-droid-smartfon-android-repozytoria-zawartosc

Wystarczy wybrać jedną z pozycji i zostaną nam wyświetlone informacje o danej aplikacji.

8.f-droid-smartfon-android-instalacja-aplikacja

Oczywiście listę aplikacji możemy przeszukać, wystarczy kliknąć na lupę w prawym górnym rogu i wpisać w formularzu kilka znaków:

9.f-droid-smartfon-android-szukanie-repozytorium

Historia wersji aplikacji

Niewątpliwą zaletą F-Droid’a jest historia wersji aplikacji. Weźmy dla przykładu WiFi Analyzer. Jeśli z jakiegoś powodu najnowsza wersja tego programu nam nie działa, to możemy zainstalować starszą wersję. Nie zalecałbym tego typu działań ale skoro F-Droid ma wbudowany taki ficzer, to wypadałoby o nim wspomnieć. Ostatnie trzy wersje są dostępne w informacjach o aplikacji. Gdy zajdzie potrzeba dania downgrade do starszej wersji, wystarczy ją wskazać:

10.f-droid-smartfon-android-starsza-wersja-aplikacji

Aplikacje wymagające root

W przypadku, gdy nasz Android ma root’a, możemy odhaczyć w menu opcję ukrywającą na liście aplikacji te pozycje, które wymagają do działania praw administracyjnych. Generalnie nie zalecam instalacji tego typu aplikacji ale jako, że w tym przypadku mamy spełniony jeden z warunków bezpieczeństwa (aplikacja musi być OpenSource), to nie widzę przeszkód by możliwość instalacji takich programów w systemie włączyć.

11.f-droid-smartfon-android-aplikacje-wymagajace-root

Oczywiście samą aplikację przed instalacją wypadałoby jeszcze zweryfikować i obadać ale to już raczej nie powinno sprawić problemów.

Aplikacje promujące niewolne usługi

Przy przeszukiwaniu repozytorium F-Droid, natknąłem się na kilka ciekawych aplikacji. Niemniej jednak, przy części z nich widnieje dość rzucające się w oczy ostrzeżenie:

12.f-droid-smartfon-android-ostrzezenie-aplikacja

Ta aplikacja jest jak najbardziej Free & OpenSource ale opiera się na usłudze YouTube. Wszystkie tego typu usługi są flagowane przez F-Droid i oznaczane mniej więcej na podobnej zasadzie.

Automatyczne aktualizacje

Na początku wspomniałem o jednej z bardziej użytecznych właściwości F-Droid’a jaką jest możliwość aktualizacji oprogramowania, które z jego pomocą zainstalujemy na swoim smartfonie. Ten proces może być dla nas zupełnie niewidoczny, lub też możemy przejąć nad nim całkowitą kontrolę. Stosowne opcje są w menu:

13.f-droid-smartfon-android-konfiguracja-aktualizacje

Jak widać powyżej, mamy tutaj mniej więcej standardowe ustawienia aktualizacji. Możemy wymusić pobieranie nowych pakietów przez WiFi. Możemy także zainicjować pobieranie pakietów w tle, tak by przy procesie aktualizacji stosowne pliki były już pobrane. Nawet częstotliwość sprawdzania nowych wersji aplikacji jest do skonfigurowania.

F-Droid i TOR

Ciekawą rzeczą jest również możliwość przepuszczenia ruchu generowanego za sprawą F-Droid przez sieć TOR. Jedyna rzecz, która nam jest potrzebna, to stosowny klient TOR, a ten z kolei można pobrać przez Google Play lub też z repozytorium F-Droid. Mowa oczywiście o ORBOT. Mając skonfigurowanego ORBOT’a, możemy zaznaczyć poniższą opcję w F-Droid:

14.f-droid-smartfon-android-orbot-tor


Komentarze

Zawartość wpisu