[S7換機紀錄] 前言、安全性、防火牆

這是我要講我如何跟S7這隻手機奮戰的第一篇文章。在開始講解決各種問題之前,你需要先知道幾件事情:

  1. 三星的手機一旦root直接破保
     - 三星的保固有許多案例明確表示只要手機root就直接破保,且三星的Knox有個保固位元,一旦root該位元便會自動從0X0轉為0X1(原廠稱為燒熔)而且無法恢復,也因此基本上你無法先unlock後relock又絲毫不留痕跡。雖然XDA上是有人提出不會破壞Knox保固位元的root方法,但一方面只看到支援S6,一方面畢竟不像HTC有官方的解鎖流程,用起來實在是怕怕的,還是打消了這個念頭。由於有這麼麻煩的限制,加上我還是希望可以保留手機的保固,因此之後解決問題的方法都基於不需root的狀態處理。
    順帶一提,如果你破壞了Knox保固位元,那麼Samsung Pay也會因此而無法使用。
  2. 過程中用到的手機使用介面以英文為主
     - 為了方便搜尋相關資訊,我將我的手機介面改為英文。也因此,絕大多數在文章中提到的各種設定都是以英文為主喔。
  3. 請不要說出「用隻手機有需要搞成這樣嗎?」
     - 就是因為我希望我使用的裝置都可以順順利利地完成我想做的事情,因此我很不喜歡在這些事情上妥協。除非真的想盡一切的辦法,最後發現要達成我的目的所要花的代價太大,我才會心不甘情不願地說「好吧」。所以如果你是會說出「用隻手機有需要搞成這樣嗎?」的人,我建議你就別再繼續看下去了,因為我在做的都是會讓你說出這句話的事情。
  4. Android是一種Linux系統
     - 所以有蠻多東西我在搜尋資料的時候會看到很多Linux相關的用法。我並不熟悉Linux,但為了Android我因此學會了一些Linux相關的事情。也因為這樣,假如我在文章中提到Linux的話請不要覺得奇怪,其實也是給Android用的東西就是了。
  5. 需要穩定在背景運作的App請加入電源管理的例外清單
     - 由於三星不按照牌理出牌的寫法,如果你需要App可以穩定地在背景運作的話,除了Android系統標準的設定,也就是Apps -> 右上三點選單 -> Special access -> Optimize battery usage將App從All apps中關閉開關(意思是不對該App做電池最佳化)以外,你還需要在Device Maintenance -> Battery將App加入Unmonitored apps中。這篇會提到的防火牆就屬於這種應該要在背景穩定運作的App。

手機的安全性近來有越來越重要的趨勢,畢竟所有的金融機構都在搶進Fintech領域,實體的金錢正漸漸轉換為虛擬的數字(想起來是也有點可怕就是了),交易用的裝置的安全性越來越受到重視也就不奇怪了。

關於手機的安全性這件事情有很多可以討論的面向,要認真討論起來還要戰系統(iOS vs Android)或是戰root或不root。這些討論都蠻有趣的,但這裡我們只討論一件事情:防火牆。

Android自從進入6.0 Marshmallow後多了一個非常重要的功能,也就是應用程式權限控制功能App permissions。雖然App開發者還是可以決定以舊方式處理App permissions,也就是所需要的權限全開,但使用者依然可以手動到應用程式管理頁面去把不想給予的權限關閉。對於新的App來說,應該都會遵守這個Policy,在用到App內某個需要權限的功能時才向使用者要求權限。然而無論是何者,App都還是有可能在不給予權限的情況下無法執行部分功能,甚至是完全無法開啟。的確有些App非常好用,但又很流氓的要求你給它超多權限才能正常運作,假如你不信任它的話(比方說非Google或是手機原廠的App),要安全地使用它最可行的作法大概就是讓它無法連上網路!畢竟沒有網路,想做什麼後門回傳難度都會非常地高。而要讓App沒有網路權限,同時你還是可以繼續上網的話,就需要來道防火牆。

沒錯!手機上是可以跟電腦一樣設定防火牆的。最理想的作法其實是像AFWall+這個App做的一樣,直接設定Android kernel中的iptables,這就是Linux系統本身有的防火牆。But!Android系統上,如果需要跟kernel有這種互動的話,就需要root權限,因此雖然我其實花錢買過AFWall+的Unlocker,但在新買的S7上也只能忍痛跟它說掰掰。除了透過AFWall+這種App以外,其實也有部份的Custom ROM有內建的網路權限管理功能,比如AOSP Based的LineageOS就可以在每一個App的Data Usage頁面設定App可否透過數據/Wi-Fi連線。由於類似LineageOS這種管理App網路權限的功能是系統內建的,因此可以不用root就使用。要刷Custom ROM雖然不一定要root,但至少還是需要unlock,而且無論如何,那該死的Knox保固位元還是會被燒毀,所以這也是一條行不通而且工程浩大的路。
LineageOS中內建可以管理App網路權限的功能

好吧,所以,這樣還有什麼可做的呢?答案就是設一個local的VPN。在AFWall+的GitHub頁面上有一篇Similar Firewall solutions解釋了所有Android上可行的防火牆方案,其中non-root方案直接明白地告訴你就是只有local VPN一條路可選擇 。而在各種local VPN中,又以NetGuard這個開源的App是我覺得最可以信任的。

NetGuard有些進階功能是需要付費購買的,但免費版本除了有廣告外(從2018 年5月的2.198版開始居然把廣告移除了!!!大家真的要透過小額購買一些進階功能支持開發者啊!),可以完整地達到防火牆正常運作的一切功能。NetGuard在預設的情況下是黑名單模式,也就是你不希望他可以連上網路的App才封鎖。不過我推薦將模式改為白名單模式,也就是所有的App在還沒設定前通通都是無法連上網的情況,只有經過你認可的App才可連上網。這樣有一個非常大的好處,就是即使你安裝了一個新的App,還不確定這App有沒有問題之前,這些新裝的App一開始都是被設定為拒絕網路連線的狀態,保障隱私安全的小漏洞。

雖然以local VPN作為防火牆的解決方案並不完美(請見Similar Firewall solutions中所說的缺點),但在無法root的情況下也至少是個折衷的方案就是了,在之後的App測試上也會比較放心。只不過,其實最根本的事情還是慎選安裝的App、絕對不要安裝來路不明的App,也要詳細檢視App本身要求的權限是否合理啊。

留言

張貼留言

這個網誌中的熱門文章

[S7換機紀錄] 如何減輕AMOLED傷害你的眼睛

圖片
好了,是時候來面對S7這隻手機令我最厭惡的地方了:螢幕。 其實S7的螢幕無論是顏色、對比、亮度(最亮夠亮、最暗夠暗),甚至是自動亮度的調整都非常優秀,但仍然無法克服AMOLED的烙印、色衰,以及PWM調光等問題。因此話先說在前頭,如果你使用AMOLED的裝置,並且單純使用內建的自動調光,看起來一切安好的話,那恭喜你,你可能喜歡(或適應)AMOLED的顏色的同時,對PWM調光也不敏感,建議你就不用再往下看了。 但如果你跟我一樣,在拿到這隻手機看了幾天,發現怎麼看這塊螢幕怎麼不舒服,甚至出現頭痛的狀況,那很不幸地,你我都是眼睛比較敏感的人。 在我們切入最重要的主題之前,先來講個「可能」減輕眼睛疲勞的方法,也就是讓S7的螢幕不要那麼鮮豔一點。在Setting -> Display -> Screen Mode中可以調整S7螢幕顯示的模式。預設的模式是Adaptive display,這個模式的顏色非常鮮豔,白色的色溫也過高,亮度也比其他模式來得高,因此首先你可以先將Screen Mode改成Basic來改善這個問題。詳細的內容請見 這個網站 有非常詳細的各種數值。 懶得截圖啦~我直接抓了 這個網站 的圖 好,來進入最麻煩的問題:PWM吧。一般來說,螢幕調整亮度的方式分成兩種,PWM (Pulse Width Modulation)以及DC (Direct Current)。後者從名字就可以知道是靠著調電流來降低亮度,後面提到的所有PWM缺點都不存在於DC調光方法中;這種方法可能的缺點大概是能夠調整的亮度範圍比較窄,因此有些螢幕會告訴你它在亮度X%以上時使用DC調光,但低於X%以下則是改用PWM調光,比如 EIZO 。而PWM則是「騙」你的眼睛以為螢幕的亮度降低了,但實際上是利用快速地開關LED來達到「看起來」好像變暗了。為了讓你不要察覺它其實是這樣調整亮度的,因此LED的開關頻率必須要夠高,但其實不用太高人眼就很難察覺了,只是在頻率過低的情況下你可能會覺得有種難以形容的不適感,除了眼睛容易疲勞外,有些人甚至會覺得噁心、頭痛。 除了我的個人經驗外,在IEEE上也有 一篇文章 有詳細的說明。大致整理一下文章所說的內容包括: PWM頻率在3~70Hz是人眼可見(可察覺)的。在這種頻率下,人會立即被觸發各種症狀,包括癲癇、頭痛、頭暈以...
閱讀完整內容

在 M1 Macs 上安裝 h5py 及 pandas 的 HDF5 支援

最近因為被指派說要研究 HDF5,同時比較一下跟 SQL 的效能比較,試著在我自己的 M1 MacBook Air 上裝 h5py,果不其然又是惡夢一場(倒)。 前情提要就是目前還是有蠻多科學運算相關的 libraries 對 ARM based 的作業系統都還是支援度不佳,M1 Macs 當然也不例外。雖然隨著 Macs 全面使用 ARM 架構之後相信之後會越來越好。 總之,經過了一番折騰,終於搞定現在在 M1 Macs 上安裝 h5py 的方法。 首先,先確定你在 Terminal 中使用的 brew 是原生而非 x86 版本的 brew。測試的方式是在 Terminal 中打 which brew,顯示出來的結果應該要是 /opt/homebrew/bin/brew 確定使用的 brew 是原生的之後,以 brew 安裝 HDF5,指令當然就是 brew install hdf5 接著,確定你有安裝好原生支援的 numpy(現在最新版本的 numpy 1.20.3 確認是沒問題的)。接著我們就可以安裝 h5py。用 pip 安裝當然是第一個想到的方法,但由於 h5py 的 setup.py 沒有把判斷式寫好,導致就算系統上已經安裝好最新的 numpy, h5py 在安裝時還是去用了 1.19.3 版 。因此我們需要作一點小改動如下 python3 -m pip install --no-build-isolation h5py 這樣就搞定了在 Python 內使用 HDF5 的前置作業。不過,由於處理資料時還是很常會使用 pandas,又剛好 pandas 的 Dataframe 有 .to_hdf 函數可用,有些 libraries 就需要額外安裝。主要需要裝的其實就是 PyTables,但 PyTables 偏偏直接 pip 安裝又是各種問題,所以還是得一步一步來。 解決安裝 PyTables 的方法主要參考的是 這篇 。首先,把 PyTables 需要的 libraries 裝起來。這些包括 hdf5、c-blosc、lzo,以及 bzip2。 hdf5 前面已經安裝過了,剩下的同樣可以用 brew 輕鬆地安裝起來。 安裝完之後確定一下 hdf5 的安裝路徑在哪。你可以透過以下的指令來作這件事情 brew info -q hdf5|gr...
閱讀完整內容

MacBook Pro 2013-2015 更換 NVMe SSD 紀錄

其實我有點懶得重寫,所以我只打算把之前自己在 MacRumors 上的留言整理一下 XD,有興趣的人不好意思就得麻煩你爬一下原文啦。 首先,基本上所有需要的資訊都在 原始討論串的第一則貼文 (目前已轉為一篇 wikiPost,並且有在持續更新)。這篇討論串大概是 MacRumors 上關於 Mac 討論度最高的一篇了。除了 MacBook Pro 2013-2015 的機型之外,還有部份的 MacBook Air,以及 MacBook Pro 2016-2017 只有 2 孔 ThunderBolt 孔的機型可以更換。 我有在這篇討論串裡面分享我 轉移到 NVMe SSD 的紀錄跟心得 。不過,有幾件事情從那之後有一點改變,在參考上述連結的流程時請注意到以下的事項,包括:     1.  當時 MacBook Pro 2013-2014 機型有睡眠後無法正常喚醒的問題。      原本 Apple 一直沒有讓 2013-2014 機型拿到 2015 機型可以正常處理 NVMe SSD 睡眠跟喚醒的韌體(其實就只是個更新問題),直到 2020 年年底一次安全性更新後韌體版本號 (Boot Rom version) 大躍進,我記得我的 MacBook Pro 2014 那時候的韌體版本號從 1XX 跳到 429 開頭,在那時候大家就發現再也不需要做特別的設定來處理睡眠喚醒問題,更換成 NVMe SSD 的 MacBook 可以直接正常使用。所以更換成 NVMe SSD 之前建議先作一次作業系統更新(不一定要更新大版,繼續留在 Mojave 也是可以的,只要確定有把安全性更新裝到最新就可以了)免去處理睡眠喚醒的問題,你也就可以跳過我上面連結中寫的 Step 4 了。      2.  當時我的硬碟並沒有用 FileVault 加密。      最近一次把整顆硬碟複製回原本內建 SSD 的過程讓我發現,如果 FileVault 有開的話,一定要先解掉再複製還原才會成功。     3.  當時我的作業系統是 High Sierra、硬碟格式是 HFS+,現在作業系統則是 Mojave、硬碟格式是 APFS。 最後一點比較...
閱讀完整內容