F-Droid nuova interfaccia

android

#1

ragazzi su F-Droid hanno rinnovato l’interfaccia grafica. E credo che abbiano anche risolto alcuni bug e migliorato la velocità di trasferimento. Tra l’altro la disponibilità di apps è in costante crescita.
E’ davvero un’ottima alternativa all’odiatissimo Spy Store. Se non altro nessuno vi vieta di usarli tutti e due :wink:


LineageOS su Samsung Galaxy Tab 2 - 7" e 10.1" WiFi
#2

Mi perplime un po’ il sistema di sicuezza. Non che quello di google sia impeccabile, ma ha un bel po’ di risorse in più da dedicare alla ricerca di software malevolo. F-Droid che fa in merito?


#3

Non sono sicuro di aver capito cosa intendi :smiley: in ogni caso ho fatto quello che avrei fatto qui, essendo anche loro piattaforma Discourse, ed uscito questo. Ovviamente, se hai tempo e vuoi partecipare, sei il benvenuto (come tutti).
La cosa positivia è che molti degli sviluppatori che pubblicano su F-Droid (uno sviluppatore che volesse pubblicare su F-Droid, può benissimo farlo anche su Play Store. Non è vincolato…), hanno il loro Forum e sottosezioni varie su XDA Developers. Questo permette di avere una comunità enorme alle spalle, che va dal singolo utente amatoriale (beta tester volontari e gente che pratica su qualsiasi modello e marca di dispositivo) fino ad arrivare agli sviluppatori veri e propri (quelli che pubblicano apps, alcune divenute molto conosciute).
Per intendersi, al momento in cui scrivo, le cifre sono queste:

  • iscritti: 8.443.408
  • online: 20.987 (questo valore ovviamente varia in continuazione, ma raramente scendo sotto i 15.000)
    Questo solo per dire che, se dovessero eserci problemi (come per esempio l’ultimo riguardante la WPA2, hanno una Rete enorme a cui chiedere e con cui scambiarsi informazioni).

Edit:
Ah scusa, mi ero dimenticato che c’è qualche opzione (anche se non l’ho mai usata) che si può spuntare dalle impostazioni che dice:

Usa Tor
Forza lo scaricamento attraverso Tor per aiutare la privacy

Abilita proxy HTTP
Configura il proxy HTTP per tutte le richieste di rete

(se abilitata l’opzione sopra si attivano queste 2):

Host Proxy
Hostname del tuo proxy (es. 127.0.0.1)

Porta proxy
Porte del tuo proxy (es. 8118)


#4

Credo che @murra intendesse chiedere cosa fanno in merito alla sicurezza delle stesse applicazioni, ovvero se uno sviluppatore decide di fare un’app con un malware o qualche sniffer o altra robaccia dannosa come fanno a beccarlo prima che venga pubblicato sul loro store e di conseguenza scaricato da utenti ignari? Che sistema usano?

Finora ho trovato solo questo https://forum.f-droid.org/t/known-repositories/721 dove specificano che non si assumono responsabilità per repository di terze parti, e poco altro


#5

Ah ok, beh… il discorso cambia. C’è però una piccola (grande) differenza rispetto allo Spy Store. Per esempio, molte delle app pubblicate su F-Droid sono open source (e pubblicate su GitHub o piattaforme simili). Quando invece una app è a codice chiuso, c’è poco da fare, se non usare strumenti come Xprivacy. E devo dire che tra i 2 repository non c’è neanche paragone. Le app su F-Droid sono molto meno esose di permessi, rispetto alla maggior parte delle app sullo Spy Store. Detto questo, io alle palle dello Spy Store non credo più, da anni. Cioè da quando uso Xprivacy. Qualche esempio? Tempo fa provo una app “calcolatrice”… una semplice calcolatrice. Ed infatti, al momento della installazione, gli “avvisi” dello Spy Store mi dicono: questa app non richiede particolari permessi… cioè, per intenderci… secondo lo sviluppatore e anche G
non vi era richiesta di abilitare permessi per quella app. Il che era anche vero, se non fosse che appena lanicata la app, è partito Xprivacy con robe del tipo: Questa app chiede accesso alla tua rete (tra l’altro con comando SpuerUser, per chi avesse il root), questa app chiede la tua posizione, questa app chiede accesso alla tua rubrica, questa app chiede…
E si parla di una semplice calcolatrice…
Davvero, ragazzi… se degli strumenti come Xprivacy fossero usati in massa, probabilmente partirebbero delle class action e una marea di azioni legali contro G… ma ormai è tardi. Sono diventati troppo potenti, e ce ne accorgeremo a breve…

PS
G si becca il 30% dalla vendita delle app sullo Spy Store…

Ah si scusate, mi ero perso nel discorso sulle app di F-Droid. Beh vedete, siccome molti di quelli che usano F-Droid usano anche strumenti come, appunto, Xprivacy (compreso il sottoscitto) se dovessi vedere richieste “particolari”, io sarei uno di quelli che senza problemi scriverebbe agli amministratori del Forum, nonché su XDA, se fosse necessario.
Alla fine, anche se uno sviluppatore fosse maleintenzionato, non credo gli converrebbe fare porcheria con le proprie app. Fermo restando che alcune di queste richiedono ovviamente permessi, che possono esere usati, sia per scopi prettamente tecnici, sia per, magari, qualche statistica (che potrebbe anche generare profitto per lo sviluppatore, perché no?). Qui si apre un’altro tipo di discorso, riguardo ai compensi che devono esserci per gli sviluppatori. Ma deve esserci più informazione e educazione in merito…


#6

Esattamente, mi riferivo al controllo delle app, come dice @dax

Questo non centra con lo store su cui vengono pubblicate, anche molte app sul play store di google sono foss.

Comunque sono d’accordo sul fatto che bisogna bloccare tutto ciò che big G fa sullo smartphone, esattamente come con M$ su Win10, purtroppo nel mondo Apple è più complicato, ma immagino si possa.


#7

E invece c’entra, perché F-Droid è nato proprio per questo. Per offrire un repository di apps dove, fondamentalmente, entrassero solo app OpenSource, di modo che chiunque (con le dovute capacità, ovvio) potesse controllare cosa gli sviluppatori mettevano in giro. Ci sono tuttavia delle app che magari rimandano a plugin di terze parti “proprietari”, e questo è sempre segnalato come avviso nella pagina della app. Per esempio: Questa app promuove servizi di rete non liberi. Ovvio. Se per dire creo una app che faccia da interfaccia per un social tipo twitter o facebook, il codice della mia app può anche essere opensource, ma il collegamento lo faccio ad una rete proprietaria, e su F-Droid comunque lo segnalano.
E in ogni caso, rimane il fatto che 9 volte su 10, se si hanno domande o curiosità, si trova sempre il modo di comunicare con l’autore della app. Di solito tramite GitHub, oppure pagine dedicate, o XDA. Se una app, come dicevo sopra, dovesse avere un comportamento sospetto, è sempre possibile segnalarlo al Forum di F-Droid, dove c’è gente che ti risponde per davvero. Prova a scrivere a G…
Un’altro motivo per cui F-Droid è migliore è il fatto che le apps pubblicate devono (imperativo) servire a qualcosa. Che poi ci siano delle app “semplici” (come per esempio un bloc notes) è un’altro conto. Ma hanno almeno un senso. Le cagate che trovi sullo Spy Store non le trovi su F-Droid. Un altro esempio? Qualche giorno fa su un canale Discord dove comunico con ragazzi per lo più europei, girava sto post dove, per scherzare, uno dei ragazzi aveva postato il link ad una app, di quelle cretine che quando schiacci i bottoni rifanno i versi dei pagliacci rapper.
L’ho voluta provare (avendo prima fatto un Nandroid BackUp) ed infatti era tra quelle apps che “non chiedono particolari permessi”… e meno male :smile:
Appena avviata i rispettivi messaggi di XPrivacy (e che quindi l’utente medio non vedrà MAI) sono stati (saltando quelli legittimi e necessari al funzionamento):

  • Shell - Comandi SuperUtente (necessaria alla app per funzionare ma assolutamente non necessario (e pericoloso) che richieda SU)
  • Internet (qui cerca di collegarsi di nascosto a Unity3d . com e non se ne comprende il motivo)
  • Internet (ancora di nascosto, comando per accesso alla porta 443)
  • E-Mail (altro comando che ha a che fare con questo)
  • Identificazione Dispositivo (tramite lettura del ICCD - numero seriale della SIM card)
  • Telefono - ID, numeri, chiamate… (un po’ di caxxi nostri…)
    e per ultimo, la ciliegina sulla torta
  • Visualizza - load url (questo non fa altro che caricare banner pubblicitari da doubleclick . net e iniettarli nel nostro telefono, per la nostra felicità)

E questa è una della centinaia di migliaia (se non milioni)* di app che lo Spy Store spaccia come app che non richiedono particolari permessi. Infatti, quando le usi, non ti accorgi di nulla. Nel senso che non verdai MAI una richiesta di permessi da parte loro (fanno tutto di nascosto, in background). E si parla di una app (pure scritta da cani) che dovrebbe far ridere i ragazzini che quando schiacciano i bottoni sentono i versi dei loro idoli rap…
Questa m3rd4, su F-Droid, non la troverai mai, fidati :wink:

*chiedo scusa, errore mio nell’esprimermi. Qui intendevo centinaia di migliaia di apps e milioni di utilizzatori, pardon :slight_smile:


#8

Tutte cose giuste @MarKo. Attento però che la quantità di app presente sugli store (foss o meno) non è sempre controllata: il fatto che sia foss non significa che sia pulita. Per spiegarmi meglio, ci sono addirittura dei malware open source! Non è che dato che il codice sia controllabile da tutti, significa che sia in effetti controllato da tutti. Questo per dire che controllare da sé è sempre problabilmente la soluzione migliore, sempre che se ne abbia il tempo e le capacità.

Anche Xprivacy non gode di ottima salute come riporta il dev:

"XPrivacy requires a minimum, now quite old, Xposed version, that is all. It looks like you assume something else, which is incorrect.
The Android APIs might be stable, but Google adds hundreds and sometimes thousands of new APIs with each Android version, including lots of APIs which can leak personal information. Also, stable APIs do not mean that Android is the same on the inside, on the contrary. XPrivacy hooks many functions on the inside, so you cannot say that if the APIs stay the same, XPrivacy will keep working. There are more than a few GitHub issues showing this.
The bottom line is, and the reason why I am commenting again, that XPrivacy will not protect your privacy properly on anything beyond Android Lollipop, because the last big update for XPrivacy was for this Android version.
Edit: my privacy advice: install reliable, preferably open source apps (don’t forget to reward the author in some way, which could be a simple “thank you”), avoid social media/chat apps and use a firewall app to manage outgoing traffic. Avoid any closed source root solutions and lock your bootloader. Since Android is closely linked to Google: review your Google privacy settings. I know this is not ideal, but this is just how it is now."

Come conferma la data di aggiornamento del repository https://github.com/M66B/XPrivacy

Io comunque non posso usare Xprivacy perché Xposed arriva fino a Android 6 e io ho una rom cucinata (lineageos.org/) su cui gira 7.1.1 (già molto più sicuro a livello di permessi, anche se non impeccabile), e non farò un rollback al 6. Però mi piacerebbe avere completa gestione dei permessi, come su linux.


Yalp Store (scarica apk dal Play Store)
#9

Ne sono al corrente @murra, del fatto che Xprivacy è ferma (per ora). Lo sviluppatore ha deciso di abbondare il progetto, e ne è nata una inevitabile discussione. In ogni caso, grazie al fatto che è opensource, verrà ripreso da un’altro sviluppatore. Funziona comunque (lo stiamo testando in centinaia) e l’unico problema per ora riguarda la non completa compatibilità con Xposed, che invece sta andando avanti.
Ho già scritto a Marcel (lo sviluppatore) su GitHub riguardo ad alcuni problemi che avevo riscontrato e come sempre mi ha risposto. E quando ho compreso che aveva intenzione di abbandonare lo sviluppo ho rispettato la sua scelta, esattamente come la scelta presa da ChainFire (lo sviluppatore di SuperSU). Nel frattempo però, per fortuna e grazie al fatto che questi progetti erano a codice aperto, è nato Magisk. L’innovazione che porta con se Magisk (compreso il modulo per gestire il root) sta nel fatto di essere “systemless”. In pratica, a differenza del vecchio metodo di root, quest’ultimo non sovrascrive la partizione di boot. In questo modo è possibile passare da una custom rom ad un’altra, fare dei “dirty-flash” (cioè installare una rom sopra ad un’altra senza dover formattare tutto), effettuare dei downgrade, ecc…

Per quanto riguarda il fidarsi, vorrei che fosse chiaro che non ho iniziato ieri ad usare internet (anche se non ho conscenze informatiche) e che XDA, anche mi sono iscritto solo l’anno scorso, lo seguo da parecchio tempo. Conosco bene alcune vicende in corso :wink:
Il valore dato dallo sviluppo di una applicazione open è chiaro ed evidente. E cioè la possibilità (nel caso qualcuno lo voglia) di poter intervenire e creare fork’s e quant’altro. Questo non da “sicurezza” al 100%, ovvio. Ma fa in modo che, se dovessero esserci i presupposti per un maggiore approfondimento, sia possibile farlo. Un caso che mi viene in mente è quello di TrueCrypt.

LineageOS (ex CyanogenMod) l’ho provata 2 settimane fa. Mitica. Ho provato la vesione senza nessuna app G. E devo dire che era perfetta, se non per un piccolo neo che per me però è fondamentale; la mancanza della RadioFM.
A quel punto ho provato anche RevolutionHD, LeeDroid (spettacolo) e poi, alla fine, sono tornato su ViperOneM9 (che è la mia rom attuale).
Risultato: adesso ho un telefono decente, che consuma meno batteria, più reattivo, personalizzato come pare a me, e che “si lascia sfuggire” molti meno dati personali.

Rimango della idea che G sia diventata, pericolosamente, troppo onnipresente. E questo è un pericolo, oggettivamente parlando. Esattamente come qualsiasi accentramento di potere, sia in ambito politico o economico.
Fanno bene gli sviluppatori che, da una parte sfruttano la visibilità dello Spy Store (per avere magari qualche entrata) e, dall’altra magari, aiutano altri sviluppatori a scrivere codice per app come quelle che bloccano la pubblicità. G va sfruttata e non deve romprere il caxxo, dato che ha creato un impero attingendo a piene mani a progetti opensource, cui poi lei, si è arrogata il diritto di “chiudere” a proprio vantaggio.


#10

:arrow_down: Parte 1 (di un processo che sarà molto lungo… e doloroso) :arrow_down:


#11

Mi verrebbe da dire "Incredibile!"
Ma non è vero, non sono per nulla sorpreso anzi mi avrebbe stupito se non lo avessero mai fatto o progettato di farlo.


#12

Anche se volessero comportarsi “bene”, semplicemente non possono, come già detto, da quando gli uomini in giacca & cravatta sono andati “gentilmente” a bussare alle loro porte (e a quelle di altri colossi). Il fatto è che, economicamente parlando, G adesso, da quando certa gente è andata a bussare ai suoi server, è (o si sente) leggitimata a fare il caxxo che gli pare. Se accusati, diranno che sono stati costretti dai man in black. In questo modo, i dati di cui dispongono, per G si traducono in miliardi di dollari ogni anno, mentre per gli amici incravattati in sorveglianza totale; cosa che, tra non molto, in America ma non solo, diventerà uno dei punti chiave per fermare e reprimere le inevitabili rivolte…


#13

Anche col gps spento, se la sim ha segnale, i gestori telefonici sono da sempre in grado di triangolare la posizione del cellulare. Viviamo in un mondo in cui la privacy dei cittadini non è tutelata.


#14

Ok, questo lo sappiamo da anni, ma un conto è che sia possibile farlo tramite gestore telefonico a cui si dovrebbe poter accedere solo se c’è un’indagine in corso con tutte le norme del caso, un altro è se Google lo fa accedendo a dati del tuo telefono senza che tu lo sappia e senza nessuna autorizzazione giudiziaria.


#15

Giusto. Chissà se col GDPR obbligatorio da maggio 2018 cambierà qualcosa.


#16

Di sicuro noi dovremmo accertarci che Scaleway aderisca entro quella data. https://cispe.cloud/publicregister/

Per il resto la geolocalizzazione non è considerato un dato sensibile per quel che ne so (non dice mica via e civico).
Il GDPR sarà un massacro per tutti i siti che raccolgono dati di natura medica (vedi healthcare). Ho un amico che ci lavora come consulente e già da adesso si stanno organizzando per sistemare tutto in previsione dell’entrata in vigore della legge. Non penso siano disposti a pagare 1 milione di euro di multa (ma anche più, adesso non mi ricordo di preciso la cifra ma era altissima) a infrazione x UTENTE.


#17

Anche io sto facendo da consulente e ti assicuro che la situazione delle PMI e degli studi professionali è disastrosa qui in Lombardia. Tutti gli studi professionali (commercialisti, medici, avvocati…) rischiano di grosso, molti non ne sanno nulla, molti se ne fregano.

Le sanzioni sono: una multa fino a 10 milioni di euro, o fino al 2% del fatturato o fino a 20 milioni di euro o fino al 4% del fatturato, dipende dai casi definiti nella normativa.

[argomento interessante, ma siamo un po’ ot]


#18

Quand’è che te o @MarKo o altri o tutti insieme fate una bella guida per installare Lineage o altro s.o. android? :stuck_out_tongue_winking_eye:

Mi piacerebbe abbandonare il più possibile BigG ma in questo momento non posso permettermi di rischiare di avere un nuovo fermacarte sulla scrivania e le istruzioni che ho trovato in rete non mi sono parse per nulla chiare.

Cercando di capire bene di cosa parlate :flushed: se interessa ho trovato questo:


#19

Parte 2 (sezione Europa)


#20

@OmarBFC ti rispondo qua. Il progetto F-Droid punta principalmente a software open-source. Esiste il Forum (tra l’altro anch’esso su piattaforma Discourse :wink: ) dove si può intervenire e parlare con con devs, moderatori ecc. Si parla molto della sicurezza di F-Droid software e delle app che ospita. E già questo è molto di più di quello che può offrire Play Store, in quanto ad informazioni.
Per seguire gli sviluppi ed update è inoltre presente un thread dedicato, aggiornato mensilmente.

Aggiungo solo un fatto di non poco conto e che posso affermare con certezza assoluta (utilizzando X-Privacy da anni) e cioè una cosa che succede con la stragrande maggiornaza delle app presenti sul Play Store. In poche parole c’è questa credenza diffusissima che le app del Play Sotre siano assolutamente “sicure”, proprio perché ospitate da loro. Non è così. Un sacco di app che “non richiedono particolari permessi” in realtà ne attivano molti, di permessi. E lo fanno in background e senza che l’utente non venga avvisato in nessun modo.
E’ un discorso che è già stato affrontato qui sul Forum.