android

從 Android (AOSP) fork 出來的 /e/

上個禮拜在 Hacker News 看到的「Review of /e/ – An Android Alternative For Mobile Phones」，在講 /e/ 這個從 AOSP 改出來的作業系統，主力在於「unGoogled」這件事情，避免任何資料傳回給 Google。Hacker News 上對應的討論在「Review of /e/ – Android-based alternative for mobile phones (thenewleafjournal.com)」這邊。

先看了一下運作方式，/e/ 的後面是 e Foundation，以非營利組織的方式經營。

從 LineageOS 的經驗來看，看起來有蠻多東西預先包好了，像是預掛了 microG 來模擬 Google Play Services 的服務與 API，這樣可以讓一些需要 Google Play Services 的服務可以跑 (但可以預期不會是完全相容)。

另外也有一些商業合作，所以市場上可以買到出廠就已經安裝 /e/ 的手機，讓一般使用者更容易上手。另外一條可以預期的路是自己刷 /e/，從「Smartphone Selector」這邊可以看到 /e/ 支援很多型號。

文章裡另外題到了其他的 AOSP fork，走不同的路線：

In addition to LineageOS, there are two forks focused primarily on security – GrapheneOS and CalyxOS. There is also Replicant, which appears to mostly support older devices at this time.

看起來弄個 Pixel 5a 或是舊一點的 Pixel 4a 應該是個還可以的方向，Google 自家牌的手機通常都是這些 distribution 優先支援的機種...

Pixel 3 無法撥打 911 的問題

在 Hacker News 首頁上看到「Pixel prevented me from calling 911」這則 Reddit 上的發文，提到 Pixel 3 無法撥打 911 的問題，另外 Hacker News 上的討論在這邊可以看到：「Pixel prevented me from calling 911 (reddit.com)」。

在 hnrvsr1 這則 comment 可以看到，目前 Google 確認了這個軟體 bug，在 Anrdoid 10 上有安裝 Microsoft Teams，並且是在沒有登入的情況下，就會中這個 bug：

Based on our investigation we have been able to reproduce the issue under a limited set of circumstances. We believe the issue is only present on a small number of devices with the Microsoft Teams app installed when the user is not logged in, and we are currently only aware of one user report related to the occurrence of this bug. We determined that the issue was being caused by unintended interaction between the Microsoft Teams app and the underlying Android operating system. Because this issue impacts emergency calling, both Google and Microsoft are heavily prioritizing the issue, and we expect a Microsoft Teams app update to be rolled out soon – as always we suggest users keep an eye out for app updates to ensure they are running the latest version.

這個 bug 聽起來像是有什麼東西在 sandbox 裡沒擋好，被 app 干擾到緊急撥號的流程... 所以 Google 也承諾 Android 的部份也會有對應的更新：

We will also be providing an Android platform update to the Android ecosystem on January 4.

不確定台灣的 110、112 與 119 會不會有類似的問題...

歐盟對 Google 的 24.2 億歐元的罰款確定

從「Google loses challenge against EU antitrust ruling, $2.8-bln fine」這邊看到的，新聞的標題寫的是換算後的美金。

新聞裡提到歐盟主要有三個主題在跟 Google 訴訟，這次確定的是利用搜尋引擎偏好自家的購物比較服務，產生不公平競爭：

Competition Commissioner Margrethe Vestager fined the world's most popular internet search engine in 2017 over the use of its own price comparison shopping service to gain an unfair advantage over smaller European rivals.

另外兩個還在進行的是 Android 與 AdSense：

The company could face defeats in appeals against the other two rulings involving its Android mobile operating system and AdSense advertising service, where the EU has stronger arguments, antitrust specialists say.

應該是還有個 YouTube 才對，不過印象中主要是版權相關的問題，跟 antitrust 這邊的關係好像少了一些...

Google 在南韓開放 app 裡面使用其他付款機制了

先前在「南韓對 Apple 與 Google 的 In-App 付款機制的提案」這邊提到南韓的法案將會強迫 Apple 與 Google 開放 IAP 的通路，前幾天 Google 正式發出公告會支援其他通路了：「Enabling alternative billing systems for users in South Korea」。

不免俗的，還是會放話說一些 FUD：

Alternative billing systems may not offer the same protections or payment options and features of Google Play's billing system—such as parental controls, family payment methods, subscription management, Google Play gift cards, and Play Points.

然後拖一下時間，說正在開發這些功能中：

In the coming weeks and months, we will share implementation details for developers, including instructions for submitting security and customer service verifications and a set of user experience guidelines so users can make an informed choice.

但這應該是第一個強制開放的市場？來等後續 payment gateway 給的數字...

繞過 Web 上「防機器人」機制的資料

這兩天的 Hacker News 冒出一些討論在講 Web 上「防機器人」機制要怎麼繞過：

第一篇主要是從各種面向都一起討論，從大方向的分類討論 (「Where to begin building undetectable bot?」)，另外介紹目前有哪些產品 (在「List of anti-bot software providers」這邊)。

在文章裡有提到一個有意思的工具「puppeteer-extra-plugin-stealth」，主要是在 Node.js 類的環境，查了一下在 Python 上也有 pyppeteer-stealth，不過 Python 版本直接講了不完美 XDDD

Transplanted from puppeteer-extra-plugin-stealth, Not perfect.

第二篇文章在開頭就提到他不是很愛 Proxy，因為 Proxy 很容易偵測。在文章最後面則是提到了兩個方案，第一個是用大量便宜的 Android 手機加上 Data SIM 來跑，另外一個是直接用 Android 模擬器加上 4G 網卡跑。

依照這些想法，好像可以來改善一下手上的 RSS 工具...

不使用 Google 服務的 Android 手機

一樣是在 Lobsters Daily 上翻到的，去 Google 服務的 Android 系統搞法：「Lineage with microG on a Sony XA2」。

主要是看關鍵字的部份，TWRP 換掉 recovery image，然後 LineageOS 是系統底，microG 是 open source 版本的 Google 專屬 API 的相容層，Magisk 則是負責 root 相關的事情，F-Droid 是 open source 軟體的 app store，可以用他來裝 Aurora Store，就可以裝 Play Store 裡的 app。

會這樣搞的人主要還是考慮到 privacy，可以預期有不少應用程式是不會動的...

由美國參議院提出的 Open App Markets Act

以為之前有寫過亞利桑那州的法律，結果沒找到... (有可能寫一寫就刪掉了)

三月初的時候亞利桑那州推動修正法案，強制夠大的 OS 必須開放其他的 App Store 以及 Payment 系統 (以當時，或是現在來看，應該只有 Apple 的 iOS 與 Google 的 Android 這兩個系統)：「Arizona advances bill forcing Apple and Google to allow Fortnite-style alternative payment options」，不過這個法案在同月月底的時候就被沒收了：「It’s game over for Arizona’s controversial App Store bill」。

這次則是由美國參議院 (上議院) 跨黨派的三位參議員提出來的 Open App Markets Act 也是類似的事情，只是拉到全國的層級：「Blumenthal, Blackburn & Klobuchar Introduce Bipartisan Antitrust Legislation to Promote App Store Competition」。在 Hacker News 上有討論：「Senators introduce bipartisan antitrust bill to promote app store competition (senate.gov)」。

第一關應該是要先讓參議院通過，在這個階段 Apple 與 Google 兩家應該就會有各種檯面上的遊說與檯面下的動作，另外像是 Epic 與 Spotify 這些公司應該也會進去推一把...

Dropbox 也要搞自己的密碼管理器

Dropbox 也要搞自己的密碼管理器 Dropbox Passwords：「Dropbox Passwords coming soon for all users」。

看起來只要是 Dropbox 的付費方案就可以無限使用，而免費版的則是 50 組。從下載頁看起來目前在 PC 上只支援 Microsoft Windows 與 macOS，不支援 Linux：

Come back to this page on a PC with Windows 10 or a Mac with at least macOS Sierra 10.12 to get the Passwords desktop app.

而行動平台就是 iOS 與 Android：

How do I use the Android and iPhone password manager?

Once you sign in to the Passwords app, it automatically fills in your usernames and passwords so you can access frequently used apps and websites on your mobile device.

從示意圖看起來有整合瀏覽器，而加密技術的部份沒有講太多，只說是 zero-knowledge encryption，先觀望看看...

LastPass 的 Android App 的資安問題

在 Hacker News Daily 上看到的，LastPass 的 Android App「LastPass Password Manager」裡面引用了大量的 SDK，引起不少人的資安疑慮：「LastPass Android app has got 7 trackers in it (eu.org)」。

裡面有七個 tracker，看了一下大概知道想要做什麼，但如果以一個資安為主打的 app，其中的 Google Tag Manager 讓人不怎麼舒服，基本上就是個 Remote code execution 的後門，光就這點能不要用就不要用...

我自己還是儘可能不要依照這些 vendor，繼續用 KeePassXC 加上同步機制，不過這對於一般人來說麻煩了不少...

Android 上不讓 App 取得真實的電話簿資料

在 Hacker News Daily 上看到「Fake Contacts」這個專案，可以把 Android 上的電話簿資料換成假資料，把真實的資料另外存放保存，藉此不讓 app 取得電話簿裡面的真實資料：

Create fake phone contacts, that will be stored on your phone along with your real contacts. The idea is to feed fake data to any apps or companies who are copying our private data to use or sell it. This is called "data-poisoning".

Nothing about these fake contacts will interfere with your normal use of your phone or your real contacts.

可以在 F-Droid 上下載使用：「Fake Contacts」。

另外在 Hacker News 上面也有討論：「Fake_contacts: Android app to create fake phone contacts, to do data-poisoning (github.com/billdietrich)」，其中大家馬上想到的就是 iOS 14 推出的相片保護機制，讓使用者選擇讓 app 讀到哪些相片：

Recently Apple added a feature to iOS that allows you only to allow selected photos to be accessible by an app. This allows the user to respond positively to an access request, but allow the app to see only a subset (or zero) actual photos.

It would be a very useful feature for Apple to do the same for contacts: the app would think it's getting access to your contacts, but would only actually receive a subset of them, and be none the wiser. This would be a tremendous boon for privacy.

以 Tim Cook 把 Privacy 當作 Feature 的偏好，我會猜在 iOS 遲早會推出這個功能，然後會宣揚吹捧一番。

至於 Android 的話，不太像是會在 iOS 推出前有這個功能...