Песочница на телефоне для потенциального вируса

Вижу проблему XY. Меняй работу.

В смартфоне все приложения в песочнице.

В Android это есть, может называться, например, second space. Собственно, в основном предназначено для разделения личных и рабочих приложений и данных.

parallel space

А вообще, задача административная, выше верно указали

https://4pda.to/forum/index.php?showtopic=812887&st=140

Второй телефон может спасти отца русской демократии.

Вторая личность не работает одновременно же

Купи себе простую звонилку.

«Совать свой нос» оно будет скорее всего точно так же как всякие ватсапы и прочая убогая проприетарщина. Надеюсь, ты их не устанавливал.

Но вообще пользование смартфоном уже подразумевает что ты согласен на зонды. Лучше эмулятор андроида-х86 настрой в виртуалке и в нём запускай всё.

...отдельный телефон...

This. Это если не уверен.

Кстати, я начал было собирать себе раскладуху из кусков с блэкджеком и шлюхами, да пока прекратил это дело. Надо будет возобновить.

Shelter или Insular, обе есть в f-droid.

Параллельное пространство, почти в каждом ведре.

Поставил, особых прав не просило, что просило - не дал доступ. Откуда такая истерия, а то я все проспал? Пользоваться им особо не собираюсь, но и плохого ничего не вижу.

Посмотрел, я ему дал доступ только слать уведомления, больше прав у него нет.

Достаточно время от времени смотреть на внешний ip, чтобы примерно понимать город, где ты находишься. + можно делать dns запросы на уникальные домены и обязать провайдеров и операторов мобильных сетей трекать устройства, с которых они отправляются. Или делать незашифрованные http запросы (правда в андроиде и ios их, вроде, запрещали) и так же смотреть, с какого устройства они делаются.

Вариантов полно.

Контейнеры для приложений андроид

Ничего не понял. То есть претензия только в том, что интернет мессенджер внезапно может ходить в интернет?

В целом да. Должна быть реализации с открытым кодом, для снижения риска недокументированных возможностей.
В свое время например для mail.ru agent была официальная документация по протоколу (хоть и не совсем полная).

С этим я согласен, но в целом пугалки про Макс пока выглядят смешно - «он требует доступ к контактам и камере!!11» и «а вы знаете что он использует чужие свободные библиотеки с гитхаба».

Была недавно статья как приложения Яндекс деанонят юзера.

Что значит деанонят?

Песочницы мало, нужно еще эмуляцию записной книжки, интернет-подключений и т.д пустышки.
Чтоб преступники лезущие в частную жизнь подавились.

Например ты залогинился в приложении яндекс-карт, потом заходишь на посторонний сайт в браузере и он понимает, что ты это ты.

Так это вроде считалось фичей, как и другие подобные логины в других сервисах. В Андроиде для этого даже отдельный пункт в меню есть, никто этого не скрывает.

Ну и кстати «заходишь на посторонний сайт в браузере и он понимает, что ты это ты.» - неправда. Я сначала неправильно понял, думал ты про другие установленные приложения от Яндекс. В браузере конечно никто ничего не понимает и достать не может. Очередные байки.

Вот взял 16 андроид, в нем есть Яндекс id. Взял хром без кук, Яндекс мой аккаунт не узнал. Есть логи с митмпрокси или аналога, которые подтвердят вашу теорию?

Или опять басни, пересказанные сотни раз?

Ты просто не в курсе происходящего.

Андроид-приложение яндекса запускает HTTP-сервер на 127.0.0.1.

Произвольный сайт подключается к http://127.0.0.1:12345 и может взаимодействовать с андроид-приложением, например запросив данные о пользователе.

Всё уже давно расковыряли и вытащили. Фейсбук делал так же.

Facebook и Yandex использовали свои Android-приложения для деанонимизации сеансов в браузерах — Безопасность — Новости

Произвольный сайт подключается к http://127.0.0.1:12345 и может взаимодействовать с андроид-приложением, например запросив данные о пользователе.

Кул стори, можно статью почитать?

Выше ссылка есть. На хабре был более подробный разбор.

А, это интересная штука, да. https://localmess.github.io/

Мне всегда казалось, что всякие cors в браузере должны от этого защищать.

А ЭТО и не в браузере.

Не выеживайся, подойди поближе к писуару возьми листочек с ручкой, и нарисуй в квалратиках что, и где.

Вот ты рандому с улицы позволилшь в домашнюю локалку подключить розовую черную коробку? Но, приложения в смарте - это тоже самое!

Это в браузере. Заходишь на сайт с жс я.метрика, он шлёт запрос тебе на localhost:12345 и получает данные. Такие запросы должны резаться по умолчанию, очевидно.

Мне всегда казалось, что всякие cors в браузере должны от этого защищать.

CORS не защищают. Они наоборот разрешают. Защищает SOP: Same-Origin Policy. Которая говорит, что без дополнительной конфигурации ты можешь свободно делать запросы только к своему сайту. А CORS это как раз и есть та самая дополнительная конфигурация со стороны стороннего сайта, которая разрешает делать к нему запросы с другого сайта.

Иными словами сервер на локалхосте может отдавать определённые заголовки и к нему любой (или не любой, он сам это решает) сайт сможет делать запросы.

Кроме того SOP не применяется к вебсокетам, к вебсокету любой может подключиться (но сервер видит, с какого сайта пришел запрос и может его отклонить).

Ну и SOP не применяется к ряду запросов, например ты можешь на сайте добавить <img href="http://127.0.0.1"/> и на локалхост уйдёт GET запрос в любом случае, но тут нюанс в том, что JavaScript не сможет прочитать ответ на этот запрос, т.е. передача информации возможна односторонняя (но тут тоже есть свои нюансы).

Хороший онанимус