Ядро системы безопасности что это
Перейти к содержимому

Ядро системы безопасности что это

Реализация ядра безопасности в информационной системе

В данной работе рассматривается реализация ядра безопасности в информационных системах, проектирование которых осуществляется с применением объектно-ориентированной парадигмы. Более подробно объектный подход освещен, например, в [3].

В «Оранжевой книге» [1] надежная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». Поскольку в данной работе мы не будем рассматривать особенности аппаратно-технических средств (конкретных вычислительных платформ) и математического обеспечения (операционных систем и СУБД), термин «надежная вычислительная база» будет применен к программному обеспечению информационной системы. Предполагается, что аппаратный уровень, уровень операционной системы и уровень СУБД являются достаточно надежным для реализации на их основе информационной системы с заданными требованиям к безопасности доступа к информации.

Основные понятия

Основное назначение надежной вычислительной базы — выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности со списком действий, допустимых для пользователя. От монитора обращений требуется выполнение трех свойств:

  • изолированность. Монитор должен быть защищен от отслеживания своей работы;
  • полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;
  • верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности — это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Конфиденциальность определена в ISO 7498-2 как «свойство информации быть недоступной или нераскрываемой для неуполномоченных лиц, сущностей или процессов».

Согласно «Оранжевой книге», политика безопасности должна включать в себя, по крайней мере, следующие элементы:

  • произвольное управление доступом;
  • безопасность повторного использования объектов;
  • метки безопасности;
  • принудительное управление доступом.

Произвольное управление доступом — это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту. Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти, в частности для буферов с образами экрана, расшифрованными паролями и т.п., для дисковых блоков и магнитных носителей в целом.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации. Согласно «Оранжевой книге», метки безопасности состоят из двух частей: уровня секретности и списка категорий. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.

Реализация ядра безопасности

Перед началом описания сделаны некоторые предположения относительно архитектуры информационной системы. Вся информация в ней представлена в виде атрибутов (свойств, полей, членов-данных) объектов определенных в системе классов. Доступ к информации осуществляется через свойства объектов, а изменение информации происходит посредством выполнения методов объектов. Информация об объектах, свойствах и методах хранится в базе данных, которая может являться обычной реляционной СУБД. В этом случае необходимо применение объектно-ориентированного расширения, например, в виде слоя хранимых процедур. Возможна также схема с выделением объектного расширения в виде специализированного сервера объектов. Ниже расширение рассматривается и выделено на схеме, как виртуальная объектно-ориентированная машина.

Объектом системы будем называть любой экземпляр определенного в системе класса, а субъектом — объект, который в данный момент времени инициирует изменение состояния какого-либо другого объекта, в том числе и самого себя, а, следовательно, и всей системы в целом. Особыми субъектами в системе являются те из них, которые могут выступать в качестве изначальных инициаторов того или иного изменения состояния системы. Таковыми будут, например, объекты класса «Пользователь» или «Сервис», которые ассоциированы с внешними по отношению к системе объектами окружающего мира.

Рассмотрим схему взаимодействия системы с пользовательскими процессами посредством ядра безопасности:

Рис.1. Схема взаимодействия субъектов и объектов системы

Очевидно, что реализация взаимодействия объектов информационной системы с ядром безопасности должна быть осуществлена на как можно более высоких уровнях абстракции классов. Реализация не должна допускать переопределения со стороны подклассов, в противном случае будут нарушены принципы изолированности и полноты монитора.

Рассмотрим обобщенные требования к безопасности для объекта абстрактного класса системы:

  • определение видимости данного объекта для субъекта;
  • разделение доступа к свойствам данного объекта со стороны субъекта (свойство инкапсулирует реализацию обращения к членам данным и/или эмулирует логический член данных, физически отсутствующий в классе);
  • разделение доступа к методам данного объекта со стороны субъекта;
  • регистрация изменений состояния данного объекта.

Очевидно также, что потребность в безопасности необходима для общедоступных (public) и публикуемых (published) свойств и методов. Различия между общедоступными и публикуемыми методами состоит в том, что публикуемый метод также является общедоступным, но может быть инициирован пользователем, когда тот запрашивает у объекта список возможных операций с ним. Таким образом, он является общедоступным методом для внешних по отношению к системе объектов через определенный в системе интерфейс опубликования, на уровне взаимодействия «пользователь-система». Например, класс имеет методы «Рассчитать значение по параметру» (public, используется другими объектами) и «Показать текущие значения параметров» (published, выдается в качестве возможного варианта действия пользователю).

Friend-отношения могут рассматриваться только как заранее оговоренный случай внутреннего взаимодействия объектов системы, например получение значений некоторых членов данных напрямую. Некорректное применение friend-отношений может привести к образованию «дыры» в ядре безопасности, через которую можно будет неконтролируемо извлекать или изменять информацию. По личному мнению автора, применение friend-отношений можно полностью исключить на этапе проектирования.

Состояние объекта в системе определяется вектором его свойств и, соответственно, текущими состояниями каждого из этих свойств, то есть: Obj(Property1, Property 2, . Property N). С другой стороны, объект предоставляет субъектам свои методы: Obj(Method1, Method 2, . Method M). С точки зрения обеспечения безопасности, нас интересуют только те свойства и методы, которые являются общедоступными и публикуемыми. Способы доступа к самому объекту со стороны субъекта могут быть описаны, как множество значений: [нет, есть]. Способы доступа к свойствам могут быть описаны, как множество значений: [нет, чтение, запись]. Способы доступа к методам могут быть описаны, как множество значений: [нет, выполнение].

Для математического описания подобной схемы доступа достаточно использования трех матриц:

  • M1: (объекты Х субъекты) со множеством значений [нет, есть];
  • M2: (свойства Х субъекты) со множеством значений [нет, чтение, запись]
  • M3: (методы Х субъекты) со множеством значений [нет, выполнение].

Все три матрицы являются динамически изменяющими размерность и разреженными, поэтому возможно их хранение в виде массива кортежей , то есть хранение матриц по столбцам для непустых значений.

Предположение о том, что объект может изменять доступ к своим свойствам и методам в процессе своего существования требует описания начального и конечных состояний жизни объекта и процедур создания и удаления объекта данного класса. Очевидно, чтобы определить права доступа субъекта к объекту, необходимо вначале создать этот объект. С другой стороны, чтобы создать объект, субъекту необходимо иметь на это право, то есть иметь право на выполнение конструктора объекта. Разрешение подобной дилеммы состоит в рассмотрении понятия класса, как активного участника процесса, а не пассивного шаблона создания объекта.

Для этого необходимо определять права доступа субъекта к свойствам и методам класса, так же, как и к его объекту. Данные установки будут также использоваться, как «установки по умолчанию» для созданного объекта в системе. Таким образом, мы будем иметь «шаблон прав доступа» для субъекта по отношению к данному классу объектов. Это позволяет еще более разрядить матрицу схем доступа и хранить в ней только схемы тех объектов, доступ к которым для одного и более субъектов был изменен.

Рис.2. Диаграмма классов реализации безопасного доступа

Удаление может быть инициировано субъектом, имеющим право выполнения деструктора объекта. При удалении объекта из системы, информация о правах доступа к нему со стороны других субъектов также должна быть удалена. Случай логического удаления объекта или архивации может рассматриваться как обычное исполнение одного из его методов.

Политика назначения прав и наследование

Существуют две граничные (крайние) политики назначения прав в системе:

  1. Разрешено все, что не запрещено
  2. Запрещено все, что не разрешено

Отличие в реализации той или иной политики ядром безопасности будет состоять в организации пустых значений разреженной матрицы схемы доступа и логической интерпретации этих значений. Так, для политики (1) пустыми (нулевыми) значениями будут «Yes» из определенного выше множества, а интерпретация пустого значения будет наличие прав к объекту, свойству или методу. Наоборот, для политики (2) нулевыми значениями являются «No», а их интерпретация говорит об отсутствии таковых прав доступа.

Наследование прав доступа проявляется только на этапе назначения прав доступа для классов, то есть создания так называемого шаблона прав или схемы «по умолчанию». Наследование прав доступа также зависит от политики назначения. В случае (1), если для пользователя определены права на класс, то автоматически эти права переносятся на все подклассы. В случае (2) этого не происходит и необходимо явно указывать права для каждого класса. Оптимальным может быть решение о смешанной политике назначения прав.

Необходимо стремиться оптимизировать хранение разреженной матрицы в зависимости от выбранной политики. Как правило, число объектов в системе более чем вдвое меньше числа доступных из них данному пользователю. Например, если принять за пустое значение (NULL) имеющиеся во всех трех матрицах элементы «нет», то храниться будут только кортежи, имеющие отличные от «нет» значения. К еще большему разрежению матрицы приводит также группировка субъектов (пользователей) в рабочие группы, а также группировка видимости свойств и возможности выполнения методов в роли.

Реализация для системы на основе реляционной схемы БД

Рис.3. Модель реализации безопасного доступа (IDEF1X)

Идентификатор (ID) объекта в приведенной модели является сквозным во всей системе, поэтому можно организовать единообразное хранение и обработку матриц схем доступа к объектам. При реализации проверки доступа на уровне слоя хранимых процедур сервера (клиент СУБД не имеет прав доступа к таблицам, а только может исполнять хранимые процедуры) нам будет достаточно одной процедуры для проверки прав доступа (Transact SQL):

execute HaveAccess @ObjectID, @SubjectID, @MemberID, @AccessType output

В ядре безопасности системы также определены процедуры:

  • проверки формирования по запросу списка всех методов данного объекта с отсечением тех, на которые пользователь не имеет прав;
  • проверки формирования списка объектов по запросу (например, некоторое поддерево) с отсечением невидимых пользователю объектов;
  • проверки формирования образа свойств в некотором буфере для просмотра, редактирования, фильтрации, отчетности и других методов с сокрытием недоступных пользователю данных (отображения свойств).

Процедуры используются ядром виртуальной ОО-машины в протоколах обмена данными с клиентским приложением непосредственно перед отправкой данных.

Что пользователям следует знать о ядре системы Windows

Если мы хотим узнать больше деталей о работе операционной системы Windows, типичные системные функции, доступные для пользователя далеко нас не приведут. Они предлагают остаточное количество информации о процессах, протекающих в фоновом режиме.

Мы должны заглянуть ещё глубже – в архитектуру Windows. Там, глубоко под цветным интерфейсом пользователя, находится, так называемое, ядро (англ. kernel). Без него использование операционной системы будет практически невозможно. От его существования и действий зависит практически всё.

Что делает ядро Windows

Все популярные операционные системы являются чрезвычайно сложными. Для того, чтобы всё могло работать, нужен единый центр контроля и управления, то есть ядро. Оно состоит из очень многих строк кода, составляющих основные функции системы, работающие в фоновом режиме.

Для примера, код Windows Vista включает в себя более 50 миллионов строк. В Windows 7, в результате оптимизации кода, их число сократилось до «всегою 40 миллионов.

Работая каждый день в Windows невозможно понять сложность ядра. Оно действует в фоновом режиме и отвечает, среди прочего, за взаимодействие между внутренними компонентами ПК, а также внешними устройствами.

Цифровой образ ядра системы Windows

Ядро контролирует программы, которые работают, позволяет использовать файловые системы для хранения данных и исключает возможные конфликты доступа. Последние возникают, например, когда при высокой нагрузке компьютера много программ одновременно хочет сохранять данные на жестком диске. В этом случае программам определяются приоритеты и они ждут своей очереди.

Начиная с Windows Vista за правильную работу с мультимедиа отвечает служба под названием Multimedia Class Scheduler Service (MMCSS). Мы можем управлять её параметрами с помощью панели управления службами. Используйте сочетание клавиш Win + R и в окне Запуск программы введите команду services.msc, а затем нажмите Enter .

Multimedia Class Scheduler заботится о том, чтобы мультимедийные приложения всегда имели в распоряжении соответствующие ресурсы процессора. Если аудио или видео файл воспроизводится с помехами, рекомендуется в панели управления службами дважды щелкнуть на службе MMSCS (Планировщик классов мультимедиа), проверить тип запуска и, возможно, изменить его на Автоматический.

Ядро на страже безопасности системы

Помимо безопасной работы системы, ядро Windows заботится о безопасности. Он делает это с помощью различных решений, таких как, например, режимы user и kernel, проверка подписи драйверов, а также механизм ASLR (Address Space Layout Randomization).

Программы, работающие в режиме пользователя, имеют ограниченные полномочия. Речь идет, среди прочего, об отсутствии прямого доступа для аппаратному слою. Его, в свою очередь, используют драйверы, которые напрямую должны взаимодействовать с различными компонентами компьютера. Это именно они работают в режиме kernel. Они выполняют свои задачи намного быстрее, но подвержены большей опасности.

Здесь в действие вступают тесты базы данных драйверов, которые проверяют файл установки, например, драйвера графической карты, его достоверность и отсутствие подозрительного кода. В 64-разрядной версии Windows установка драйверов, которые не прошли успешную проверку, по умолчанию отключена.

В свою очередь, упомянутая ранее защитная функция ASLR присваивает случайные адреса данным в оперативной памяти и предотвращает использование уязвимостей в системе безопасности через вредоносное программное обеспечение.

ХЭЛ – посредник между ядром и оборудованием

Неразрывно с ядром Windows связан, так называемый, слой абстрагирования оборудования (англ. HAL – Hardware Abstraction Layer).

В сущности, речь идет об универсальном наборе инструкций, обеспечивающим обмен информацией между системой и различными аппаратными компонентами. Благодаря этому разработчики Windows не вынуждены каждый раз настраивать код для другой аппаратной конфигурации пользователя. Достаточно, чтобы компьютер выполнял требования, а об остальном позаботится ХЭЛ.

Мы должны, однако, помнить, что замена основных компонентов компьютера, такого как материнская плата, повлечет за собой необходимость переустановки Windows.

Основы безопасности операционной системы Android. Уровень ядра

Самой распространенной операционной системой для смартфонов на сегодняшний день является Android. Но не только этот факт подогревает интерес к ней. Открытость, возможность что-то настроить, подкрутить, и, естественно, сломать тоже в немалой степени способствуют увеличению популярности этой платформы. Я попробую поделиться опытом, как устроена эта операционная система, а так же рассмотреть систему безопасности. Всем, кому интересно, добро пожаловать! В этой статье я рассмотрю безопасность на уровне ядра.

Disclaimer

Термины я буду стараться писать на английком языке, так как боюсь ошибиться в их переводе. Если кто-то знает, как их красиво перевести на русский язык, напишите мне, и я дам перевод этих терминов. Желательно, чтобы у вас под рукой находились исходный код Android (хотя я и буду стараться давать ссылки на файлы в Интернете), потому что я иногда буду давать ссылки на файлы, где находится та или иная функциональность. Как загрузить исходный код, можно почитать здесь или вот в этой статье на Хабре.

Список статей

Стек Android

  1. Linux kernel (Ядро Linux)
  2. Native Libraries
  3. Application Framework
  4. Applications (Приложения)

Native Libraries. К этому слою относятся различные нативные библиотеки, которые необходимы для работы Android. Они так же позаимствованы у open-source сообщества. Среди них мы можем найти SQLite, WebKit и т.д.

Android Framework. К этому слою относится то, с чем мы обычно взаимодействуем, когда пишем наши приложения для Android (PowerManager, ActivityManager, NotificationManager и т.д.).

Applications. Приложения бывают двух типов: те, что поставляются вместе с образом системы (системные) и приложения, которые мы загружаем из маркета или других источников. В первом случае, в устройстве приложения находятся в «/system/app» директории, во втором случае в «/data/app».

Безопасность на уровне ядра

  1. Используя приложение PackageInstaller
  2. Используя приложение Android Market
  3. Используя комманду adb install

Во время установки, Android каждому приложению по умолчанию присваивает уникальные user ID (UID) и group ID (GID), таким образом каждому приложению в этой операционной системе соответсвует свой пользователь. Имя пользователя обычно имеет формат app_x, а идентификаторы пользователя вычисляется по формуле (Process.FIRST_APPLICATION_UID + x), Process.FIRST_APPLICATION_UID равен 10000. Эти идентификаторы приложения не изменяются. Список установленных приложений хранится в файле «/data/system/packages.list» и если у вас рутованый телефон, или вы работаете с эмулятором, то вы можете просмотреть этот файл, используя следующую комманду:

У каждого приложения есть своя домашняя директория, например /data/data/<package_name>, где <package_name> — имя Android пакета, например com.ex.ex1 Имя Android пакета задается в свойстве package в файле AndroidManifest.xml Эта папка — Internal storage (внутреннее хранилище), директория, где приложение хранит все свои приватные данные, и к которому разработчики приложений получают доступ используя функции Context.getFilesDir() или Context.getDir() У этой папки права доступа определены как drwxr-x—x, т.е. только владелец и пользователи входящие в группу владельцев имеют полный доступ к этой папке. А так как каждое приложение определено как уникальный пользователь, то это означает, что приложения, по умолчанию, не имеют доступа к информации друг друга. Хотя при создании файла во внутреннем хранилище можно явно задать, что этот файл будет MODE_WORLD_READABLE и/или MODE_WORLD_WRITABLE

Кроме того, на уровне ядра уникальные UID и GID каждого приложения используются для разделения доступа к ресурсам системы (память и процессорное время). Таким образом, на уровне ядра для каждого приложения создается своя собственная песочница (Application Sandbox).

С другой стороны, разработчик приложения может указать, что некоторые ЕГО приложения должны иметь один и тот же UID. В AndroidManifest.xml файле для этого есть специальное свойство sharedUserId В этом случае, эти приложения будут иметь доступ к ресурсам друг-друга, но только если они подписаны одним и тем же ключом разработчика.

Некоторые permission (разрешения) так же работают на уровне ядра. Давайте, например, рассмотрим наиболее используемое разрешение android.permission.INTERNET Если приложение запрашивает это разрешение, то Android во время установки дополнительно включает это приложение в специальную группу «inet». Так же работают и некоторые другие разрешения. Список соответствия между этими разрешениями и соответствующими группами можно найти в файле frameworks/base/data/etc/platform.xml:

Список соответствия между именами этих групп и значениями (GID) задан в явном виде в файле system/core/include/private/android_filesystem_config.h в массиве структур android_ids[]:

Таким образом, если приложение пытается подключиться к Интернету, ядро проверяет, находится ли это приложение в группе с идентификатором AID_INET. Если нет, то приложению запрещается доступ. Код этой проверки очень тривиальный:

Заключение

Это моя первая статья на Хабре, так что не судите строго. Если сообществу интересно, то я продолжу в следующих статьях описывать внутренности Android. Я понимаю, что много не знаю, да и времени всегда не хватает, но я постараюсь поделиться тем, что уже пропустил через себя. Надеюсь, что узнаю что-то новое из комментариев! Если кому-то интересна какая-то определенная тема, то пишите в комментариях, постараюсь в будущих статьях учесть ваши пожелания.

Оптимизация Miui / отключение не нужных служб

Рабочий стол и Недавние — отключаем “Лента виджетов” (отдельный экран с не очень полезными виджетами от Xiaomi. Ситуацию могла бы изменить возможность использования любых виджетов, установленных в системе.

В разделе Блокировка и защита

Добавляем графический (цифровой ключ), отпечатки и данные о лице (для автоматической разблокировки по лицу)

Расширенные настройки — На заблокированном экране — Скрывать содержимое уведомлений, включаем режим “В кармане”

Play Маркет — Настройки — Автообновление приложений — Никогда (Теперь ни одно установленное приложение не станет самостоятельно обновляться)

Расширенные настройки — Доступ к личным данным (отключаем все ненужные приложения)

Уведомление

Сразу отключаем (ограничиваем) уведомления от надоедливых приложений

Для некоторых программ можно отключить только отображение счетчика уведомлений на иконке приложения, т.е. в шторке уведомления появляться будут, но на иконке никаких циферок мы не увидим. Это может быть актуально для абсолютно любых приложений, которые часто напоминают об обновлениях, регулярных акциях и прочей несущественной информации.

И, наоборот, включаем всплывающие уведомления с разворачиванием на весь экран от приложений, которыми активно пользуетесь, в моем случае это Microsoft Outlook и мессенджеры Whatsapp и Viber. Кстати, в Whatsapp есть свои настройки всплывающих уведомлений, которые позволяют включать экран смартфона даже, если он выключен, — это удобно, когда смартфон большую часть времени находится неподалеку, например, на какой-нибудь подставке или беспроводной зарядке на столе.

Отключение рекламы без Root прав

Системное приложение msa — главный распространитель рекламы в прошивке MIUI, необходимо по максимуму запретить его использование:

Расширенные настройки — > Доступ к личным данным -> Убираем доступ у msa, MiuiDaemon, Обновление компонентов. В идеале еще надо отобрать права у приложения Безопасность, но такой возможности разработчик не предоставляет.

Безопасность -> Передача данных -> Сетевые подключения -> Системные приложения (в конце списка) -> Ищем и отключаем приложение msa

Безопасность -> Передача данных -> Сетевые подключения -> (три точки в правом верхнем углу) -> Фоновые подключения -> Ищем и отключаем приложение msa

Безопасность -> Приложения -> Находим приложение msa и очищаем все его данные

Этап первый: отключаем приложения без применения ROOT-прав

Для аппаратов Xiaomi используем известную многим программу Redmi System manager, загруженную из Play Маркет, после установки будет называться System App Remover.

Также можете использовать link2sd

Отключаем следующие приложения:

Загрузки (без этого компонента файлы прекрасно скачиваются)

Календарь (Calendar) — вместо этого будем использовать родное приложение от Google

Карты (Google Maps) — замораживаем, привычнее пользоваться Яндекс картами

Погода — не думаю, что забугорное приложение будет давать более точные прогнозы, чем Яндекс погода.

Chrome — хороший браузер, но для телефона нужно приложение попроще, то, которое не будет кэшировать все подряд и не будет засорять телефон. Ещё смутил тот факт, что приложение сделали системным, т.е. его нельзя удалить или полность выгрузить из фоновой работе штатными средствами. И это смущает. Установите что-то попроще, например, Яндекс.Браузер Лайт, Opera Mini или какой-нибудь DU Browser Mini.

com.mfashiongallery.emag — это карусель обоев от Xiaomi, для смены изображений на экране блокировки. По мне так можно удалить это приложение или оставить, если Вы любитель украшательств.

Duo — аналог Skype, только от компании Google, не вижу смысла пользоваться приложением, особенно, если уже зарегистрированы в Viber или Whatsapp

Facebook App Manager — как ни странно прекрасно живёт в нашем телефоне даже после того как мы удалили приложение Facebook

Gmail — не вижу смысла оставлять это приложение, так как оно постоянно работает в фоне, хоть и немного, но будет расходовать ресурсы и трафик. Отключаем, так как всегда можно зайти на Gmail.com в любом браузере.

Google Play Музыка — пользовался пробной подпиской, не понравилось, сделал выбор в пользу Яндекс музыки, да ещё и нашел на просторах Интернета ломаную версию 2.99 с неограниченной подпиской

Google Play Фильмы — не пользуюсь этим сервисом

MRGSVendorApp — com.my.games.vendorapp — удаляем, так как предпочитаю загружать игры исключительно через Play Маркет

Ну вот мы и дошли до конца списка, теперь пора нажать на кнопку “Ещё” и “Показать системные процессы”, снова смотрим что можно отключить с начала списка:

Отзывы о маркете — отключать только в том случае, если не пишите отзывы

Память календаря — отключаем, зачем календарю память, если само приложение Календарь мы уже отключили? Используем только оригинальные приложения от Google!

Служба погоды — отключаем в догонку за уже отключённом приложением Погода

Справочник — приложение с полным доступом к Контактам, телефону и СМС, однозначно отключаем, особенно, если учесть, что приложение Контакты и телефон от Xiaomi мы уже отключили.

Bookmark Provider — какой-то сервис закладок от Google, возможно имеет отношение к Play Маркет, ни разу не пользовался

Call Log Backup/Restore — не стоит доверять всем подряд историю своих звонков, доверим это только одному приложению Truecaller. ?

Facebook Services, Facebook App Installer — очередные приложения от Facebook, которые возведены в ранг системных, которые невозможно удалить, только отключить.

Синтезатор речи Google (GoogleTTS, com.google.android.tts). После заморозки приложения в меню «Спец. возможности» пропадает возможность управлять настройками синтеза речи. Синтезатор по умолчанию — <пусто>

( Я например его полностью удалил , но для этого нужен root)

Google Print Service Recommendation Service –компонент Google Cloud Print. Отключаем, если не используем виртуальный принтер от Google.

Mipay — платежный сервис Xiaomi, в России он точно не приживется

Talkback — приложение для озвучивания действий пользователя на Android

Ну вот и всё, что можно выжать из бесплатной программы без Root прав. Как вы, наверное, заметили, осталась ещё куча разных приложений, которые просто невозможно было удалить или отключить из-за неактивных кнопок,

Отключаем приложения через link2sd с Root правами

С помощью этого замечательного приложения можно отключить те программы, которые невозможно было отключить стандартным способом или через System App Remover.

YellowPage – Желтые страницы. Позволяет видеть более подробную информацию об корпоративных клиентах, их номерах и счетах. Удалил. (Можно и удалить )

UniPlay Service (MiLinkService)

com.xiaomi.micloudsdk.SdkApplication (RtMiCloudSDK)

Mi Credit (PaymentService)

Браузер (Browser)

Mi Видео (MiuiVideoPlayer) не обязательно, но если не используете то отключайте

Hardware Test (MiRecycle)

MiCloudSync

Quick Apps (HybridPlatform)

HybridAccessory (com.miui.hybrid.accessory) требует кучу разрешений и ломится в интернет по адресам: libgifimage.so, libimagepipeline.so, libj2v8.so.

MiWebView

Ядро системы безопасности (SecurityCoreAdd)

Третий этап блокировок (может повлиять на функциональность, делать строго после создания бэкапа):

Плагин службы безопасности (SecurityAdd)

Companion Device Manager помогает находить потерянный телефон

MmsService

msa (MSA-Global) вставляет рекламу в стандартные приложения

Analytics (AnalyticsCore) бэкдор Xiaomi

Лента виджетов (PersonalAssistantGlobal) (можно удалить) взаимодействует с экраном слева от вашего домашнего экрана, там где Заметки, Мероприятия, Ярлыки… Если, заморозить, то экран никуда не девается, но что-то поменять там возможности уже не будет, например, если решите нажать на кнопку «Настройки», то ничего не откроется, кроме сообщения «Приложение не найдено»; Корректное отключение производится через меню Настройки-Рабочий стол и недавние-Лента виджетов

Autotest тесты смартфона

com.android.wallpaperbackup ненужный бэкап

Резервирование в Mi Cloud (CloudBackup)

CloudServiceSysbase (com.miui.cloudservice.sysbase) — сервис связанный с Mi Cloud, скорее всего с активацией и работой;

Mi Cloud (CloudService)

MiuiDaemon (com.miui.daemon) — спорный сервис, где-то пишут, что это сервис мониторинга и отправки данных (а-ля тотальный заговор против конфиденциальности человечества), а где-то пишут, что это сервис управления производительностью (ядром). При отключении данного сервиса мне не удалось обнаружить падений системы и сбоев в работе;

SecProtect (com.qapp.secprotect)

Обновление компонентов (com.xiaomi.discover)

Темы (ThemeManager, com.xiaomi.thememanager). После отключения пункт Темы в Настройках не исчезает, но работать перестает.

miui.external.Application (ThemeModule, com.android.thememanager.module)

Google (Velvet.apk, com.google.android.googlequicksearchbox) поиск от Google, включающий в себя строку поиска на рабочем столе и Google Now. Есть не в каждой прошивке MIUI.

GoogleOneTimeInit (GoogleOneTimeInitilalizer.apk,com.google.android.onetimeinitializer) — мастер установки дополнительных Google-приложений;

SysoptApplication (SYSOPT, com.miui.sysopt)

Отчет (BugReport, com.miui.bugreport)

Заметки (Notes, com.miui.notes) замораживаем, если используем другое приложение, например Заметки Google (Google Keeps)

com.miui.internal.app.SystemApplication (miuisystem, com.miui.system)

WMService (com.miui.wmsvc) – нигде нет информации по этому приолжению, значит надо отключить! ?

AntiSpam (com.miui.antispam) – отключаем, так как лично я использую Truecaller в качестве спам фильтра для звонков и смс.

Службы которые появились в miui 11 ( android 10 )

Антивирус tencen — не вижу ни какого смысла в его существовании

X google enrollment — что-то связанное с технологиями гугл

Незамораживаемые приложения:

на некоторых прошивках не отключаются данные службы

Компоненты безопасности MIUI (com.miui.guardprovidee) размораживается после перезагрузки;

Поиск устройства (FindDevice, com.xiaomi.finddevice)

Обновление (system/app/Updater/Updater.apk, com.android.updater)

Если вы нашли ошибку или опечатку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Добавить комментарий

Ваш адрес email не будет опубликован.