امنیت و امن‌سازی اندروید (Android Hardening)

برای کاربران ایرانی، امن‌سازی یک دستگاه اندرویدی چالشی دوگانه است: حفاظت در برابر تهدیدات سایبری جهانی و همزمان مقابله با ریسک‌های خاص ناشی از دستگاه‌های نظارتی جمهوری اسلامی، فیلترینگ اینترنت و بدافزارهای دولتی.

این راهنما توضیح می‌دهد که چگونه دستگاه اندرویدی خود را مقاوم‌سازی (Harden) کنید، مدیریت برنامه‌ها را در یک محیط محدود شده به صورت امن انجام دهید و از داده‌های خود در برابر توقیف فیزیکی و دیجیتالی محافظت نمایید.

---

۱. مدل امنیتی اندروید

درک اصول اولیه به شما کمک می‌کند تصمیمات بهتری بگیرید. اندروید مدرن بر پایه اصول امنیتی قدرتمندی بنا شده است:

• سندباکس (Sandboxing): هر برنامه در محیط ایزوله و اختصاصی خود اجرا می‌شود. یک ماشین‌حساب مخرب نمی‌تواند پیام‌های واتس‌اپ شما را بخواند، مگر اینکه صراحتاً به آن مجوز داده باشید.
• بوت تایید شده (Verified Boot): تضمین می‌کند که سیستم‌عامل دستکاری نشده باشد. اگر بدافزاری تلاش کند هسته سیستم‌عامل را تغییر دهد، گوشی روشن (بوت) نخواهد شد. هرگز قفل بوت‌لودر (Bootloader) خود را باز نکنید مگر اینکه قصد نصب یک سیستم‌عامل سفارشی امضا شده مانند GrapheneOS را داشته باشید.
• رمزگذاری (Encryption): اندروید مدرن از رمزگذاری مبتنی بر فایل (FBE) استفاده می‌کند. داده‌های شما بدون داشتن رمز عبورتان غیرقابل خواندن هستند.

هشدار برای کاربران ایرانی: روت کردن (Rooting) دستگاه، این مدل امنیتی را از بین می‌برد. برای دور زدن محدودیت‌ها یا نصب ابزارهای تقلب، گوشی خود را "روت" نکنید. روت کردن باعث می‌شود بدافزارهای دولتی (که اغلب در قالب VPN یا پروکسی پنهان شده‌اند) بسیار راحت‌تر کنترل کامل دستگاه شما را به دست بگیرند.

---

۲. انتخاب دستگاه و سیستم‌عامل

سخت‌افزار پیشنهادی

اگر قصد خرید دستگاه جدید دارید، اولویت را با گوشی‌های Google Pixel بگذارید. این گوشی‌ها دارای چیپ امنیتی Titan M2 هستند که وظیفه رمزگذاری و حفاظت در برابر حملات فیزیکی را بر عهده دارد. همچنین، این دستگاه‌ها از نصب GrapheneOS، که استاندارد طلایی حریم خصوصی در اندروید است، پشتیبانی می‌کنند.

انتخاب سیستم‌عامل

1. GrapheneOS (بهترین گزینه): تنها برای دستگاه‌های پیکسل موجود است. این سیستم‌عامل امنیتی سخت‌گیرانه، نسخه سندباکس شده‌ای از گوگل پلی و به‌روزرسانی‌های سریع را ارائه می‌دهد. همچنین تمام ردیاب‌های گوگل را به صورت پیش‌فرض حذف می‌کند.
2. اندروید خام (خوب): اندروید استاندارد روی دستگاه‌های پیکسل یا سامسونگ (با قابلیت Knox) در صورتی که به‌روز نگه داشته شوند، امن هستند.
3. اجتناب کنید: از کاستوم رام‌های "روت شده" (مانند نسخه‌های عمومی LineageOS بدون بوت تایید شده) یا دستگاه‌هایی که به پایان عمر پشتیبانی (EOL) رسیده‌اند و دیگر آپدیت امنیتی دریافت نمی‌کنند، خودداری کنید.

---

۳. مدیریت امن اپلیکیشن‌ها در ایران

گوگل پلی استور اغلب در ایران فیلتر است که کاربران را به سمت فروشگاه‌های شخص ثالث ناامن (مانند کافه بازار یا مایکت) یا دانلود مستقیم از تلگرام سوق می‌دهد. این منابع پر از بدافزار هستند.

الف. چگونه اپلیکیشن‌ها را امن دانلود کنیم

برای برنامه‌های حساس از فروشگاه‌های اپلیکیشن ایرانی استفاده نکنید. از جایگزین‌های زیر استفاده کنید:

• Aurora Store: یک کلاینت ناشناس برای گوگل پلی استور. این برنامه به شما امکان می‌دهد اپلیکیشن‌ها را مستقیماً از سرورهای گوگل بدون نیاز به اکانت گوگل دانلود کنید و برخی از سدهای سانسور را دور بزنید.
  • دانلود از: F-Droid یا GitLab.
• Obtainium: به شما اجازه می‌دهد برنامه‌های متن‌باز (Open-source) را مستقیماً از صفحه انتشار آن‌ها (GitHub/GitLab) نصب و به‌روزرسانی کنید. این ابزار برای برنامه‌هایی مانند Signal، V2RayNG یا Tor Browser عالی است.
  • دانلود از: GitHub.
• F-Droid Basic: مخزنی از نرم‌افزارهای آزاد و متن‌باز (FOSS). برای امنیت بیشتر و به‌روزرسانی‌های خودکار، از نسخه "Basic" استفاده کنید.
  • دانلود از: F-Droid.org.

ب. ایزوله‌سازی اپلیکیشن‌های داخلی (استراتژی "Shelter")

شهروندان ایرانی اغلب مجبور به نصب اپلیکیشن‌های داخلی برای امور بانکی، تاکسی اینترنتی (اسنپ، تپسی) یا خدمات دولتی (سجام) هستند. این برنامه‌ها ممکن است داده‌های بیش از حد جمع‌آوری کنند یا حاوی کدهای جاسوسی باشند.

هرگز اپلیکیشن‌های داخلی را در پروفایل شخصی اصلی خود اجرا نکنید.

1. نصب Shelter: این برنامه از قابلیت "Work Profile" (پروفایل کاری) اندروید استفاده می‌کند تا یک محفظه جداگانه روی گوشی شما بسازد.
2. ایزوله‌سازی: تمام برنامه‌های داخلی (اسنپ، دیوار، روبیکا، ایتا، همراه بانک‌ها) را داخل محیط Shelter (پروفایل کاری) نصب کنید.
3. توقف اجباری (Freeze): زمانی که از این برنامه‌ها استفاده نمی‌کنید، از طریق Shelter آن‌ها را "Freeze" کنید. این کار مانع از اجرای آن‌ها در پس‌زمینه، ردیابی موقعیت مکانی یا استفاده از میکروفون می‌شود.
4. فضای خصوصی (Private Space) در اندروید ۱۵+: اگر اندروید ۱۵ دارید، از قابلیت بومی "Private Space" برای ایزوله‌سازی بهتر برنامه‌های حساس استفاده کنید.

---

۴. امنیت شبکه و دور زدن سانسور

الف. پیکربندی VPN

استفاده از VPN نه تنها برای دور زدن سانسور، بلکه برای رمزگذاری ترافیک در برابر بازرسی عمیق بسته‌ها (DPI) توسط ISPها ضروری است.

1. Kill Switch (قطع‌کن اضطراری): به مسیر Settings > Network & internet > VPN بروید. روی آیکون چرخ‌دنده کنار VPN خود کلیک کنید. گزینه‌های "Always-on VPN" و "Block connections without VPN" را فعال کنید. این کار تضمین می‌کند در صورت قطع شدن VPN، هیچ داده‌ای نشت پیدا نکند.
2. اجتناب از VPNهای رایگان: اکثر "فیلترشکن‌های رایگان" که در تلگرام یا اینستاگرام تبلیغ می‌شوند، ابزارهایی برای جمع‌آوری داده یا تله‌های (Honeypot) وابسته به نهادهای دولتی هستند. از ابزارهای مطمئن مانند V2RayNG، Hiddify یا Mullvad استفاده کنید.

ب. DNS خصوصی (Private DNS)

ارائه‌دهندگان اینترنت (همراه اول، ایرانسل) از دستکاری DNS برای مسدود کردن سایت‌ها و ثبت درخواست‌ها استفاده می‌کنند.

1. به مسیر Settings > Network & internet > Private DNS بروید.
2. گزینه Private DNS provider hostname را انتخاب کنید.
3. یک ارائه‌دهنده معتبر وارد کنید (مثلاً dns.quad9.net یا 1dot1dot1dot1.cloudflare-dns.com). نکته: در زمان‌های اختلال شدید اینترنت، ممکن است DNSهای رمزگذاری شده استاندارد مسدود شوند و مجبور شوید به DNS خودِ VPN تکیه کنید.

ج. غیرفعال کردن 2G (جلوگیری از شنود پیامک)

نهادهای امنیتی از شبیه‌سازهای دکل موبایل (Stingrays) برای پایین آوردن سطح اتصال به 2G استفاده می‌کنند تا بتوانند پیامک‌ها (از جمله کدهای ورود دو مرحله‌ای) را رهگیری کنند.

• اندروید ۱۲ و بالاتر: به مسیر Settings > Network & internet > SIMs > Allow 2G بروید و آن را خاموش (OFF) کنید.

---

۵. پیکربندی حریم خصوصی

الف. بازرسی مجوزها (Permissions Audit)

مرتباً به مسیر Settings > Privacy > Permission Manager سر بزنید.

• موقعیت مکانی (Location): روی "While Using the App" (فقط هنگام استفاده) یا "Never" تنظیم کنید. هرگز به اپلیکیشن‌های داخلی مجوز "All the time" (همیشه) ندهید.
• میکروفون/دوربین: دسترسی هر برنامه‌ای که لزوماً به آن نیاز ندارد را لغو کنید.
• سنسورها: اندروید ۱۰ و بالاتر به شما امکان می‌دهد تمام سنسورها (میکروفون، دوربین، GPS، ژیروسکوپ) را از طریق یک کاشی توسعه‌دهنده غیرفعال کنید.
  • فعال‌سازی: Developer Options را فعال کنید (۷ بار روی Build Number ضربه بزنید) > System > Developer Options > Quick settings developer tiles > Sensors Off. این کار دکمه‌ای به تنظیمات سریع (Quick Settings) اضافه می‌کند تا فوراً تمام سنسورها را قطع کنید.

ب. تنظیمات گوگل (اندروید خام)

اگر از GrapheneOS استفاده نمی‌کنید، Google Play Services را محدود کنید:

1. حذف شناسه تبلیغاتی: Settings > Privacy > Ads > Delete advertising ID. این کار پروفایلی که تبلیغ‌کنندگان و ردیاب‌ها از شما ساخته‌اند را از بین می‌برد.
2. خاموش کردن تاریخچه مکان: Settings > Location > Location Services > Google Location History.

---

۶. امنیت فیزیکی و عبور از مرزها

در ایران، توقیف دستگاه توسط نیروهای لباس شخصی (بسیج) یا در ایست‌های بازرسی یک تهدید واقعی است.

الف. رمزگذاری و پسوردها

• رمز عبور قوی: از یک عبارت عبور (Passphrase) شامل حروف و اعداد با بیش از ۱۰ کاراکتر استفاده کنید. از پین کد ۴ یا ۶ رقمی استفاده نکنید.
• غیرفعال کردن بیومتریک: قفل اثر انگشت و تشخیص چهره ممکن است به زور باز شوند. قبل از حضور در اعتراضات یا عبور از مرزها آن‌ها را غیرفعال کنید.
  • اضطراری: دکمه پاور را نگه دارید و گزینه "Lockdown" (اگر در تنظیمات فعال باشد) را انتخاب کنید تا فوراً بیومتریک‌ها غیرفعال شده و نوتیفیکیشن‌ها از صفحه قفل مخفی شوند.

ب. قبل از اولین بازگشایی (BFU)

وقتی گوشی شما کاملاً خاموش شده و سپس روشن می‌شود، در حالت "قبل از اولین بازگشایی" (Before First Unlock) قرار دارد. در این حالت، داده‌های شما کاملاً رمزگذاری شده‌اند و کلیدهای رمزگشایی در حافظه رم نیستند.

• توصیه: اگر به ایست بازرسی نزدیک می‌شوید یا احتمال توقیف می‌دهید، دستگاه خود را کاملاً خاموش کنید (Power Off). بررسی فنی (Forensic) گوشی خاموش بسیار دشوارتر از گوشی‌ای است که فقط قفل صفحه آن فعال است.

ج. برنامه‌ها و داده‌های پنهان

• پروفایل‌های کاربری: یک پروفایل کاربری دوم به عنوان "مهمان" (Guest) یا "سفر" بسازید (Settings > System > Multiple Users) و در آن برنامه‌های عادی و بی‌خطر نصب کنید. اگر مجبور شدید گوشی را باز کنید، وارد این پروفایل تمیز شوید.
• نکته: ابزارهای جرم‌شناسی دیجیتال (مانند Cellebrite) می‌توانند وجود چندین کاربر را تشخیص دهند. این استراتژی فقط در برابر جستجوهای دستی سریع توسط مأموران در خیابان موثر است، نه در آزمایشگاه‌های پیشرفته.

---

۷. راهکارهای مقابله با تهدیدات خاص ایران

الف. فیشینگ پیامکی (Smishing)

یکی از روش‌های اصلی نفوذ به دستگاه‌های اندرویدی در ایران، پیامک‌های جعلی با عنوان قوه قضاییه (ثنا)، سامانه ثبت (سجام) یا اداره پست است. این پیامک‌ها حاوی لینک‌هایی برای دانلود بدافزار هستند.

• قانون: هرگز روی لینک‌های موجود در پیامک کلیک نکنید. نهادهای دولتی معمولاً از طریق شماره‌های شخصی لینک ارسال نمی‌کنند.
• دفاع: اگر به اشتباه یک فایل APK را از لینک پیامکی دانلود کردید، آن را نصب نکنید. اگر نصب کردید، فوراً گوشی را به تنظیمات کارخانه (Factory Reset) برگردانید.

ب. بدافزارهای تعقیب‌کننده و ردیابی خانوادگی

بدافزارهای دولتی اغلب در پوشش برنامه‌های "مکان‌یابی خانواده" یا "کنترل والدین" پنهان می‌شوند. به صورت دوره‌ای بخش Device Admin Apps را بررسی کنید (Settings > Apps > Special app access > Device admin apps). اگر برنامه‌ای ناشناس دیدید که دسترسی ادمین دارد، فوراً دسترسی را لغو و آن را حذف کنید.

ج. مواجهه با توقیف دستگاه

اگر دستگاه شما توقیف شد:

1. فرض را بر این بگذارید که دستگاه آلوده شده است. حتی اگر پس داده شود، ممکن است روت‌کیت (Rootkit) روی آن نصب شده باشد.
2. از قابلیت Find My Device (اگر فعال و امن است) برای پاک کردن اطلاعات از راه دور (Wipe) استفاده کنید.
3. فوراً تمام نشست‌های فعال (Active Sessions) تلگرام، اینستاگرام و گوگل را از طریق یک کامپیوتر امن خاتمه دهید (Terminate).

---

۸. چک‌لیست خلاصه برای امن‌سازی

---

منابع:

• Privacy Guides: Android Overview & Hardening
• Certfa: Mobile Security & SIM Swapping
• Security in a Box: Protect Your Android Device
• Tactical Tech: Mobile Safety for Activists