Cómo evitar a Google en Android

Por: Ladano

Hoy en día, si queremos tener privacidad en Android deberemos evitar los Servicios de Google ya que su telemetría es realmente alarmante.
La manera más efectiva sería flasheando una ROM limpia como LineageOS sin las gapps/opengapps.
Lamentablemente mucha gente no tiene la posibilidad de ello (teléfonos no desbloqueables) No obstante no todo está perdido para estos terminales.

Es posible recuperar parte de nuestra privacidad deshabilitando los Servicios antes mencionados a través de ADB:
https://andro4all.com/2017/07/elimin…iones-sin-root
Tendremos que hacer lo mismo incluso con la Play Store.
Una vez hayamos machacado las aplicaciones de Google podremos descargar nuestras apps, incluso las de pago a través de Aurora Store (metiendo nuestra cuenta de Google), la cual está disponible en F-Droid, otra tienda donde sólo hay apps open source.

Intentaremos siempre que sea posible elegir nuestras apps populares de ahí. Descarga de Aurora Store:
https://f-droid.org/es/packages/com.aurora.store/

Sin embargo, lo ideal sería empezar con una ROM ya limpia de estos programas, y la más popular, con más terminales disponibles es sin duda LineageOS.

El problema es que esta ROM no está pensada con el propósito de garantizarnos privacidad, y mantiene ciertas conexiones automáticas con Google y Qualcomm por defecto. En el momento que activamos la wifi o los datos veremos lo siguiente:

-Ping a Google para ver si tenemos conexión a internet. Es el llamado captive portal mode. Los dominios son:
www.google.com
connectivitycheck.gstatic.com

Si los deshabilitamos no podremos loguearnos en una wifi pública.

-Servidores horarios, o NTP para la hora del sistema. Aunque desmarquemos hora automática en el Sistema también se conectarán a internet en cuanto tengamos conexión. Por defecto:
time.android.com/time3.android.com
time.google.com

-Servidores GPS. Por defecto, Izatcloud. Aunque tengamos desactivado el GPS se conectarán automáticamente a internet.
xtra1.gpsonextra.net
xtra2.gpsonextra.net
xtra3.gpsonextra.net
izatcloud.net

Antiguamente también supl.google.com.

-Conexión con stats.lineageos.org a efectos estadísticos.

-Cuando abrimos una app, los servidores de securización de Intent Filter Verification. Por defecto:
play.googleapis.com
Servidores de Amazon

Esta aplicación se puede deshabilitar sin consecuencia· No hay prácticamente información en internet sobre esta herramienta.

Nuestro propósito fundamental será que no haya conexiones de ningún tipo en segundo plano o automáticas cada vez que nos conectemos a internet, sean hacia Google o hacia cualquier otra parte.

No considero MicroG como buena opción por lo explicado aquí:
https://www.forocoches.com/foro/show…php?t=7610549
Lo comento porque mucha gente cree que es buena alternativa, y lamentablemente no es así…

La excepción a todo esto supuestamente sería Replicant, pero soporta pocos dispositivos, así que abordaremos esta guía, compatible con Android 7-9.

Para evitar que el equipo realice conexiones indeseadas mientras preparamos el sistema es muy recomendable (aunque no imprescindible) un equipo que nos suministre wifi con PiHole, router con bloqueo de dominios integrado en sus opciones o con openwrt (y adblock), o bien un móvil con AdAway compartiendo datos. Todos ellos deben tener estos dominios bloqueados:

Spoiler: [ pulsa para ver ]

time.android.com
time1.android.com
time2.android.com
time3.android.com
time4.android.com






connectivitycheck.gstatic.com
xtra1.gpsonextra.net
xtra2.gpsonextra.net
xtra3.gpsonextra.net
izatcloud.net
gpsonextra.net
time.izatcloud.net
xtrapath1.izatcloud.net
xtrapath2.izatcloud.net
xtrapath3.izatcloud.net
gtpma1.izatcloud.net
play.googleapis.com
supl.google.com

Para paliar el espionaje de Google seguiremos los siguientes pasos resaltando el [U]no conectarnos a internet hasta que lo marque específicamente.
De igual modo sacaremos la Sim para que no coja datos en el proceso de configuración.

A partir de aquí voy a dividir la guía en dos secciones, sin y con root. Esta última será un poco más completa y restrictiva, pero en ninguna habrá conexiones con Google o Qualcomm.

-SIN ROOT

1.- Antes de instalar/formatear/flashear exportamos nuestros contactos en formato .vcf y que recuperaremos después importando dicho archivo desde la mencionada aplicación Contactos. Si más adelante queréis sincronización podéis usar, por ejemplo, DAVdroid en Nextcloud/Ownclowd. Dicho archivo y nuestras fotos/videos los sacamos al Pc y viceversa, es decir con el cable de toda la vida. De igual modo descargamos los apks de F-Droid, y el del firewall NetGuard desde la web de la citada tienda F-Droid. Podemos colocarlos en la memoria microsd o en un pincho USB OTG.

2.- A continuación flasheamos una ROM LineageOs, sin gapps y sin MicroG (ya que genera demasiadas conexiones con Google)

3.- Saltaremos el asistente del mismo incidiendo en NO establecer/usar conexión de datos o wifi. De lo contrario cada vez que instalemos de nuevo habrá un envío masivo de datos a los servidores de Google/Qualcomm.
En sus opciones desmarcaremos Fecha/Hora automáticas.

4.- El siguiente paso es desactivar el captive portal mode . Todos los móviles Android mandan un ping a www.google.com para verificar que internet funciona.
Lo haremos a través de adb con los siguientes comandos:
adb shell
adb shell settings put global captive_portal_detection 0
adb shell settings put global captive_portal_mode 0
reboot

Si queremos cambiarlo por otro porque lo necesitamos para loguearnos en redes públicas sería así:
adb shell
adb shell
settings put global captive_portal_https_url https://captiveportal.kuketz.de (web alemana)
o
adb shell settings put global captive_portal_https_url https://e.foundation/net_204/ (web de los creadores de /e/ una ROM desgoogleizada)
reboot

5.- Si tenemos Android Pie cambiamos el DNS privado (En Ajustes/Redes e internet/Avanzado) de automático a No y guardamos. En su estado anterior generaba consumo de datos.

6.- DeshabilitamosIntent Filter Verification” una aplicación del sistema que realiza conexiones con Google (play.googleapis.com) y Amazon para supuestamente “securizar” las mismas. Forzamos su detención y lo deshabilitamos sin consecuencia.
De igual modo si tenemos un Nexus o un Pixel haremos lo mismo con las siguientes aplicaciones de Google que LineageOS instala en estos dispositivos siempre que sea posible sin root:
X Google enrollment (com.android.hotwordenrollment.xgoogle)
T Google enrollment (com.android.hotwordenrollment.tgoogle)
OK Google enrollment (com.android.hotwordenrollment.okgoogle)
Tycho/Project Fi (com.google.android.apps.tycho)
Google Connectivity Services (com.google.android.apps.gcs)
Carrier Services (com.google.android.ims)

7.- Instalamos el cortafuegos NetGuard. Daremos acceso sólo a las apps que nos interesen. No olvidemos permitir a la aplicación del sistema Actualizador.
Importante desmarcar que busque actualizaciones picando en los 3 puntitos, Ajustes/Opciones/Buscar actualizaciones.
De igual modo picando en los 3 puntitos, Ajustes/Opciones avanzadas cambiaremos el servidor predeterminado www.google.com editando el contenido de “Validar en” por otro que nos inventemos, tipo wmm.ehfeyfefyuefyh.com.
Ahora vamos a añadir unas listas para bloquear los servidores NTP de Google(time.google.com y time.android.com) y los de Qualcomm (Izat, izatcloud.net) ya que a pesar de bloquearlos en el cortafuegos, desactivando fecha/hora automática y usando sólo el GPS integrado se conectarán en cuanto pillen conexión.

Para ello iremos a los 3 puntitos como siempre, Ajustes/Opciones Avanzadas y marcaremos Filtar conexión. Posteriormente iremos a Ajustes/Copia de Seguridad y cambiaremos escribiendo manualmente la URL que aparece por otra con el propósito de bloquear dichos dominios.
Concretamente el host que he creado a tal efecto (y es que podemos crear los nuestros teniendo cuenta en GitLab):
HostsGoogle
Caso de que haya error aplicando el host pongo otro de respaldo:
https://raw.githubusercontent.com/Ma…e/master/Hosts
Y finalmente ya podemos conectarnos a internet, dándole a Descargar archivo hosts.

Igualmente podemos repetir los pasos anteriores añadiendo el de Steven Black, aunque no es imprescindible:
Steven Black hosts

El único “pero” de esta configuración no root es el Multicast Listener Discovery que realizará algunas conexiones pra supuestamente permitir una conexión de tipo Chromecast.

8.- Una vez realizado este paso podemos dejar marcado fecha y hora automáticas, ya que la mayoría de las sims actualizan estos valores sólo teniendo cobertura y sin necesidad de internet (NITZ). Comprobad, no obstante, que funciona con vuestra compañía. Caso de que no sea así podemos cambiar el servidor NTP de Google (time.android.com) por otro diferente via adb, tal que así:
adb shell settings put global ntp_server europe.pool.ntp.org

9.- A continuación instalamos la tienda F-Droid . Ésta será nuestra única tienda. Vamos a evitar Yalp Store/Aurora porque generan demasiadas conexiones con Google, pero podéis instalar/desinstalar más adelante si necesitáis alguna app.

Alternativas a nuestras apps populares:

Spoiler: [ pulsa para ver ]

-NewPipe: Youtube sin publi. Lo malo es que no podemos usar nuestra cuenta Youtube.
-Gallery/Simple Gallery: para ver fotos.
-Amaze: completísimo gestor de archivos. También permite editar los archivos del sistema.
-Pretty Good Music Player: reproductor de audio por carpetas. A día de hoy no he encontrado uno con menor consumo de recursos. Eso sí, muy espartano visualmente y en configuración.
-Vanilla Music: reproductor de música mucho más completo que el anterior.
-VLC: ¿qué decir del famoso reproductor de video y audio?
-Telegram. Alternativa a WhatsApp.
-muPDF: lector de archivos pdf.
-Libreoffice Viewer: lector de documentos.
-Nextcloud/Ownclowd: alojamiento de archivos en la nube.
-Opencamera: para hacer fotos.
-OsmAnd: navegador GPS.
-Quickdic: diccionario offline multilingüe.

Más ideas:
Apps útiles de F-Droid

10.-
a) Navegador Tor Browser.
Para buscar información generalmente. Fundamental no meter datos personales, loguearnos en webs, bancos, etc.
Imprescindible también no tocar sus opciones y dejarlo tal cual por defecto o nuestra huella digital será única, es decir, lo usaremos sin complementos, sin configurar nada y a media/cuarta pantalla que es como se abre cuando lo ejecutamos.
Ya que Tor es efectivo siempre que no toquemos ni configuremos nada (se debe utilizar tal cual está por defecto) la publicidad será abrumadora.
Para quitar buena parte de la misma recomiendo este listado que he recopilado para añadir a AdAway:
https://raw.githubusercontent.com/Ma…gle/master/Tor

b) Navegador Fennec . Buscadores: Qwant o SearX.
Para añadirlos al navegador utilizaremos la web de Mycroft:
https://mycroftproject.com/
Ahí buscamos los anteriores y al picar sobre ellos se añadirán automáticamente a nuestro navegador.

La razón por la que he elegido este fork de Firefox es por lo avanzado de su about:config, sin parangón en los derivados de Chromium.

Lamentablemente Fennec realiza ciertas conexiones automáticas.
Para que sea más fácil os recomiendo utilizar un archivo user.js. De este modo la configuración del mismo será automática sin tener que ir cambiando uno a uno los valores. Podremos añadirlo a nuestro navegador de la siguiente manera:
Desde TWRP utilizamos el Gestor de Archivos y buscamos la siguiente ruta:
data/data/org.mozilla.fennec_fdroid/files/mozilla/[xxxxxxx].default
Ahí dentro pegamos el user.js y borramos el prefs.js
Reiniciamos y ya podemos utilizar el navegador.
Enlace al archivo user.js:


*Importante hacer esto antes de instalar los complementos o pueden romperse.
**Detecté unas conexiones bajo wifi entre dispositivo y router con puerto 4886 y le he comentado al autor de este archivo cómo evitarlas. Mientras me hace caso, o no, recomiendo cambiar en about:config:
network.tickle-wifi.enabled de true a false
Y también genera consumo de datos el autocompletado de direcciones:
browser.urlbar.autocomplete.enabled de true a false

Las extensiones tendrán que ser actualizadas manualmente entrando en su web porque con los cambios anteriores estamos evitando conexiones automáticas.
Otra opción que estoy manejando es el futuro navegador Firefox Fenix que pronto tendrá soporte de extensiones.

En lo referente a éstas recomiendo las siguientes para reducir al mínimo nuestra huella digital:
-uBlock Origin o uMatrix
-Decentraleyes
-CanvasBlocker
-Cookie AutoDelete
-HTTPS Everywhere
-Trace

uBlock Origin. Si queréis evitar el rastreo web por parte de Google debemos bloquear sus dominios con el citado complemento. Sobre cómo hacerlo, en este enlace:
[HILO OFICIAL] UBLOCK ORIGIN
Estos son la mayoría de sus rastreadores:

Spoiler: [ pulsa para ver ]

adservice.google.com


adwords.com
adservice.google.es
adservice.google.com




securepubads.g.doubleclick.net



googletagservices.com
googleusercontent.com
googletraveladservices.com
googlesyndication.com
pagead2.googlesyndication.com
googleadservices.com



www.adwords.com

www.googleanalytics.com

www.googletagmanager.com
www.googleadservices.com
www.googlesyndication.com
googleapis.com ¡cuidado! Algunos foros como éste no cargarán correctamente si bloqueamos ajax.googleapis.com o fonts.googleapis.com

En las listas recomiendo marcar todas las que aparecen especialmente las que tienen que ver con el apartado Privacidad.
Otras 2 altamente recomendables para añadir son:
No Coin host
I don’t care about cookies host (para quitar el molesto aviso de “aceptar cookies” que aparece en cada web)
Por otro lado, si queremos quitar casi todos los banners de nuestro foro podemos añadir en Mis filtros lo siguiente:

Spoiler: [ pulsa para ver ]

m.http://forocoches.com###vbnotices
m.http://forocoches.com##div[id^=“navbar_notice_”]

Decentraleyes. (también de código abierto, naturalmente)
Como no podemos bloquear www.gstatic.com ni www.google.com porque rompen las webs que requieren de captchas, para minimizar el rastreo del primero instalaremos la extensión (falsea igualmente los cdns de las webs)

CanvasBlocker. Reforzará el parámetro Privacy.ResistFingerPrinting del about:config. No tocaremos nada dejándolo tal cual.

Cookie AutoDelete. Cada vez que cerremos una pestaña en el navegador se borrarán las cookies de dicha web. Muy recomendable establecer Limpieza automática habilitada y las Notificaciones deshabilitadas.

HTTPS Everywhere. Forzará el uso de https en aquellas peticiones web que sigan con http.

Trace. Completísima herramienta cargada de infinidad de opciones para reducir nuestra huella digital.
En Settings :
Trace Features todos en Enable. Además en Screen Resolution Tracking Protection borraremos los dos valores, 50 y -50 y le daremos a Change selection method. En la barra blanca pondremos 1920x1080 y le daremos a Add Resolution. Después, picaremos en Close.
En Advanced Features todos en Enabled menos User-Agent. Browser Settings ambos en Protected.
En Trace Options pondremos en Disabled Protection Stadistics y Error Reporting.

En Requests todas las opciones en Disabled.

Si alguna web da error en la carga podemos añadirla a la WhiteList, lista blanca.

Con esto hemos finalizado la configuración antifingerprinting de Fennec.

Por cierto, si cada vez que escribís en un foro os aparece doble espaciado entre línea y línea cambiad en about:config
editor.use_div_for_default_newlines de true a false

Por otra parte dejo una web por si queréis potenciar aún más vuestro navegador en términos de privacidad:
Privacy Settings

-CON ROOT

1, 2 y 3.- Ídem que sin root, pero en vez de descargar NetGuard lo cambiaremos por los apks de AfWall+ y añadiremos AdAway.

4.- Puede hacerse igual o mediante consola de Android.

En Opciones de desarrollo habilitaremos la Terminal local/ Shell. Una vez hecho buscamos la nueva app en el cajón de aplicaciones, la abrimos y para tener acceso root escribimos:
su
Después pondremos:
settings put global captive_portal_mode 0
Y finalmente:
reboot (también en la terminal, porque si reiniciamos manualmente se volverá a activar)
No obstante el captive portal mode es necesario para loguearnos en redes públicas. Si lo necesitáis, realizad los pasos anteriores cambiando el 0 por 1. Otra opción es cambiar la web de Google por otras como:
settings put global captive_portal_https_url https://captiveportal.kuketz.de (web alemana)
settings put global captive_portal_https_url https://e.foundation/net_204/ (web de los creadores de /e/ una ROM desgoogleizada)

5 y 6.- Ídem.

7.-
a) En este caso instalaremos ahora el cortafuegos Afwall+.

Daremos acceso sólo a las apps que nos interesen. No olvidemos permitir a la aplicación del sistema Actualizador.
Sin embargo hay un “bug” en Android que produce otra fuga de datos inevitable para cualquier Firewall. Esto se produce en el arranque del sistema en el que el programa es incapaz porque se carga posteriormente, y el SO aprovecha para saltarse los bloqueos.
En sus opciones experimentales aparece una que controla este comportamiento. “Arreglar la fuga de datos al arranque” Para que nos deje marcar la opción, que por defecto saldrá en gris, debemos señalar en la opción inmediatamente superior “Ruta del directorio de inicio para script”, la primera que aparece /sbin/.core/img/.core/service.d
Por otra parte en sus preferencias, Reglas/conectividad marcaremos la compatibilidad con IPv6 para bloquear el consumo de datos debido al Multicast Listener Discovery.

b) Instalaremos AdAway. Ahora podemos conectarnos via wifi para meter las listas de abajo y actualizarlo. Tras esto nos pedirá reiniciar. De este modo el envío de datos será menor en caso de que no tengamos un PiHole o similar.
Vamos a bloquear los servidores de Google (time.google.com y time.android.com) y los de Qualcomm (Izat, izatcloud.net) ya que a pesar de bloquearlos en el cortafuegos, desactivando fecha/hora automática y usando sólo el GPS integrado se conectarán en cuanto pillen conexión.

Para simplificar, añadimos el host que he creado a tal efecto (y es que podemos crear los nuestros teniendo cuenta en GitLab):
HostsGoogle
Caso de que haya error aplicando el host pongo otro de respaldo:
https://raw.githubusercontent.com/Ma…e/master/Hosts

Recomendadísimo el de Steven Black, aunque no es imprescindible:
Steven Black hosts

8.- Ídem. O podemos usar de nuevo el Terminal tal que así.
settings put global ntp_server europe.pool.ntp.org

9 y 10.- Ídem.

11.- SD Maid . Este programa es muy completo y con él podemos deshabilitar aplicaciones del sistema o evitar el autoarranque de las mismas. Además es opensource y su código está colgado en GitHub.
Pero lo que nos interesa es quitar permisos de rastreo de las apps, concretamente las referidas a Google. Éstas son boot (autoarranque), analytics, tracking, firebase y en general las que hagan referencia a google. Si las apps contienen alguno de ellos, los quitaremos.
Buscamos “Control de Aplicaciones” (previamente podemos marcar que señale también las del Sistema en Ajustes) y posteriormente tras listarlas seleccionamos la app y elegimos “Administrador de permisos” No olvidemos darle a los 3 puntos arriba (Otros) para ver todos ellos.
Ejemplo con Whatsapp. Desmarcamos (por algún bug en el foro se separan las letras):

Spoiler: [ pulsa para ver ]

com.whatsapp.Bootreceiver
google.android.gms.measurement.AppMeasurementRecei ver
com.google.firebase.iid.FirebaseInstanceIdReceiver
com.google.android.gms.measurement.AppMeasurementI nstallReferrerReceiver

De igual modo y por motivos de seguridad en sims antiguas deshabilitaremos la aplicación del sistema “Servicios SIM”. Desde el control de aplicaciones le daremos a Forzar detención de la aplicación y después a Congelar.

SD Maid
Por otra parte si queremos evitar sus conexiones automáticas recomiendo quitar las 3 opciones de SD Maid en Ajustes/Ajustes generales/Informes de error.

Añadir además la excelente herramienta “Trust” de LineageOs que nos permitirá cambiar casi todos los permisos de nuestras apps de una manera fácil similar al AppsOpps de Xposed.
La encontraremos en Ajustes/Seguridad y privacidad/Trust/Protección de la privacidad. Para editar los permisos hay que dejar pulsado unos segundos la app que queramos editar.

Otra herramienta aún más completa que la anterior es My Android Tools que nos deja editar los permisos hasta el último extremo. Se descarga de aquí:
MyAndroidTools
En sus ajustes (3 puntitos) marcamos “close crash report” para que no envíe datos estadísticos.

Con esto hemos acabado la configuración inicial para evitar, en la medida de lo posible, el espionaje de nuestro sistema.


Bugs comunes:
-El Gps tarda en conectar.
Algo lógico teniendo en cuenta que sólo usa el dispositivo integrado. Normalmente suele estar entre 1-2 minutos, después va bien.
Para agilizar la conexión con los satélites recomiendo el programa SatStat (de F-Droid, claro) y una vez que haya triangulado podemos volver al programa con el que necesitemos el uso del GPS que tras el paso anterior será instantáneo.

-Al arrancar/reiniciar se descuadra fecha y hora automáticas.
De las SIM’s que he probado sólo con Tuenti y Pepe me han dado error. Sería deseable, aunque enfarragoso, cambiar los valores manualmente.

-Las apps tardan en establecer conexión, a veces un minuto o más (o incluso no lo hacen ciertas apps)
El culpable es AdAway y sus listas hosts. Una de sus desventajas, sino la más importante. Si el tiempo es excesivo se puede deshabilitar momentáneamente sus listas dejando el archivo “host” por defecto.


Aplicaciones/configuraciones recomendadas (desde F-Droid, como siempre):

-Beta Updater for WhatsApp. Para actualizar la citada aplicación.
EDITO: app caída hasta nueva actualización. Hay que descargarse el apk desde la web oficial.

-XprivacyLua. Necesitamos Xposed:
[Magisk] Systemless Xposed (hasta Android 8.1 inclusive)
EdXposed (Android 8, 8.1 y 9, parcialmente en Q) Instalación:
Nuevos Xposed en Android
Va a bloquear toda la información de nuestro terminal que puedan coger las apps para sus fines indeterminados. Pocas harán un uso incorrecto del mismo al provenir de F-Droid. Si usamos WhatsApp dejar al menos permiso a portapapeles y Contactos.


Cómo auditar el equipo para buscar conexiones automáticas
En primer lugar vigilamos que no haya aplicaciones en segundo plano conectándose a internet. Las relativas a apps las forzamos a detenerse y las del sistema tipo Magisk, Xposed podemos restringir su acceso a la red vía Afwall.
A continuación activamos los programas externos o internos y posteriormente picamos en el icono de wifi/datos. Ya sólo nos queda esperar.

-Externamente:
Wireshark

-Desde el teléfono (recomiendo abrirlos todos):
AdAway . En primer lugar desmarcamos que se autoactualice al abrirlo. Posteriormente activamos “Registrar pedidos DNS”. Miramos qué dominios se conectan automáticamente cuando abrimos conexión a internet.
Tcpdump. Ejecutamos este programa buscando la ruta donde está el archivo vía consola.
cd storage, cd aaaa50-45b (microsd por ejemplo), cd carpeta, tcpdump (y ya se ejecuta) Es similar a Wireshark. Se descarga de aquí:
tcpdump
Afwall+. En sus Preferencias, registros encendemos el servicio. Después buscamos arriba “Ver registros” y dentro de él “cambiar a vista antigua” con lo que serán visibles las IP’s que intenten realizar conexión (en muchos casos parece que son bloqueados pero se lo saltan)
Redes e internet. En Uso de datos de las aplicaciones miramos si hay movimiento creciente de bytes en “SO Android” causante de las conexiones automáticas.


Webs de interés:

Privacytools Pautas a seguir para salvaguardar nuestra privacidad.
Google alternatives Alternativas a las apps de Google.
MicroG La opción más sensata sin perder funcionalidades; LineageOs+MicroG+Aurora Store

Fuente: https://www.forocoches.com/foro/showthread.php?t=6649428