Root Atmak Güvenli mi?

ROM işini tavsiye etmiyorum bende zamanın da Galaxy ace için uğraşmıştım ama başarısız olmuştum. Sistem bazen yarı İngilizce/Türkçe oluyor, ani donma kasmalar oluyor, işin komik tarafı bazı rootlar sürüm bile yükseltmiyor.
İlla yapacaksanız da telefonunuza uygunu yapın. Yanlış model telefon rootu atarsanız telefon kitleniyor(S3 Mini'de yaşamıştım.)

Bu konuya telefona root atmanın ne kadar güvenli olabileceği konusunda bilgi ektra bilgi almak amacıyla googleda yaptığım arama sonucu ulaştım. Çünkü root dosyaları her ne kadar açık kaynaklı olsa da herhangi bir zararı olabilir mi öğrenmek istemiştim. Bu konuda uzman değilim ama en azından bildiklerimi paylaşmak istiyorum.

Telefonumda Miui 12 (Android 10) yüklüydü. Xiaomi Mi8 telefonlara desteğini kestiği için artık resmi güncelleme gelemeyecek. Bu yüzden güvenli custom rom arayışlarına başladım. Öncelikle LineageOs official romlar güvenli olarak kabul edilir. En azından telefon şirketlerinin yüklediği orjinal yazılımdan daha güvenli olduğunu düşünüyorum. Çünkü telefonlarda yüklü gelen yazılımların içinde bir sürü bloatware uygulama yüklü (whatsapp, facebook, instagram ve google uygulamaları vs.). Ve tüm bu uygulamalar telefonumuzdan gizlice veri sızdırıyor. Bununla ilgili bir video izlemiştim ama şimdi bulamadım. Ama akıllı telefonlarımızın özellikle google uygulamaları ve eklentileri ile telefonumuzdan sürekli veri gönderdiği ile ilgiliydi. Ekran kapalı bile olsa. Ve googleun telefonumuz üzerindeki yetkisi bizden daha fazla. Telefonumuzda hali hazırda google uygulamaları yüklü geldiyse google telefonumuzda yaptığımız herşeyi uzaktan yapabilecek yetkiye sahip. Neyse google play yüklemeden telefonumuzda microg ile kısmi olarak mahremiyetimizi kontrol altına alabiliyoruz. Ayrıca en popüler uygulamalarda izleyici kodlar vardır. Yani herhangi bir konuda sohbet ederken aynı konu ile alakalı reklamlar görmemiz tesadüf değil. Telefonumuz ekran kapalı da olsa bizi dinliyor. Bu kaos teorisi değil açık gerçekler ama "Size daha iyi hizmet verebilmek amacıyla veri topluyoruz."un açılımı bu.

Eğer bir kendi güvenliğimize, mahremiyetimize sahip çıkmazsak bunu bizim yerimize kimse bedavaya yapmaz. Bedava uygulama diye bir şey yok. Bir uygulama sizden ücret talep etmiyorsa verilerinizi, daha doğrusu sizi satıyor. Yani ürün sizsiniz.


Peki ne yapabiliriz? Android açık kaynak. Bu hali ile güvenli sayılabilir. Ama Android yazılımını orjinal hali ile kullanmak, gereksiz uygulamalar olmadan kullanmak en güvenlisi. Mesela Lineageos AOSP tabanlı olarak gelir. Google uygulamaları ise tercihen ayrıca yüklenir. Çünkü GAPPS yüklendiği anda telefonumuza Google denen casusa sonuna kadar kapı açıyoruz.


Bu sebeple GAPPS (Google uygulamaları) yerine Microg tercih ediyorum. Ama telefonum bu hali ile google safetynet`i geçemiyor. Aslında safetynet`i bypass etmek için güvenli bir yöntem arıyorum. Telefonumda custom rom yüklü olsa da root etmedim. Magisk uygulaması açık kaynak ama henüz tam güvenemedim. Aslında telefonumuzda resmi lineageos rom veya güvenli bir custom rom yüklü olması ve root edilmiş olması riskli olmayabilir. Önemli olan daha sonra root yetkileri ile yapılan işlemler.


Xda üzerinde mi 8 için unofficial android 12 rom var. Lineageos 19.1 unofficial rom yükleyebilirim ama official olmadığı için yüklemeyi düşünmüyorum.

Güvenli olarak kabul edilen resmi (official) Lineageos microg versiyonu var. Ayrıca Crdroid rom var. Ayrıca mahremiyet odaklı olarak kabul edilen CalyxOS, GrapheneOS, /e/os/ gibi romlar var. Daha bir sürü kullanıcılar tarafından güvenilen custom rom var.


Eğer kullanılan rom, uygulama, oyun açık kaynaklı ise, yani kaynak kodları herkesin ulaşımına açıksa muhtemelen güvenlidir. Uzmansanız kaynak kodları inceleyebilisiniz. Eğer kaynak kodları içinde zararlı kod varsa görülebilir, güvenlik açıkları dünyanın her yerinden kullanıcıların desteği ile kapatılabilir.

Yıllarca Microsoft , Apple markalarına kapalı kaynak kodlarına rağmen güvendik. Sandık ki kaynak kodları kapalı ise güvenlidir. Ama işin aslı öyle değil.


Neyse custom rom yüklü telefonuma root atabilirim. Ama safeneti güvenli bir şekilde baypas edebileceğim bir yöntem bulabilirsem. Zaten twrp üzerinden sistem dosyalarında değişiklik yapabiliyorum. Twrp güvenli mi? Kaynak kodları açık ve henüz zararlı kod içerdiğine dair bir şey duymadım.


Neyse bilgi önemlidir. Bilmeden fikir sahibi olmak kimseye bir fayda sağlamaz. Bu yüzden okuyup araştırmak, bilenlerden öğrenmek önemli. Yani google, apple, microsoft, facebook (meta), whatsapp`ın çok kullanılması güvenli olduğu anlamına gelmez.

Telefonunuzu güvenli ya da güvensiz hale getiren içine yüklenenler. Zaten beni ürün olarak kullanan ve sözde ücretsiz hizmet sunan şeylere güvenmeyi bıraktım. Kaynak kodları açık mı? Önceliğim bu. Reklam vs. amacıyla verilerimi satan uygulamalar yerine açık kaynak ve ücretli uygulamaları tercih ederim. Eğer yazılımdan anlıyorsanız bir uygulama geliştirip kaynak kodları github üzerine yükleyebilirsiniz. Bu sayede başka kullanıcıların desteği ile uygulamanız geliştirilmeye devam edebilir. Yani veri pazarlama, veri madenciliği, reklamlardan para kazanma dönemi artık kapanır. Kardeşim uygulamana güveniyorsan bir fiyat biçebilirsin.

Öncelikle biz ürün değiliz. Bunun farkına vardığımızda facebook, instagram, whatsapp, google uygulamaları gerçekten güvenli mi anlamaya başlarız. Bu uygulamalar ABDye ait. verilerimizin toplandığı sunucular da ABD üzerinde. NSA tüm bu verilere erişebilme yetkisine sahip. Bu da whatsapp şifreli mesajlaşma sunduğunu söylese de aslında tüm verilerimiz ABD, NSA gözetimi altında yani istedikleri zaman tüm kişisel, hassas, mahrem verilerimiz erişilebilir.

Custom rom yüklemek, root atmak güvenli mi size kalmış. Ama hakkında bilgi sahibi olduğumuz şeylere güvenmek bence daha mantıklı. Güvenlik (security) ve mahremiyet (privacy) farklı şeyler. Ama her ikisi de olmalı. Birisi eksikse güvenlikten söz etmek çok da doğru olmaz. Mahremiyetimize saygı duyan ve verilerimize sadece hackerlar değil şirketler, devletler, hükümetler ve kısacası bizden başka kimse erişememeli. Verilerimiz toplanmamalı, sunucularda saklanmamalı (saklanmak zorundaysa bu verilere kimsenin erişim imkanı ve yetkisi olmalı.).

Dünyada şuan çoğu popüler uygulama şeffaf değil ama kullanıcı verileri şeffaf. Aslında olması gereken bunun tam tersi. Uygulamalar şeffaf olmalı ama kullanıcı verileri gözetim, toplanma, saklanma, pazarlanmaya kapalı olmalı.

Kısacası Lineageos, terk, magisk kaynak kodları aşağıda güvenip güvenmemek size kalmış.

Lineageos : GitHub - LineageOS/android

TWRP: GitHub - TeamWin/android_bootable_recovery

Magisk: GitHub - topjohnwu/Magisk: The Magic Mask for Android

"Eğer bir kendi güvenliğimize, mahremiyetimize sahip çıkmazsak bunu bizim yerimize kimse bedavaya yapmaz. Bedava uygulama diye bir şey yok. Bir uygulama sizden ücret talep etmiyorsa verilerinizi, daha doğrusu sizi satıyor. Yani ürün sizsiniz."

Üstte yazılan yorumdan alıntıya cevap olarak ;

Bir uygulama ücretliyse güvenilir, ücretsizse güvenilmez diye bir şey yok, olamaz da.
Buna en uygun örnek, açık kaynak özgür yazılımlardır. Her özgür/açık kaynak yazılım güvenli midir? Elbette hayır.
~ ~ ~
Root işlemi ve custom ROM ise tamamen kullanıcının ne istediğine ve nasıl kullanacağıyla alakalıdır.

Stock ROM üzerinde genellikle varsayılan olarak uygulamaların internet iznini kapatamayız mesela. Kapatmak için firewall gerekir, yani ek bir uygulama.
Custom ROM üzerinde ise bunu direk uygulama bilgisine girip izinlerden ve veri kısmından tik atıp geçebiliriz.

Sonuç nereye çıkıyor peki? Yine kullanıcının ne istediğine.

Bilinçli ve tecrübeli bir kullanıcı rahatlıkla ROM ve root kullanabilir, sorun çıktığında neler yapacağını da (genellikle) bilir. Ancak bilgisi yetersiz kişi, sadece duyumlarla ilerleyemez, ki bu yanlış olur. Dolayısıyla karşısına problem çıkma riskini göze alarak ve öncesinde iyi bir araştırma ve DOĞRU bilgileri öğrenerek başlaması gerekir.

Ben uğraşıyorum bu tür işlerle ROM atmak root atmak risklidir aslında hiç yapmayan kullanıcı için ancak root ve ROM güvenli olursa risk oluşturmaz.