Historia pewnego androidowego custom rom-a czyli płać lub płacz

Cicha bomba zegarowa w świecie Androida

Pewien nieśmiały tweet, który pojawił się w społeczności entuzjastów systemu Android, wywołał lawinę wydarzeń, która wstrząsnęła środowiskiem twórców customowych systemów operacyjnych. Chodziło o Project Elixir - jeden z popularniejszych customowych ROM-ów, który według doniesień zawierał złośliwy kod. Nie byłoby w tym nic nadzwyczajnego - w końcu historia zna wiele przypadków szkodliwego oprogramowania - gdyby nie fakt, że twórcy świadomie zaimplementowali mechanizm, który w określonych warunkach kasował wszystkie dane użytkownika.

Kiedy customizacja staje się bronią

Co dokładnie się stało? Project Elixir wprowadził system płatnych funkcji customizacji, w tym możliwość modyfikacji wyglądu ekranu blokady. Do tej pory większość tego typu modyfikacji w świecie customowych ROM-ów była dostępna za darmo. Jednak prawdziwy problem pojawił się gdzie indziej - w kodzie zaszyta została "pułapka". Jeśli użytkownik próbował ominąć zabezpieczenia płatnych funkcji poprzez komendy ADB (Android Debug Bridge), system automatycznie wykonywał format pamięci wewnętrznej, zewnętrznej oraz - co szczególnie niebezpieczne - usuwał zapisane karty eSIM.

W pułapce własnego kodu

To, co początkowo mogło wydawać się przesadną reakcją na próbę ominięcia płatności, okazało się znacznie poważniejszym problemem. Specjaliści szybko zauważyli, że kod mógł zostać aktywowany nie tylko przez celowe działania użytkownika, ale również przez przypadkowe błędy czy tak zwane "bit flips" - przypadkowe zmiany w pamięci urządzenia. W praktyce oznaczało to, że nawet legalni użytkownicy, którzy zapłacili za funkcje premium, mogli paść ofiarą tego mechanizmu.

Prawo kontra zemsta developera

Co więcej, implementacja takiego rozwiązania budzi poważne wątpliwości prawne. Celowe usuwanie danych użytkownika bez jego zgody może naruszać przepisy o ochronie danych osobowych w wielu jurysdykcjach. Szczególnie niepokojący jest fakt, że kod działał w tle, czekając na odpowiedni moment do aktywacji, a użytkownicy nie byli świadomi jego istnienia.

Od otwartego kodu do zamkniętego ogrodu

Project Elixir zaczynał jako obiecujący projekt oparty na AOSP (Android Open-Source Project), prezentując się jako ROM skupiony na "minimalizmie, bezpieczeństwie i stabilności". Twórcy podkreślali swoją ekspertyzę i zaangażowanie w rozwój systemu, obiecując regularne aktualizacje i wsparcie dla użytkowników. Szczególny nacisk kładziono na równowagę między stockowym doświadczeniem a przemyślanymi customizacjami - podejście, które zwykle spotyka się z entuzjastycznym przyjęciem społeczności.

Innowacja?

System wyróżniał się kilkoma ciekawymi funkcjami, w tym inspirowanym iOS mechanizmem "depth clock" na ekranie blokady, który pozwalał na tworzenie efektu głębi między zegarem a tapetą.

To właśnie ta funkcjonalność stała się później źródłem kontrowersji, gdy została umieszczona za paywallem. Project Elixir szczycił się również zaawansowanym silnikiem Monet do dynamicznego dobierania kolorów interfejsu oraz rozbudowanymi opcjami prywatności i bezpieczeństwa.

Kontrowersyjna odpowiedź twórców

W obliczu narastającej krytyki, zespół Project Elixir wydał serię oświadczeń, które miały wyjaśnić sytuację, ale ostatecznie tylko pogłębiły kryzys. W oficjalnych komunikatach twórcy przedstawili swoją wersję wydarzeń, argumentując, że kontrowersyjny mechanizm był jedynie "tymczasowym środkiem" mającym chronić ich pracę przed piractwem. Szczególny nacisk położono na fakt, że kod miał działać wyłącznie przeciwko osobom próbującym obejść zabezpieczenia płatnych funkcji.

Emocje biorą górę

Jednak ton komunikacji szybko wymknął się spod kontroli. W nieoficjalnych kanałach komunikacji pojawiły się wypowiedzi nacechowane agresją i personalnym atakami.

"F**k you man for spreading lies" czy "You are shitty pathetic person" - to tylko przykłady wypowiedzi kierowanych do krytyków, które pokazują, jak bardzo emocjonalne stało się podejście twórców do całej sytuacji. Te nieprofesjonalne reakcje znacząco kontrastowały z próbą zachowania merytorycznej dyskusji w oficjalnych oświadczeniach.

Próba racjonalizacji kontrowersyjnych decyzji

W czterowątkowym oświadczeniu zespół próbował przekonywać, że ich działania były uzasadnione. Podkreślali, że większość funkcji ROM-u pozostaje darmowa, a płatne są jedynie wybrane elementy interfejsu, takie jak zegar z efektem głębi. Argumentowali również, że ich rozwiązania są unikalne i stworzone od podstaw, nie bazując na kodzie innych projektów. Jednak kluczowe pozostało przyznanie, że "formatowanie danych było ekstremalnym środkiem" - choć nawet to stwierdzenie zostało opatrzone usprawiedliwieniem skierowanym przeciwko "piratom".

Symptomy większego problemu

Sposób, w jaki zespół Project Elixir zareagował na kryzys, ujawnił głębszy problem - brak dojrzałości w zarządzaniu projektem open source. Przejście od merytorycznej dyskusji do osobistych ataków, próby zrzucania odpowiedzialności na użytkowników oraz niechęć do przyjęcia konstruktywnej krytyki wskazują na fundamentalne niezrozumienie zasad, na których opiera się społeczność open source. Zamiast budować mosty i szukać konstruktywnych rozwiązań, twórcy wybrali drogę konfrontacji i izolacji.

Toksyczność i ucieczka za paywall

Punktem zwrotnym w historii projektu stała się wersja 4.3, kiedy to twórcy, powołując się na "toksyczność w społeczności", podjęli radykalną decyzję o przeniesieniu wszystkich kolejnych buildów do modelu płatnego, dostępnego wyłącznie przez Patreon i Buy Me Coffee.

W oficjalnym komunikacie zespół wyraził rozczarowanie reakcją społeczności na wcześniejsze kontrowersje, oskarżając użytkowników o "szerzenie dezinformacji" i "ślepe podążanie za trendem nienawiści". Ostatnia darmowa wersja - 4.2 - pozostała dostępna na stronie projektu, jednak rozwój systemu został całkowicie zamknięty dla publiczności na "czas nieokreślony".

W cieniu własnych oskarżeń

Kontrowersje wokół Project Elixir nabrały nowego, ironicznego wymiaru, gdy wyciek kodu źródłowego z wersji 3.x ujawnił, że płatne funkcje systemu mogły naruszać prawa własności intelektualnej innych podmiotów.

Szczegółowa analiza kodu wykazała obecność grafik fanart bez wyraźnych oznak posiadania praw do ich wykorzystania, zastrzeżonych fontów (w tym "OnePlus Sans" oraz komercyjnego "MADE Evolve Sans"), a nawet oficjalnych grafik z filmu "Big Hero 6" należącego do Disney'a.

Sytuacja ta przedstawia się szczególnie kontrowersyjnie w świetle wcześniejszych działań zespołu Project Elixir - twórcy, którzy tak agresywnie bronili własnej własności intelektualnej poprzez implementację mechanizmów kasujących dane użytkowników, sami mogli dopuszczać się podobnych naruszeń, co więcej - czerpiąc z tego komercyjne korzyści. Jest to klasyczny przykład podwójnych standardów, gdzie zespół wymagał respektowania własnych praw, jednocześnie prawdopodobnie ignorując prawa innych twórców.

Koniec obecności na XDA-Developers

Kontrowersje wokół Project Elixir nie pozostały bez odpowiedzi ze strony największej społeczności zajmującej się modyfikacjami Androida. XDA-Developers, forum będące od lat centrum rozwoju customowych ROM-ów, podjęło bezprecedensową decyzję o całkowitym usunięciu Project Elixir ze swojej platformy.

Oswald Boelcke, starszy moderator forum, potwierdził rozpoczęcie procesu "czyszczenia" wszystkich treści związanych z projektem. To jasny sygnał, że społeczność deweloperska nie toleruje praktyk zagrażających bezpieczeństwu użytkowników, nawet jeśli pochodzą one od wcześniej szanowanych członków społeczności.

Decyzja XDA ma wymiar nie tylko praktyczny, ale przede wszystkim symboliczny - jest to swoiste "wygnanie" z największej społeczności modderskiej, co w praktyce oznacza utratę zaufania i reputacji budowanej przez lata.

Systemowy problem w świecie custom ROM-ów

Historia Project Elixir, z pierwszej połowy 2024 roku, to nie tylko opowieść o pojedynczym przypadku, ale symptom większego problemu trapiącego społeczność twórców customowych ROM-ów.

W miarę jak podstawowa wersja Androida staje się coraz bardziej dopracowana, niektórzy twórcy, zamiast skupiać się na innowacjach i rozwoju społeczności open source, decydują się na wprowadzanie płatnych funkcji, często balansując na granicy prawa i etyki.

To szczególnie niepokojące w kontekście pierwotnej misji ruchu custom ROM - zapewnienia użytkownikom możliwości przedłużenia życia ich urządzeń i dostępu do najnowszych funkcji zabezpieczeń. Przypadek Project Elixir pokazał, jak łatwo można zejść z tej ścieżki, przedkładając zysk nad bezpieczeństwo i zaufanie użytkowników.

Cyfrowa nierówność na sklepowych półkach

Problem fragmentacji Androida ma znacznie poważniejszy wymiar niż mogłoby się wydawać. Na sklepowych półkach wciąż leżą nowe telefony, które nigdy nie otrzymają aktualizacji systemu od producenta lub otrzymają je w bardzo ograniczonym zakresie.

To tworzy niebezpieczną sytuację, w której konsumenci, często nieświadomi problemu, kupują urządzenia skazane na cyfrowe starzenie się już w momencie zakupu. Custom ROM-y stały się dla wielu użytkowników jedyną drogą do zachowania aktualnych zabezpieczeń i dostępu do nowszych wersji systemu.

Jednak sytuacja ma ulec zmianie - przynajmniej w Europie. Unia Europejska przyjęła już regulacje (Regulation EU 2023/1670), które od 20 czerwca 2025 roku wymuszą na producentach zapewnienie długoterminowego wsparcia dla sprzedawanych urządzeń.

Nowe przepisy zobowiązują producentów do dostarczania aktualizacji systemu operacyjnego przez minimum 5 lat od zakończenia sprzedaży modelu oraz zapewnienia dostępności części zamiennych przez 7 lat.

Co więcej, baterie będą musiały wytrzymać przynajmniej 800 cykli ładowania z zachowaniem 80% początkowej pojemności, a producenci będą zobowiązani do dostarczenia części zamiennych w ciągu 5-10 dni roboczych.

Wprowadzony zostanie również wskaźnik naprawialności urządzenia, który ma pomóc konsumentom w świadomym wyborze. Te regulacje, będące częścią European Green Deal, pokazują, że problem dostrzeżony przed laty przez społeczność custom ROM-ów, wreszcie doczekał się systemowego rozwiązania na poziomie legislacyjnym.