- Kombinacija Pixela i GrapheneOS-a čizma Verificirano, Titan M2 i šifrirano s ključevima po korisniku za poboljšanu sigurnost.
- Ažuriranja stižu vrlo brzo: sustav za nekoliko sati/dana, a firmver za samo Google objavljuje slike.
- Može se koristiti svakodnevno s profilima, neprivilegiranim Playom i trgovinama poput Aurore/F-Droida, uz pretpostavku nekih kompromisa.
Možda ste primijetili sve veću buku oko GrapheneOS-a posljednjih mjeseci i pitali se predstavlja li to doista skok naprijed u odnosu na... Android „kao standard.“ Zlatno pitanje je jednostavno: GrapheneOS u odnosu na Android, koji vas sustav najbolje štiti? Istina je, između pompe, entuzijastičnih članaka i legitimnih sumnji o hardver od Googlea, vrijedi odvojiti mit od stvarnosti prije nego što odlučite koji ćete telefon držati u džepu.
Također je normalno da vas sputavaju dvije vrlo često ponavljane ideje: s jedne strane, sumnje u vezi s čipom Titan M/Titan M2 u Pixelima (jer izgleda kao „crna kutija“ poput IME/PSP-a) i, s druge strane, želja da se izbjegne Google kupnjom bilo čega osim PixelaTome se dodaje rasprava o tome je li provjereno pokretanje važno ili je "dovoljno potpuno šifriranje diska", te uvjerenje da jednostavno ponovno fleširanje uklanja svaki pokušaj neovlaštenog mijenjanja. Spustimo sve ovo na zemlju, mirno i s činjenicama.
Što je GrapheneOS i zašto je izazvao toliko uzbuđenja?
GrapheneOS je platforma temeljena na AOSP-u s radikalnim fokusom na privatnost i jačanje sustava. Njezini programeri definiraju je kao otvoreni, neprofitni projekt, osmišljen kako bi se smanjila površina napada i ograničiti izloženost osobnih podataka. Ideja nije ponovno izmisliti Android, već ga ojačati dio po dio: više kontrole nad dopuštenjima, dodatne mjere zaštite od zloupotreba i manje komponenti koje "razgovaraju" s vanjskim uslugama.
U zadanoj konfiguraciji nema Googleovih usluga. Sustav počinje čisto, s tek toliko da bude funkcionalan., i omogućuje vam da kasnije odlučite želite li instalirati službene dijelove Playa (Google Services Framework i Play Store). Velika razlika u usporedbi s tipičnim pečenim ROM-om je u tome što, čak i ako dodate Play, on ne dobiva sistemske privilegije: radi kao i svaka druga aplikacija, bez posebnog pristupa kritičnim dijelovima ili nekontroliranih usluga koje se izvode iza kulisa.
Osim privatnosti, GrapheneOS primjenjuje sigurnosna poboljšanja poput ojačanja jezgre i korisničkog prostora, šifriranje memorije s ključevima po korisniku i smanjuje unaprijed instalirani kod i procese koje standardni Android uključuje kako bi se povećala kompatibilnost s operaterima. Sve to smanjuje vektore napada i praćenje.
Podržani uređaji i pravila podrške
Ako se pitate gdje ga instalirati, evo prve kante hladne vode (ili realizma): Službeno je kompatibilan samo s Google PixelomOvo nije hir; radi se o postizanju prave kombinacije hardvera, firmvera i pravila ažuriranja koja pruža potpunu sigurnost uz minimalne izmjene AOSP-a.
Popis podržanih proizvoda uključuje nedavne modele poput Pixel 9 Pro XL, Pixel 9 Pro i Pixel 9, kao i Pixel 8a, Pixel 8 i Pixel 8 Pro; također Pixel 7a, 7 i 7 Pro; Pixel Tablet; sklopivi Pixel Fold; i prethodne generacije poput Pixela 6/6a i Pixela 5a. Ovaj izbor osigurava dostupnost zakrpa niske razine i ključne komponente kao što je Titan M2, bitno za provjereno pokretanje i zaštitu od starijih verzija.
Što se tiče rasporeda ažuriranja, GrapheneOS nasljeđuje prozori za podršku od Googlea za vlasnički firmver i blobove. Od obitelji Pixel 8, Google nudi do sedam godina ažuriranja; na Pixelu 6 i Pixelu 7 govori se o pet godina sigurnosnih zakrpa. GrapheneOS može vrlo brzo zakrpati sustav, ali temeljni firmware može se ažurirati tek kada proizvođač objavi svoje potpisane slike.
Instalacija: Jednostavnija nego što izgleda (i reverzibilna)
Ako dolaziš s fleširanja ROM-ova, ovo će ti zvučati kao odmor. Instalira se pomoću web instalatoraOtključajte bootloader Pixela, spojite kabel USB na računalo i slijedite upute u pregledniku. Nema TWRP-a, nema ROM zipova s jedne strane i GApp-ova s druge, i nema molitve da se odmah pokrene.
Proces je vrlo kratak, reda veličine nekoliko minuta, a nakon završetka preporučljivo je ponovno zaključati bootloader kako bi se oporavio provjereni boot chain. Ako niste zadovoljni, možete se vratiti na originalni ROM bočno učitavanje službene tvorničke slike. Za one koji radije navode korake, skripta bi bila: priprema backup, aktivirajte opcije za razvojne programere i OEM otključavanje, uđite u bootloader, pokrenite instalaciju iz kompatibilnog preglednika i kada završite, zaključajte bootloader i konfigurirajte ga.
Što pronađete kada počnete: minimalistički sustav bez prenapuhanosti
Jednom unutra, prvi dojam je čistoća. Bez bloatwarea ili blještavih pozadinasamo osnovne stvari za korištenje telefona od prve minute i zaštitite svoj Android. Između aplikacije Uključeno je Postavke, App Store (osnovno spremište komponenti), Datoteke, Revizor, Kalkulator, Kamera, Kontakti, Galerija, Informacije o sustavu, Poruke, Preglednik PDF, Sat, Telefon i Vanadium, ojačani preglednik temeljen na Chromiumu.
Iz same App Store trgovine možete dodati službene Google usluge ako želite, kao i specifične uslužne programe poput Android Auta ili Pixel uređivača slika (Google Markup). Galerija je u vlasništvu AOSP-a, dakle nema Google fotografija prema zadanim postavkama. Ako se odlučite za Google aplikacije, imajte na umu da u GrapheneOS-u one rade "zatvoreno": nisu privilegirane i ne pokreću nevidljive pozadinske procese s dodatnim pristupom.
Sigurnosne značajke koje čine razliku
GrapheneOS uključuje mjere osmišljene za ograničavanje izloženosti podataka i jačanje izvršnog okruženja. Na primjer, sadrži Ograničenja za aplikacije koje ne mogu špijunirati status mreže osim onoga što je potrebno, dodatna Wi-Fi i Bluetooth izolacija te preglednik (Vanadium) s visokorazinskim sigurnosnim zakrpama.
U ploči postavki vidjet ćete određene odjeljke kao što su Otkrivanje iskorištavanja, dnevnik sistemskih događaja kojem mogu pristupiti korisnici, programabilno automatsko ponovno pokretanje svaki određeni interval, mogućnost punjenja baterije samo dok je uređaj zaključan, automatsko isključivanje Wi-Fi-ja ili Bluetootha ili čak onemogućavanje priključka USB-C kako bi se spriječilo izbacivanje ili ubrizgavanje podataka ako netko ima terminal u rukama.
Također možete prisiliti provjere povezivosti da koriste GrapheneOS poslužitelje umjesto Googleovih, smanjenje curenja metapodatakaTome se dodaju poznate, ali korisne značajke poput randomizacije MAC putem Wi-Fi mreže, tipkovnice „Scramble PIN” na zaključani zaslon ili prisilno ponovno pokretanje nakon X sati bez otključavanja kako bi se ublažili napadi s zadržanom opremom.
Bitan dio je njegov pristup sandboxing s finim podešavanjemSvaka aplikacija nalazi se u svojoj maloj kutijici, s ograničenim dopuštenjima i bez prečaca do podataka drugih aplikacija. Čak se i Google Play usluge, ako ih instalirate, ponašaju kao i bilo koja druga aplikacija: bez sistemskih privilegija, bez skrivenih kanala te s vidljivim i opozivim dopuštenjima.
Verificirano pokretanje, enkripcija i rasprava o FDE-u u odnosu na sigurno pokretanje
Ponavljano pitanje je li Verified Boot zaista toliko važan ili je dovoljno dobro šifriranje cijelog diska. Stvarnost je takva da Samo šifriranje štiti podatke u stanju mirovanja, ali ne provjerava integritet pokrenutog sustava. Bez pouzdanog lanca pokretanja, netko s fizičkim pristupom mogao bi pokušati uvesti modifikacije koje, nakon što je uređaj otključan, učitavaju trajni kod bez vašeg znanja.
Tu na scenu stupaju Pixeli sa svojim Titan M/Titan M2 čipom, koji štiti tipke i primjenjuje... zaštita od vraćanja na prethodno stanje (sprečava vraćanje na ranjivu verziju), provjeru potpisa i ograničava pokušaje grube sile. Kombiniranjem snažne enkripcije s provjerenim pokretanjem koje podržava hardver, smanjujete scenarije u kojima napadač ustraje čak i ako pokušate ponovno fleširati sustav. Napomena: Ponovno fleširanje obično čisti sustav, ali ako su firmver ili bootloader kompromitirani, Treba ti to sidro samopouzdanja kako bi se osiguralo da je ono što je započeto legitimno.
Možete li živjeti s GrapheneOS-om na dnevnoj bazi?
Praktično pitanje je je li mobitel još uvijek koristan. Kratak odgovor je da, s nijansama. instalirati aplikacije trećih strana i Googlea i imat ćeš funkcionalan telefon. Korisnički profili puno pomažu u upravljanju mobilnim uređajimaMožete odvojiti profil s aplikacijama koje zahtijevaju dopuštenja od čistog profila, izolirajući podatke između njih i smanjujući radijus izloženosti.
Mnoge aplikacije rade bez Google Play usluga, a druge nastavljaju raditi sa službenim Play verzijama instaliranim kao normalne aplikacije. Aurora Store (Play klijent bez Google računa) ili F-Droid za besplatni softver praktične su opcije. Imajte na umu da se neke aplikacije oslanjaju na push obavijesti ili Googleove API-je za lokaciju; u tim slučajevima najjednostavnija je opcija instalirati Play u neprivilegiranom načinu rada kako bi koegzistirali s vašim "osjetljivim" profilom.
Možda ste pročitali da je "MicroG instaliran i to je to." To može biti istina na drugim ROM-ovima, ali u GrapheneOS-u lažiranje potpisa nije omogućeno, niti se MicroG preporučuje. jer njegov sigurnosni model daje prioritet korištenju Playa bez privilegija umjesto da ga oponaša. To je svjestan izbor: održavanje lanca povjerenja i smanjenje ustupaka koji otvaraju vrata aplikacijama koje se pretvaraju da su druge aplikacije.
Performanse, iskustvo i što gubite zbog „Pixel magije“
U svakodnevnoj upotrebi, sustav se čini brzim i stabilnim. Vanadijev procesor radi besprijekorno, a potrošnja baterije je konkurentna. dijelom zbog odsutnosti invazivnih procesaMeđutim, izgubit ćete neke od "čarobnih" stvari iz standardnog Pixela: značajke IA kamera/galerija, Google fotografije u punom kapacitetu ili određene integracije koje ovise o vlasničkim uslugama.
Možete instalirati Google kameru ili Google fotografije, da, ali to znači pretpostavku veće telemetrije i dozvola. granularna kontrolaVi odlučujete koje komponente dodajete, gdje i s kojim profilom. Ako vam ništa nije važno i želite potpuno Pixel iskustvo, možda bi se isplatilo držati se standardnog Androida; ako dajete prioritet privatnosti i robusnosti, kompromis GrapheneOS-a je vrlo privlačan.
Uloga hardvera: Titan M2 i pouzdana arhitektura
Ekskluzivnost Pixela prvenstveno se odnosi na jamstva za hardver i firmver. Pixeli integriraju Titan M2 sigurnosni čip kao pouzdani izvršni element odvojen od glavnog procesora. Upravlja ključevima, provjerava pokretanje, nameće ograničenja na pokušaje otključavanja i bolje se odupire fizičkim napadima od isključivo softverskih rješenja.
Osim toga, korištenje sigurnosnog elementa za pohranu ključeva omogućuje hardverski podržano šifriranje podataka s jedinstvenim lozinkama po korisniku, nešto što GrapheneOS koristi za poboljšanje zaštite podataka u mirovanju. Ova konvergencija hardvera + pravila ažuriranja + softverske arhitekture omogućuje sigurnosni standard kojem projekt teži.
Ažuriranja: brzina zakrpa u usporedbi s Androidom i Samsungom
Još jedno ključno pitanje: koliko brzo stižu zakrpe ako se pojavi kritična greška? Općenito, GrapheneOS integrira... AOSP sigurnosna ažuriranja se vrše vrlo brzo Nakon njihovog mjesečnog izdanja, i često u bliskoj sinkronizaciji s tvorničkim slikama Pixela, govorimo o satima ili nekoliko dana za sistemski dio.
Za firmware i komponente zatvorene petlje, tempo ovisi o samom Googleu, baš kao što je i za standardni Android: kada se objavi nova slika Pixela, GrapheneOS je može uključiti. U usporedbi s drugim Android uređajima velikih marki (poput nekih Samsungovih varijanti koje raspoređivaju implementacije po regijama ili operaterima), Pixel + GrapheneOS par obično dobiva zakrpe vrlo brzo i bez međuslojeva koji odgađaju lanac.
Popis uključenih aplikacija i istaknutih uslužnih programa
Ako želite detaljniju sliku, "Standardni paket" uključuje alate poput Auditora (za provjeru integriteta), ojačanog Vanadium preglednika i svakodnevnih uslužnih programa (slanje poruka, telefon, sat, kalkulator, preglednik PDF-ova). Vlastiti App Store Bitne komponente i, ako je potrebno, Googleovi dijelovi instaliraju se u ograničenom načinu rada.
Među manje poznatim praktičnim alatima su programabilno automatsko ponovno pokretanje, "punjenje samo kada je uređaj zaključan", mogućnost onemogućavanja USB-C priključka blokirati fizičke vektore i automatsko isključivanje radija. To su mali detalji koji zajedno podižu ljestvicu sigurnosti bez prisiljavanja na žongliranje.
O pompi, tržištu rabljene robe i napuhanim cijenama
S popularnošću GrapheneOS-a, paketi rabljenih Pixela postali su vrlo skupi samo zato što dolaze unaprijed fleširani. Rabljeni Pixel 6a koje, u stvarnosti, možete sami transformirati u nekoliko minuta pomoću web instalatora. Osim ako vam ne prodaju stvarnu dodanu vrijednost (jamstvo, reviziju, podršku), ove napuhane cijene nisu baš opravdane.
Što ako mi je telefon neovlašteno mijenjan? Ponovno programiranje, znakovi upozorenja i ograničenja
Ako sumnjate na neovlašteno korištenje, ponovno fleširanje službene slike i zaključavanje bootloadera učinkovit je odgovor u većini scenarija. čizma provjerena s Titan M2 Pomaže u otkrivanju/sprječavanju modifikacija, a enkripcija vezana uz vaše vjerodajnice štiti vaše podatke u stanju mirovanja. Stvari postaju kompliciranije ako je napadač kompromitirao firmver/bootloader: tada postaje ključno vratiti potpisane slike i osloniti se na lanac provjere hardvera.
La Aplikacija za revizora uključeno vam omogućuje provjeru statusa sustava s drugog pouzdanog uređaja, smanjujući mogućnost da kompromitacija prođe nezapaženo. Uz periodična ponovna pokretanja i zasebne profile, uvelike povećavate teškoću upornosti i bočnog kretanja za napadača s privremenim fizičkim pristupom.
Konačno, u vezi s "FDE and go", zapamtite: enkripcija štiti vaše podatke kada je vaše računalo zaključano, ali ne jamči integritet sustava to počinje. Stoga je važno provjeriti zaštitu od pokretanja i vraćanja na prethodno stanje, dva elementa koja GrapheneOS podržava upravo s Pixel hardverom.
Stavljajući sve u kontekst, slika je jasna: ako dajete prioritet sigurnosti i privatnosti i spremni ste se odreći dijela „čarobnog“ Pixel iskustva, Pixel + GrapheneOS Nudi teško dostižnu ravnotežu u Android ekosustavu. Ključno je razumjeti kako funkcioniraju provjereno pokretanje, hardverski podržana enkripcija i ažuriranja te koristiti profile/dozvole za prilagodbu telefona vašoj svakodnevnoj upotrebi bez gubitka kontrole.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.