Обзор GrapheneOS

[CyberSec RuTOR]

В данной статье я опишу преимущества одной из самых защищенных мобильных ОС на базе Android – GrapheneOS

GrapheneOS - это приватная и безопасная мобильная операционная система с большой функциональностью и удобством использования. Он начинается с сильной базовой линии Android Open Source Project (AOSP) и вносит существенные улучшения как в конфиденциальность, так и в безопасность благодаря множеству тщательно разработанных функций, созданных для защиты от различных атак.

Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:

Уменьшение поверхности атаки

Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)

Защищенная среда выполнения приложения

Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями

Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption

Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.

Защищенный набор инструментов компилятора

Защищенное ядро

Ограничение доступа к файловой системе

Улучшенная изоляция компонентов:

GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб-браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.

Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки

GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации

GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.

С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.

Возможность отключения доступа к сети для конкретного приложения (системный firewall):

GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.

Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.

Переключатель разрешения датчиков

Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.

GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.

Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).

Конфиденциальность Wi-Fi

GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.

Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.

На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.

GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.

GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого-либо специального доступа или привилегий через изолированную среду.

Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS

Процесс установки GrapheneOS описан в статье

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[PhenoExc1D]

Йоу, классная статья) Спасибо за твои труды.
Можно ссылку на ориг сайт, где можно установить данную систему?
Боюсь наткнуться на вирусный софт и тому подобное.. ( если конечно можно линки тут кидать)

 

[Viktor But]

Йоу, классная статья) Спасибо за твои труды.
Можно ссылку на ориг сайт, где можно установить данную систему?
Боюсь наткнуться на вирусный софт и тому подобное.. ( если конечно можно линки тут кидать)

Ага,ждём ссылку от тс)Сам хочу попробовать затестировать эту систему

 

[CyberSec RuTOR]

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[SouthPark]

Спасибо за ваше потраченное время. Много полезных материалов пишите. +

 

[djuzze]

Помогает ли данная ос скрываться от опознавание пользователя через сотовые вышки ? И как используя эту ОС быть анонимным в сети интернет? У меня например основная работа идет в телеграме, при этом 24ч нужно быть на связи в месенджере

 

[djuzze]

Моя деятельность никак не связана с веществами, в скором времени планирую покупать Google Pixel 6a, перепрошить его под graphene os. Дальше какие мои действия? Могу купить любую купленную симку оформленную на другого человека и серфить интернет? Возможно ли будет через данное устройство вычислить мой основной телефон и номер, так же его местоположение? Естественно мне придется 2 устройства носить вместе рядом. Какие есть слабые места и уязвимости у этой системы? Или напишите лучше что делать категорически нельзя, кроме подключения к одной wi-fi сети

 

[CyberSec RuTOR]

Помогает ли данная ос скрываться от опознавание пользователя через сотовые вышки ? И как используя эту ОС быть анонимным в сети интернет? У меня например основная работа идет в телеграме, при этом 24ч нужно быть на связи в месенджере

Нет
Чтоб быть анонимным в интернете, используйте Tor

 

[universal177]

Опять же никто не мешает пропустить телегу через torsocks.

 

[Diablolsd777]

Спасибо отличная статья , но хотелось бы узнать по базовым вышкам тоже вычисляется или нет, и будет ли улучшена анонимность если на новый телефон установить данную ОС и вообще не вставлять сим а пользоваться через модем по Wi-fi. Заранее благодарен

 

[CyberSec RuTOR]

Спасибо отличная статья , но хотелось бы узнать по базовым вышкам тоже вычисляется или нет, и будет ли улучшена анонимность если на новый телефон установить данную ОС и вообще не вставлять сим а пользоваться через модем по Wi-fi. Заранее благодарен

По вышкам вычисляется, если использовать без сим, то безопасность улучшается

 

[mare4]

Посмотреть вложение 1017559​

В данной статье я опишу преимущества одной из самых защищенных мобильных ОС на базе Android – GrapheneOS

GrapheneOS - это приватная и безопасная мобильная операционная система с большой функциональностью и удобством использования. Он начинается с сильной базовой линии Android Open Source Project (AOSP) и вносит существенные улучшения как в конфиденциальность, так и в безопасность благодаря множеству тщательно разработанных функций, созданных для защиты от различных атак.

Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:

Уменьшение поверхности атаки

Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)

Защищенная среда выполнения приложения

Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями

Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption

Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.

Защищенный набор инструментов компилятора

Защищенное ядро

Ограничение доступа к файловой системе

Улучшенная изоляция компонентов:

GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб-браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.

Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки

GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации

GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.

С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.

Возможность отключения доступа к сети для конкретного приложения (системный firewall):

GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.

Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.

Переключатель разрешения датчиков

Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.

GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.

Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).

Конфиденциальность Wi-Fi

GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.

Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.

На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.

GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.

GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого-либо специального доступа или привилегий через изолированную среду.

Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS

Процесс установки GrapheneOS описан в статье

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Сообщение обновлено: 24 Июл 2025

Гулл можно будет использовать без слива данных, и есть ли логи у этой ос?

 

[BLVCKMVRT]

Посмотреть вложение 1017559​

В данной статье я опишу преимущества одной из самых защищенных мобильных ОС на базе Android – GrapheneOS

GrapheneOS - это приватная и безопасная мобильная операционная система с большой функциональностью и удобством использования. Он начинается с сильной базовой линии Android Open Source Project (AOSP) и вносит существенные улучшения как в конфиденциальность, так и в безопасность благодаря множеству тщательно разработанных функций, созданных для защиты от различных атак.

Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:

Уменьшение поверхности атаки

Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)

Защищенная среда выполнения приложения

Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями

Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption

Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.

Защищенный набор инструментов компилятора

Защищенное ядро

Ограничение доступа к файловой системе

Улучшенная изоляция компонентов:

GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб-браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.

Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки

GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации

GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.

С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.

Возможность отключения доступа к сети для конкретного приложения (системный firewall):

GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.

Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.

Переключатель разрешения датчиков

Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.

GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.

Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).

Конфиденциальность Wi-Fi

GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.

Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.

На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.

GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.

GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого-либо специального доступа или привилегий через изолированную среду.

Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS

Процесс установки GrapheneOS описан в статье

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

огонь, спасибо за инфу, в будущем думаю перепрошьюсь

 

[DM23]

Graphene безусловно имеет хорошие решения по безопасности, однако не стоит забывать о том, что Graphene напрочь завязывает руки пользователю по умолчанию не давая реализовать множество других решений относительно безопасности устройства. Если мы уж и решим его рутовать, то понадобится уже и переподписывать образ для работы AVB. Так ведь? Нет. В последующем для запрета oem разблокировки graphene сравнивает подписи с сервером, увы. Ну а после такого провала у нас не встанет тот же Lsposed, не поддерживается видите ли, что не так уж и плавно подводит к тому, что графен не решает проблему идентификации конкретного устройства полностью, но использование инструментов для решения этой проблемы ограничивает. Стоит ли упоминать что некоторые функции graphene по умолчанию уже имеются на той же линейке? Да и экстренный сброс данных там... в общем видно, что устройство было подчищено, т.к. сбрасывает до заводских, радует хоть то, что данные не достанут уже.

В общем и целом ОСь неплохая если нет желания пердолиться со своим устройством. Есть ли лучше? Уверен, что да.

 

[Me13]

Ставится только на Гугл Пиксель?

 

[chikaga]

Ставится только на Гугл Пиксель?

да

 

[titomaki8]

Посмотреть вложение 1017559​

В данной статье я опишу преимущества одной из самых защищенных мобильных ОС на базе Android – GrapheneOS

GrapheneOS - это приватная и безопасная мобильная операционная система с большой функциональностью и удобством использования. Он начинается с сильной базовой линии Android Open Source Project (AOSP) и вносит существенные улучшения как в конфиденциальность, так и в безопасность благодаря множеству тщательно разработанных функций, созданных для защиты от различных атак.

Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:

Уменьшение поверхности атаки

Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)

Защищенная среда выполнения приложения

Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями

Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption

Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.

Защищенный набор инструментов компилятора

Защищенное ядро

Ограничение доступа к файловой системе

Улучшенная изоляция компонентов:

GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб-браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.

Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки

GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации

GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.

С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.

Возможность отключения доступа к сети для конкретного приложения (системный firewall):

GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.

Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.

Переключатель разрешения датчиков

Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.

GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.

Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).

Конфиденциальность Wi-Fi

GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.

Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.

На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.

GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.

GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого-либо специального доступа или привилегий через изолированную среду.

Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS

Процесс установки GrapheneOS описан в статье

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Здравствуйте, GrapheneOS на GooglePixel 9, 9a, новый пользоватся без симкарты только по вайфай с двойным впн разных поставщиков, без утечек днс и вебртк, первый слой 128 бит шифр второе 256, впн от BespalePhone или посоветуете какой лучше ддля теретории рф и invizeblePro использовать или орбот, что лучше для максимальной скрытности чтобы телеграм можно было скачать и небоятся что найдут посоветуйте пожалуйста.