GrapheneOS: uma build do Android com segurança reforçada

 (lwn.net)
1 pontos por GN⁺ 2025-07-25 | 2 comentários | Compartilhar no WhatsApp
  • GrapheneOS é um sistema operacional de código aberto desenvolvido para reforçar significativamente a segurança e a privacidade do Android
  • Suporta apenas um conjunto limitado de hardware, como dispositivos Google Pixel 6 a 9, e oferece vários recursos de proteção, como hardening e controle de permissões do usuário
  • Os apps do Google Play podem ser usados em sandbox, e apps e recursos desnecessários são removidos por padrão
  • O processo de instalação e configuração inicial pode não ser intuitivo ou exigir tempo, mas é uma opção útil para usuários com foco em segurança
  • Ainda assim, pode haver algum incômodo com apps e recursos comerciais essenciais, além de preocupações sobre a transparência da governança da comunidade

Visão geral e contexto do projeto

  • GrapheneOS é um projeto de rebuild open source do Android que surgiu para lidar com problemas de privacidade e ameaças à segurança em smartphones
  • O projeto partiu da limitação de que distribuições Android existentes não representavam suficientemente os interesses do proprietário do dispositivo e evoluiu de forma independente sob Daniel Micay após se separar do CopperheadOS
  • Uma fundação sediada no Canadá, criada em 2023, apoia o desenvolvimento, mas quase não há informações públicas sobre seu modelo de operação ou transparência

Principais características e estratégia de hardening

  • Com base no Android Open Source Project (AOSP), o sistema aplica remoção substancial de código e diversos patches de reforço de segurança
  • Por exemplo, foram feitas mudanças importantes para aumentar a proteção de memória e a resiliência, como a biblioteca hardened malloc() e Control-Flow Integrity
  • A maior parte dos recursos de segurança foi projetada para quase não aparecer ao usuário, minimizando o desconforto no uso do sistema

Instalação e dispositivos compatíveis

  • Os dispositivos compatíveis são limitados à linha Google Pixel 6 a 9, com suporte parcial e excepcional para Pixel 4/5
    • Os Pixels mais recentes são recomendados por oferecerem 7 anos de atualizações de segurança garantidas e suporte a memory tagging em hardware baseado em ARMv9 (recurso de segurança)
    • O recurso de memory tagging vem ativado por padrão e ajuda a prevenir exploits no sistema operacional e em apps compatíveis
  • Há dois métodos de instalação: instalação via web e instalação por linha de comando, mas oficialmente a instalação via web é mais estável

Experiência inicial de uso

  • O GrapheneOS tem apps padrão e recursos de migração de dados limitados, então o usuário precisa refazer manualmente toda a configuração inicial
  • Apps padrão: apenas navegador web (Vanadium), app de câmera, visualizador de PDF e sua própria loja de apps
    • A Google Play Store e seus apps relacionados não vêm incluídos por padrão (embora possam ser instalados depois em sandbox)
    • A loja de apps inclui apenas 13 aplicativos ao todo
  • O navegador Vanadium é um fork do Chrome, com isolamento de sites no mobile e reforço na segurança do código
    • A documentação recomenda evitar o uso do Firefox (por preocupações com vulnerabilidades de segurança)
  • O app de câmera remove metadados Exif por padrão, e o recurso de localização exige ativação explícita

Instalação de apps e uso do ecossistema

  • É possível instalar alguns apps open source por lojas alternativas como Accrescent (ex.: Organic Maps, Molly, IronFox)
  • O F-Droid pode ser usado, mas a comunidade do GrapheneOS mantém uma postura crítica em relação aos problemas de segurança do F-Droid
  • Como a maioria dos usuários precisa da Google Play Store, o GrapheneOS oferece Google Play em sandbox
    • Nessa versão, as permissões de sistema são reduzidas e ele roda com restrições como um app comum
    • Quando um app verifica confiabilidade via Integrity API, alguns podem não funcionar fora de imagens oficiais
    • No uso real, a maioria funcionou normalmente, mas a compatibilidade dos apps deve ser testada com antecedência

Recursos adicionais de segurança e privacidade

  • Bloqueio de acesso à rede por app: o Android não oferece isso por padrão, mas no GrapheneOS é possível controlar o bloqueio de rede individualmente por aplicativo
  • Permissões de sensores mais granulares: acelerômetro, sensor de orientação, termômetro e outros sensores também são gerenciados com permissões separadas
  • Storage/Contact Scope: os apps não conseguem acessar todo o armazenamento ou todos os contatos do dispositivo; apenas os arquivos/contatos permitidos são expostos virtualmente
  • Há opções avançadas de segurança, como bloqueio de 30 minutos após falha no desbloqueio por digital e exclusão imediata de dados ao inserir o Duress PIN (PIN de emergência sob coação)
  • Suporte a verificação de integridade vinculada ao hardware por meio de um app de auditoria de integridade do dispositivo
  • Atualizações regulares e rápidas: o Android 16 foi incorporado em menos de um mês após o lançamento oficial
  • Reinicialização automática após 18 horas de inatividade para manter os dados criptografados e o software atualizado

Operação do projeto e comunidade

  • Falta de transparência operacional: a fundação oficial existe, mas quase nada é divulgado externamente sobre a forma de tomada de decisão ou uso de recursos
  • A estrutura da comunidade de desenvolvimento é pouco clara, e a maior parte da participação gira em torno de perguntas e respostas de usuários
  • A influência do principal desenvolvedor Daniel Micay ainda parece predominante, e há alguma preocupação com a continuidade diante de futuras mudanças na equipe

Avaliação geral e impressões de uso real

  • Leva bastante tempo para configurar o dispositivo e restaurar o ambiente, mas é possível usar o sistema focando no essencial, sem recursos desnecessários
  • O alcance do controle de segurança e privacidade aumenta, e recursos desnecessários de IA/Google são excluídos, alinhando-se bem ao objetivo do sistema
  • Ainda assim, há limitações ou incômodos, como falta de suporte à digitação por gesto no teclado, necessidade prática de login no Google Play e restrições no uso de alguns apps proprietários essenciais
  • O GrapheneOS é uma opção válida para quem busca controle de permissões centrado no usuário e segurança reforçada
  • Porém, se a execução de apps comerciais essenciais para a vida moderna for crucial, ainda existem limitações parciais, e a questão da governança da comunidade também exige atenção

Leituras relacionadas

2 comentários

 
GN⁺ 2025-07-25
Opiniões do Hacker News

  • Instalei o GrapheneOS em um Pixel novo e estou usando há uns dois dias; me deu de novo aquela sensação de “achar um tesouro no quintal de casa” que senti quando instalei Linux pela primeira vez em 1999. É difícil acreditar que um software tão excelente seja realmente gratuito em todos os sentidos. É uma quantidade absurda de trabalho, e muita coisa foi muito bem implementada. Dá para controlar com bastante granularidade as configurações de segurança e usabilidade do jeito que você quiser. Eu não sou alguém que costuma recomendar celular para os outros, mas até agora está funcionando muito bem. No meu caso quase não uso apps de terceiros, e também não uso apps exclusivos da Play Store. A desvantagem é o hardware, mas isso está fora do controle da equipe do Graphene

    • Fico curioso se também funciona bem para quem precisa de banco no celular, como acesso à conta bancária

    • Fico curioso de onde vocês baixam e instalam os apps; queria saber se é pela app store do Google

    • Fico curioso se você já usou algo como o LineageOS antes

    • Usar GrapheneOS em Pixel? Você por acaso não é algum tipo de criminoso? /s

  • Usei LineageOS por alguns anos em um celular antigo e, no ano passado, comprei um Pixel 4 para usar GrapheneOS. Fico muito feliz porque os dois sistemas funcionaram bem. O GrapheneOS em especial merece pontos extras porque o processo de instalação é muito fácil. Só que, infelizmente, o Graphene já está encerrando o suporte ao Pixel 4, então em breve provavelmente vou voltar para o Lineage. A única limitação técnica que tive usando essas ROMs foi o GPS: a localização some com frequência e às vezes leva alguns minutos para voltar (e, se der azar, nunca volta). Acho que isso acontece por não usar os serviços de localização do Google. Também ativei a configuração de melhorar a precisão de localização por Wi‑Fi/Bluetooth e tentei várias dicas da internet, mas não consegui resolver. No Graphene é ainda pior porque a localização some toda vez que fecho o app de mapas. Imagino que seja problema do celular ou do SO

    • No Pixel 8, o GPS no Graphene está absurdamente rápido graças ao novo recurso de localização por rede. Parece uma mudança realmente revolucionária. Antes só tinha suporte a Wi‑Fi, mas recentemente adicionaram também localização por rede celular. Eles fornecem o serviço de localização da Apple por proxy

  • Pelo que ouvi recentemente, o Google mudou a política de manutenção do AOSP e parou de publicar as device trees e os binários de driver para os aparelhos Pixel. Fico me perguntando se isso realmente foi interrompido ou se é só um atraso. Também acho que publicar esses arquivos ajuda a criar demanda dos usuários pelos aparelhos Pixel, então isso acaba sendo um caso de negócio. Será que o custo ficou grande a ponto de anular o benefício, ou é só uma questão de manutenção? Estou realmente curioso. De qualquer forma, sou grato tanto ao GrapheneOS quanto ao Google por terem disponibilizado uma plataforma de celular em que os recursos essenciais funcionam bem

    • No Android 16, o AOSP não fornece mais device trees para Pixel, mas originalmente também não fornecia para outros aparelhos. Só um pequeno número de OEMs fornece trees básicas para versões antigas do Android. É uma perda de uma das poucas vantagens que o Pixel tinha, mas isso nunca fez parte dos requisitos de hardware do GrapheneOS. Há um texto sobre isso aqui. Não é por isso que só os Pixels atendem aos requisitos. Eles estão trabalhando com um grande OEM de Android, então talvez haja mudanças em 2026 ou 2027. O porte do GrapheneOS para uma nova versão principal do Android normalmente leva só alguns dias, e a versão estável sai em até duas semanas. O Android 16 também foi portado poucos dias após o lançamento, e depois foi preciso reimplementar o código de suporte aos dispositivos Pixel no Android 16. A primeira distribuição para produção saiu em 30 de junho e chegou ao canal estável em 8 de julho. Desta vez levou mais tempo, então eles operaram de forma incomum fazendo backport de parte dos patches e do firmware do Android 16 para o branch Android 15 QPR2. Daqui para frente, como o fluxo de trabalho automatizado já foi criado, os portes do Android 16 QPR1~QPR3 ou do Android 17 devem voltar a ser rápidos como antes

    • Ouvi um boato de que seria por causa de questões antitruste, mas também pensei que, se eles quiserem vender de novo o negócio de dispositivos, talvez os drivers também possam sair do AOSP

  • Sou usuário de longa data do GrapheneOS e acho que é um projeto realmente muito bom. Compartilho uma lista de apps de código aberto que podem substituir os apps do Google

    • Aurora Store: interface anônima para a Play Store
    • F-Droid: loja de apps de código aberto
    • Obtainium: baixar apps do github etc.
    • Organic Maps: navegação de código aberto (não chega ao nível dos apps comerciais)
    • SherpaTTS: TTS para navegação
    • PDF Doc Scanner: scanner de documentos de código aberto
    • Binary Eye: leitor de código de barras
    • K9 Mail / FairMail: clientes de e-mail
    • LocalSend: transferência de arquivos
    • Syncthing Fork: sincronização de arquivos
    • VLC Media Player: player de mídia
    • KOReader: leitor de e-books
    • Voice: player local de audiolivros
    • AudioBookShelf: player remoto de audiolivros
    • Immich: backup de imagens
    • Fossify File Manager: gerenciador de arquivos
    • Substreamer / DSub: streamer de áudio para Navidrome
    • OpenCamera: app de câmera de código aberto
      Teria sido ótimo conhecer essa lista antes; espero que ajude alguém

  • O recurso mais divertido do GrapheneOS é que você pode ver os logs de qualquer app a qualquer momento na página App Info

  • Um recurso essencial que eu gostaria muito que existisse no GrapheneOS é uma senha de emergência que abrisse um “usuário” (perfil) completamente diferente em situação de ameaça. Assim, mesmo se você for forçado a revelar a senha, pelo menos sua conta real não seria acessada. No mínimo, seria bom ter algum recurso de perfil oculto para garantir uma segurança básica. Pelo que sei, no lugar disso existe um recurso para apagar completamente o dispositivo, mas em uma situação de ameaça isso também pode acabar sendo prejudicial. Há uma discussão sobre isso aqui

    • Sou gerente da comunidade do GrapheneOS, e o problema com esse tipo de recurso é que, na prática, ele não consegue ser escondido se usarem sequer ferramentas básicas. O motivo de o recurso de Duress PIN/Password também não ser algo que tentam esconder de propósito é esse. Na verdade, a própria existência do recurso pode tornar tudo mais perigoso, porque faz o agressor “acreditar que existe algo escondido”. Só o fato de esse recurso existir já pode levar a uma situação perigosa em que a pessoa é forçada a desbloquear o aparelho e a entregar até informações ocultas sob ameaça. Acho que é um problema muito difícil de resolver na prática. Não é algo que dê para resolver facilmente só com esse tipo de proposta

    • O fórum de discussões do GrapheneOS avisa que “este site funciona melhor em um navegador moderno com JavaScript ativado”, e isso é realmente problemático do ponto de vista de segurança. Eu diria ao gerente da comunidade para melhorar essa parte e também pediria um site .onion

    • Esse tipo de recurso (senha de emergência) é pedido há muito tempo em várias comunidades de modding; fico curioso se é só uma questão de dificuldade de implementação

    • Acho esse tipo de formulação extrema exagerada. Se alguém precisa sobreviver fingindo ser um usuário falso, então me parece que existe um problema estrutural bem mais grave do que a ausência de um recurso no nível do sistema operacional

  • A única coisa de que não gosto no Graphene é que há poucos aparelhos compatíveis. Entendo as exigências de segurança e tudo mais, mas eu preferiria poder usar o Graphene em vez do Android padrão do Google, mesmo que o nível de reforço de segurança fosse menor

    • Sou gerente da comunidade do GrapheneOS. No momento, os únicos aparelhos que atendem aos requisitos de suporte do Graphene são os dispositivos do Google (link), mas eles estão trabalhando com outro OEM e esperam ampliar o suporte para produtos desse fabricante em 2026 ou 2027. Ainda não há nada confirmado, mas estão otimistas

    • Dizem que há poucos aparelhos compatíveis, mas só entre os Pixels já existem de 4 a 5 gerações, com série A, Pro e variantes menores/maiores, além de diferentes faixas de preço, então na prática me parece acessível para quase todo mundo

    • Na verdade, acho bom que o Graphene foque em Pixel. Diferentemente da Fairphone, o Pixel pode ser comprado em muitos países. Ou seja, o Graphene não fica limitado só a países desenvolvidos ou ao Ocidente. Acho que a falta de suporte a outras marcas se deve a vários fatores, como o tamanho da equipe, a enorme diversidade do Android entre OEMs e a política de atualizações do Google

    • Como o Google parece estar ficando menos cooperativo com o projeto, talvez, se realmente houver muita gente precisando disso, seja necessário tentar diretamente o suporte a novo hardware

    • CalyxOS também oferece suporte a outros aparelhos e passa a sensação de ser mais focado em privacidade de verdade

  • O Graphene é um excelente sistema operacional para aparelhos Pixel: simples, confiável e cheio de recursos de segurança e privacidade, transmitindo uma sensação reconfortante de estabilidade. As atualizações do sistema são automáticas, e os recursos básicos, como ligações, funcionam perfeitamente. Minha única frustração é a qualidade da câmera, que imagino ser por falta de drivers proprietários. O Signal também funciona muito bem sem os serviços do Google, então é perfeito para usar como celular principal no dia a dia. Meus sinceros agradecimentos aos desenvolvedores

  • Sempre tive muito interesse no GrapheneOS, mas é uma pena que ele só possa ser usado em aparelhos tão limitados quanto os Pixels. Eu gostaria de experimentar também em um Galaxy A55

  • Acho interessante que os únicos aparelhos que cumprem os requisitos de segurança sejam todos produtos do Google. Também fico curioso se o Google usa internamente uma versão separada do Android mais focada em segurança. Para o Google, os aparelhos pessoais dos engenheiros principais serem hackeados seria um grande risco de segurança, então talvez exista mesmo alguma versão interna mais voltada à segurança