- GrapheneOS é um sistema operacional de código aberto baseado em Android, projetado com privacidade e segurança como prioridade máxima, removendo a integração com serviços do Google para bloquear a coleta de dados por empresas
- É otimizado exclusivamente para a linha Google Pixel e usa o chip de segurança Titan M e o Verified Boot para garantir a integridade do sistema
- Os usuários podem executar os Google Play Services em um ambiente sandbox isolado, permitindo usar os apps necessários enquanto restringem o acesso ao sistema
- Com Obtainium e Aurora Store, é possível instalar apps de código aberto e apps sem GMS, além de controlar permissões de apps com granularidade e separar dados sensíveis com o Private space
- O sistema é visto como uma alternativa prática para usuários que querem reduzir a dependência dos ecossistemas do Google e da Apple
Visão geral do GrapheneOS
- O GrapheneOS é um sistema operacional customizado com foco em segurança, baseado no Android Open Source Project (AOSP)
- Remove a integração com serviços do Google no nível do sistema, evitando rastreamento e coleta de dados
- Reduz ao mínimo vulnerabilidades a ataques com hardening do kernel e dos principais componentes
- É possível executar os Google Play Services em um ambiente sandbox isolado
- Assim, o usuário pode usar apps populares enquanto limita o acesso ao sistema
- Atualmente, apenas a linha Google Pixel é oficialmente suportada
- O uso do chip de segurança Titan M reforça a proteção de dados
Dispositivos compatíveis e escolha
- Em fevereiro de 2026, a lista de dispositivos compatíveis inclui as séries Pixel 6 a 10 e o Pixel Tablet, entre outros
- Pixel 9a, 9 Pro e 10 Pro aparecem como aparelhos recomendados
- O autor escolheu o Pixel 9a e o comprou por cerca de 1600 PLN (aproximadamente US$ 450)
- Os pontos fortes são os 7 anos de suporte e o preço razoável
- Ele se diz satisfeito com a autonomia de bateria e o desempenho e pretende usá-lo por bastante tempo
- O ponto fraco é que a qualidade da câmera fica abaixo da do iPhone 15 Pro e do Galaxy Z Fold 6
Processo de instalação do GrapheneOS
- Requisitos para instalação: smartphone Pixel, cabo com suporte a transferência de dados e PC com navegador baseado em Chromium instalado (Windows 10/11 recomendado)
- Resumo do procedimento de instalação
- desbloquear o bootloader → baixar e gravar a imagem do sistema → relocar o bootloader → restaurar o bloqueio OEM
- Ativar o Verified Boot para verificar a integridade do sistema
- Após a instalação, desativar as opções de desenvolvedor e reiniciar para restaurar a segurança
Como usar o GrapheneOS
- O GrapheneOS adota uma estrutura de compromisso entre conveniência e privacidade
- O usuário pode ajustar livremente as configurações de acordo com o nível de segurança desejado
- Usando o recurso de múltiplos perfis de usuário, o aparelho foi dividido em dois perfis: ‘Owner’ e ‘Tommy’
- No perfil Owner, foram instalados os Google Play Services e apps bancários (mBank, T-Mobile)
- No perfil Tommy, ficam os dados pessoais e os apps principais
- Quando necessário, é possível remover rapidamente dados pessoais apagando o perfil secundário
- O recurso Private space isola apps financeiros e sensíveis em um espaço separado
- Exemplos: Google Drive, mBank, Revolut, Santander
- Alguns recursos de pagamento por NFC não funcionam dentro do Private space
Uso de apps de código aberto e apps sem GMS
- Com o Obtainium, é possível gerenciar a instalação de arquivos .apk e as atualizações automáticas de apps de código aberto
- Principais apps usados: AntennaPod, Bitwarden, Brave, DAVx2, Signal, Organic Maps, Thunderbird e outros
- A Aurora Store é um cliente de código aberto do Google Play, permitindo baixar apps sem conta Google
- O uso de conta anônima reforça a privacidade, mas há risco de bloqueio da conta
- A possibilidade de ataque Man-in-the-Middle deve ser avaliada pelo próprio usuário em termos de confiança
- Apps confirmados como funcionando normalmente sem GMS: Apple Music, Bolt, Discord, Duolingo, GitHub, Lidl Plus, Messenger, Reddit, Zepp e outros
Controle de permissões de apps e gestão de segurança
- O GrapheneOS permite controle granular do acesso de cada app à rede e aos sensores
- Exemplos como FUTO Voice Input, FairScan e Librera não precisam de acesso à internet
- A maioria dos apps não precisa de acesso a sensores, embora isso geralmente venha permitido por padrão
- Caminho para gerenciar permissões: pressionar e segurar o ícone do app → App info → Permissions
- As opções se dividem em Permitir / Perguntar sempre / Não permitir
- Com Permission manager e Privacy dashboard, é possível ver o panorama geral das permissões e a frequência de uso
Apoio ao projeto
- A equipe de desenvolvimento do GrapheneOS atua com o objetivo de construir um ecossistema de código aberto centrado em segurança
- O autor avalia o GrapheneOS como uma alternativa prática para sair da dependência do Google e da Apple e recomenda apoiar os desenvolvedores
1 comentários
Comentários no Hacker News
Uso esse SO há cerca de 1 ano no p9 pro. No geral, funciona bem
Ouvi dizer que o Google Tap to Pay não funciona, mas o Tap to Pay do Vipps funciona bem. O BankID funciona, mas o login por biometria não funciona. O app pessoal do DnB funciona, mas o app empresarial está bloqueado
É realmente ridículo bloquearem apps desse jeito. Dá para acessar tudo pelo site. Dá para usar o site do banco até no Linux, então é engraçado confiarem mais no Linux do que no Windows
Não recomendo dividir em vários perfis de usuário. Em termos de segurança quase não faz diferença e só dá mais trabalho. Ainda assim, no geral estou satisfeito
Instalei o GrapheneOS em um Pixel 8 e deixo um iPhone antigo, usado só em casa, separado para pagamentos e seguros. É inconveniente, mas permite usar os apps oficiais necessários preservando ao máximo a privacidade
Uso o F-Droid como principal, Aurora como apoio e Obtainium como último recurso. Entre os apps do Google, o único realmente necessário é a câmera, que deixo isolada em sandbox sem permissão de rede
Para backup, uso uma combinação de Seedvault do GrapheneOS, immich e MyPhoneExplorer. Abaixo está a lista de apps de código aberto que uso com frequência: Newpipe, Organic Maps, Wireguard, Signal, KOReader etc.
É irônico ter de comprar um Pixel para “sair do Google”, mas na prática ele é o celular Android mais aberto. Desbloquear o bootloader é fácil, e recuperar o aparelho também é simples
Quando você passa a usar o GrapheneOS, também consegue sair do ecossistema de smartwatch com o GadgetBridge (gadgetbridge.org)
A combinação Thinkpad(NixOS) + Pixel 9(GrapheneOS) + Amazfit funciona perfeitamente. KDE Connect e GadgetBridge se integram, então é possível ter sincronização completa sem nuvem
Uso GrapheneOS em um Pixel 9 e estou muito satisfeito. Principalmente com os recursos abaixo
Uso GrapheneOS desde o Pixel 3a até o 10 Pro e acho que não conseguiria voltar para outro SO
Mas há alguns pontos que deixam a desejar
Pedi esse tipo de recurso na issue do app Rethink, mas seria melhor se houvesse suporte em nível de SO
Recentemente houve uma discussão no HN sobre spyware hackeando WhatsApp, Telegram e Signal no nível do SO, e eu fiquei curioso sobre o quão seguro o GrapheneOS é (post relacionado)
Quando eu trabalhava na Microsoft, usava FreeBSD, mas o adb era chato de configurar, então eu instalava ROMs customizadas com um notebook Windows. Hoje uso Fedora, e como os drivers de Android já vêm embutidos, é muito mais prático. Na verdade, no Windows eu tinha até mais problemas com drivers
Uso GrapheneOS há 3 anos. A maioria dos apps bancários também funciona sem problema, e instalo o Google Play em sandbox para usar com dois perfis
Mas uma vez minha conta no Uber foi suspensa sem motivo no app. Eu só criei a conta e fiz uma reserva, mas bloquearam alegando violação dos termos de uso. Depois de alguns dias discutindo com o suporte, a conta foi restaurada, mas esse tipo de risco me deixa hesitante