在本文中,您将看到 Google Play 沙盒在 GrapheneOS 中是如何工作的?如何组织用户个人资料,其他高级用户使用哪些设置,如何跨多个个人资料验证 APK,以及如果您继续使用严重依赖 Google 和 Meta 的应用程序,那么讨论隐私问题在多大程度上是有意义的。您还会发现…… 理解和使用 GrapheneOS 的完整指南 采取务实的方法,同时又不忽略重要的技术细节。
什么是 GrapheneOS?它对安全有何重要意义?
GrapheneOS 是一个基于 AOSP 的操作系统。 (不含谷歌服务的安卓系统)旨在最大限度地提高 Pixel 手机的安全性和隐私性。它不仅仅是“没有谷歌的安卓系统”:它还整合了…… 在内核、内存和系统层面采取缓解措施 这大大增加了漏洞利用和获取设备持久访问权限的难度;此外,它还允许应用 关于二进制数据块的控制和注意事项 影响系统最底层的因素。
该项目专注于提供 对攻击者而言,这是一个艰难的环境:已验证使用 Titan M 芯片启动,强化内存分配器,加强应用程序沙箱,高级权限控制, 加密备份 屏幕关闭时,还会积极阻止NFC或蓝牙等攻击途径。所有这些都促成了极简主义的设计: 只有必要的应用程序才会预装。没有预装臃肿软件,没有谷歌服务,界面与 AOSP 几乎完全相同。
日常使用 GrapheneOS 的体验如何?
首次启动搭载 GrapheneOS 的 Pixel 手机时,你会发现 非常干净,近乎简朴的体验该ROM仅包含几个基本应用程序:设置、文件、审计器、计算器、日历、相机、联系人、图库、信息、PDF阅读器、时钟、电话以及Vanadium浏览器。 Chromium 在隐私和安全方面得到了增强.
界面基本与此相同。 AOSP 简洁高效,无任何附加层这是一个简洁的启动器,没有花哨的壁纸(默认黑色背景),没有第三方小部件、助手或登录谷歌的提示。这种缺失并非偶然,而是项目理念的一部分: 您可以自行决定安装哪些软件以及授予哪些权限。建议对以下内容进行审查: 隐私设置 从一开始。
在 Pixel 上安装 GrapheneOS:比想象中要简单。
与许多人的想法相反, 在兼容的 Pixel 设备上安装 GrapheneOS。 它不需要你成为刷机专家。该项目提供了一种 官方网页安装程序 它运行在现代浏览器中,并逐步指导整个过程。
标准流程包括: 解锁引导程序 将 Pixel 手机通过 USB 线连接到电脑,然后使用网页安装程序,该程序会自动发送必要的图像和命令。安装完成后, 引导程序再次被锁定。 为了确保启动成功,只需大约 15-30 分钟,您就可以让一台较新的 Pixel 手机(Pixel 5 系列及之后型号)运行 GrapheneOS,利用 Titan M 安全芯片的优势,而无需依赖谷歌官方固件。
没有谷歌服务的生活:替代应用商店和应用生态系统
制造完成后, GrapheneOS 不包含 Play 商店或 Google Play 服务。如果您只想使用免费软件并尽量减少追踪,可以使用类似这样的软件仓库。 F-的Droid 要安装开源应用程序:Signal 用于即时通讯,Bitwarden 用于密码管理,Organic Maps 用于非追踪地图,Nextcloud 作为私有云平台等等。此外还有其他选择。 谷歌应用的开源替代方案 涵盖了许多常见需求。
为了访问仅在 Google Play 上提供的应用,许多用户会采取以下措施: Aurora商店另一个可以直接从 Play 商店下载 APK 的客户端, 无需使用您的 Google 帐户登录Aurora 可以使用服务生成的匿名帐户,但它并不总是像官方商店那样稳定或方便,而且一些应用程序(尤其是付费应用程序或具有严格 DRM 的应用程序)可能会导致问题。
GrapheneOS 中的 Google Play 沙盒:它究竟是什么?
GrapheneOS 的独特之处在于它提供 可以在沙盒模式下使用 Google Play 的选项无需将其作为系统特权部分集成。在传统的 Android 系统中,Play 服务等以独立客户端的形式运行。 具有特殊权限的系统应用使用平台自身的证书进行签名,并可访问非常强大的内部 API。
另一方面,在 GrapheneOS 中, Google Play 服务、Google Play 商店和 Google 服务框架的安装方式与普通用户应用相同。它们在应用程序范围内拥有自己的 UID,没有系统签名,并且与其他应用程序一样,受相同的权限模型和严格的沙箱限制。 它们没有 UID 0(root 用户)或 UID 1000(系统 用户)。因此,他们不享有系统权限或直接访问内部资源的权限。
Google Play 内部隔离机制的运作方式
当您从以下位置安装 Google 组件时 GrapheneOS 应用商店每个设备都有自己的数字标识(UID)。 Google Play 服务和 Google 服务框架共享一个 UID 在用户范围内(例如 10xxx),允许应用程序相互通信,而不会破坏整体隔离。
La Play 商店有其独立的 UID。它也属于普通应用程序的范畴,并且使用 Google 证书而非 GrapheneOS 系统证书进行签名。这确保了即使它们是官方的 Google 证书, 无法模拟系统组件此外,就 SELinux 而言,它们并非以“platform:privapp”之类的特权上下文运行,而是以 标准应用程序上下文 (例如,“default:targetSdkVersion=34:complete”),这强化了它们只是沙盒中的更多应用程序的想法。
兼容层:让一切正常运行,而无需赋予超能力
为了确保依赖 Google Play 的应用能够正常运行,GrapheneOS 包含 特定的兼容层这一层不会授予谷歌服务额外的权限,而是 调整系统,使 Google Play 能够在正常限制范围内运行 来自一个没有权限的应用程序。
由于这种兼容性, 大多数应用都希望找到 Play 服务。 (银行、即时通讯、社交媒体和受DRM保护的支付应用)的运行方式与传统安卓系统无异,尽管谷歌服务受到严格限制。它们仍然缺少UID和系统签名,但必要的API以受控方式公开,以避免影响用户体验。
实际难题:如果我继续使用 Gmail 和 WhatsApp,那么使用 GrapheneOS 有意义吗?
一个非常常见的问题是: 如果你的主要应用是 Gmail、WhatsApp、Instagram 等,那么使用 GrapheneOS 就失去了意义。诚然,这些应用会涉及大量数据暴露给谷歌和Meta,但这并不意味着在这种情况下安装GrapheneOS就毫无用处,值得考虑一下。 值得在手机上安装GrapheneOS吗? 根据您的优先级。
改变的是…… 攻击面和对设备的控制程度即使您在 GrapheneOS 环境中使用 Gmail 和 WhatsApp,系统的其余部分仍然得到加强:更好的漏洞利用缓解措施、更精细的权限、验证启动、配置文件之间的隔离、拒绝访问传感器、阻止某些应用程序的网络等。 你无法完全消除这些应用程序的遥测功能,但你可以大幅限制它们在后台可以看到和做的事情。.
用户个人资料:划分数字生活的关键
GrapheneOS最强大的功能之一是使用了 完全隔离的用户配置文件每个用户配置文件都有自己的应用和数据空间,因此安装在某个配置文件上的应用也是独立的。 他既不存在,也看不到别人身上的任何东西。当你想把谷歌和不可靠的应用程序限制在它们自己的小角落里时,这一点至关重要;此外,这也是使用移动设备的一种有效方式。 没有谷歌账户 在主页上。
高级用户推荐的典型配置如下所示: 干净的主个人资料(所有者),无 Google使用您最敏感的应用程序(银行、主要通讯、工作); 辅助个人资料“谷歌” 在沙盒环境中运行 Google Play 服务及其依赖的应用;以及(可选的) 针对特定用途的额外配置文件 (测试、实验性应用等)。这种结构降低了敏感数据与高侵入性追踪应用混杂的可能性。
GrapheneOS 用户的实际配置
一些用户分享了非常详细的配置方案,展示了如何最大限度地发挥系统性能。其中一个方案虽然比较极端,但非常具有指导意义,其中包括: 将所有者配置文件用作“管理员配置文件”。 以及用于日常使用的辅助配置文件。
在这种方法中, 所有者配置文件将所有流量路由到 Orbot(Tor)。已安装 Google Play 商店 创建匿名账户时未使用电话号码使用 Obtainium 和 Accrescent 等其他应用商店直接从开发者处获取应用。 使用 App Verifier 等工具验证所有应用程序。 安装并审核后,它会在所有者中禁用这些内容,并将它们推送到其他用户配置文件以供日常使用。
然后它们就被创造了。 用户资料根据其在应用程序中的信任程度进行分类。一个专用于开源和注重隐私的软件,流量通过 MullvadVPN 进行隧道传输;另一个专用于不太受信任的应用程序(例如银行、WhatsApp 等),也使用 VPN。这种严格的隔离策略的目标是: 一个配置文件中的应用出现问题,无法访问另一个配置文件中的数据或应用。缓解诸如以下威胁的有效策略 针对安卓系统的间谍软件.
同时使用 WhatsApp、密码管理器和电子邮件有危险吗?
这种配置方式引发的问题之一是: 建议将 WhatsApp 与密码管理器或电子邮件设置在同一个帐户下。从严格的安全角度来看,理想的做法是将它们分开:共享的空间越少越好。然而,GrapheneOS 的权限和沙箱系统…… 它严重限制了WhatsApp的功能。 如果你能妥善管理权限的话。
主要风险不在于 WhatsApp 直接读取你的密码数据库(它做不到),而在于 你与该应用分享的所有内容以及相关的元数据联系人、使用模式、云备份(GrapheneOS 也失去了与 Google Drive 的集成)等等。即便如此,与密码管理器或电子邮件应用共享个人资料并不一定意味着灾难;这仅仅意味着,如果您想要最大程度的隔离, 最明智的做法是使用不同的个人资料 用于一般消息传递和高度敏感任务。
在“不可信”的账户中拨打电话和发送短信:需要注意哪些事项
另一个敏感点是 在被认为不太可信的个人资料上启用通话和短信功能例如托管银行应用程序和 WhatsApp 的平台。只要您控制好权限并保持系统更新,这虽然不是灾难性的漏洞,但确实扩大了攻击面: 恶意短信、钓鱼电话或通过短信收到的链接 它们由该帐户进行管理。
如果您的威胁模型较高(例如,处理高度敏感信息或面临有针对性的间谍风险),您可以选择 限制短信和电话的使用范围 尽量减少在该位置安装的内容。对于大多数高级用户来说,只需运用常识,检查权限,避免在接收重要通信的配置文件中安装垃圾文件即可。
当有多个用户时,需要进行 APK 和应用验证。
GrapheneOS 提供以下机制 验证系统和应用程序的完整性但是,当您使用多个配置文件时,就会出现如何审核所有内容的问题。重要的是要理解这一点: 每个用户都有自己独立的应用程序实例。如果在两个用户配置文件中安装同一个应用程序,系统内部会将它们视为独立的安装,每个安装都有自己的数据和设置。
要检查已安装的软件及其合法性,您可以使用以下方法: 每个配置文件的应用程序管理器审查权限和详细信息。技术更娴熟的用户会使用诸如应用程序管理器之类的工具(例如在具有临时 root 权限的分析环境中,例如 KernelSU)来执行此操作。 检查 SELinux 签名、UID 和上下文 所有应用中。实际分析表明,沙盒环境中的谷歌应用是 由谷歌公司使用其常用证书签名GrapheneOS 系统证书是独立的,这证实了 Google Play 不是作为系统组件运行的。
逐步安装和配置 Google Play 沙盒
如果您需要使用 Play 商店进行网上银行、工作或购买某些付费商品,您可以 在特定配置文件中安装 Google Play 沙盒 遵循合理的步骤以避免出现问题。
1. 创建一个专门用于 Google 的用户个人资料
在“设置”>“系统”>“多用户”中,您可以 添加一个具有描述性名称的新用户例如,“Google”或“Play”。首次启动时,您将完成一个简短的设置向导。建议是: 尽量保持个人资料简洁仅安装真正需要 Play 服务的应用,而无需从主配置文件复制您的整个生态系统。
2. 从 GrapheneOS 应用商店安装 Google 组件
在该配置文件中,打开 集成 GrapheneOS 应用商店 并找到以下组件:Google Play 服务、Google 服务框架和 Google Play 商店。最明智的做法是…… 请按此顺序安装它们 为避免内部依赖性错误,每次安装后,请仔细检查所请求的权限并做出决定。 你将批准什么,又将拒绝什么 从第一刻起。
3. 调整权限、传感器和后台活动
沙盒的优势之一在于,你可以对权限进行非常严格的控制: 永久禁止进入该地点 并且仅在特定应用需要时才授予访问权限,如果并非必要则撤销对联系人的访问权限,在不使用时阻止麦克风和摄像头等。此外,GrapheneOS 还允许 控制后台活动和网络访问 逐个应用程序执行,从而减少不必要的遥测数据和电池消耗。
4. 选择或创建您将使用的 Google 帐户
如果您注重隐私,许多用户推荐 使用一个与你的主要身份没有密切关联的独立谷歌账号。常见的做法是使用 VPN、备用手机号码(必要时)创建账户,如果计划购物,则根据服务提供商的条款和条件使用虚拟卡或预付卡。尽可能了解如何操作会很有帮助。
一旦你拥有了账户, 仅可通过“Google”帐户登录 Play 商店。所有购买、订阅和许可都将与该特定帐户和个人资料关联。其他个人资料甚至不会知道该帐户的存在,这有助于限制数据泄露。
沙盒的实际应用:付费应用、通知和兼容性
实际上,许多 GrapheneOS 用户只需要 Google Play 即可。 少数付费或非常特定的应用程序 这些应用在 F-Droid 上找不到,也无法直接下载 APK 文件。例如,我们指的是制作精良的媒体播放器、Jellyfin 专用客户端、从 Play 商店获得授权的专业应用等等。
典型流程是 仅当要安装或更新应用时才启动“Google”配置文件。只保留那些依赖Play服务的应用,并仔细配置自动更新。这样, Google 服务的活跃时间被缩短至最短。 在设备上,最好控制哪些版本更改生效。
就兼容性而言,大多数使用的应用程序 用于推送通知的 Firebase 云消息传递 (FCM) 由于 GrapheneOS 兼容层的存在,它们在沙盒环境中仍能正常运行。但是,如果您过于严格地限制权限、阻止网络访问或终止后台进程,某些通知可能会延迟,极端情况下甚至会失效。
与其他注重隐私的ROM的比较
在安卓ROM领域, GrapheneOS 定位在最高安全性和强化性的极致。其他替代方案,如 CalyxOS、LineageOS 或 /e/OS,在隐私、设备兼容性和易用性之间提供了不同的平衡。
CalyxOS 也非常注重隐私。它可在 Pixel 和其他一些设备上运行,通常包含 microG 来模拟谷歌一些不太知名的服务。与此同时,LineageOS 它在硬件兼容性方面更加灵活。然而,它的安全防护水平不及GrapheneOS。/e/OS专注于构建自身的云服务生态系统,并提供更友好的用户体验,为了便捷性而牺牲了一些高级安全层;另一个注重隐私的替代方案是…… Volla OS.
局限性、摩擦点和目标用户类型
并非所有事情都是优势: GrapheneOS目前仅官方支持Pixel设备。因此,如果您的设备使用其他品牌的固件,您可能需要考虑迁移固件或寻找其他 ROM。此外,某些应用程序可能存在兼容性问题。 数字版权管理或非常严格的完整性验证 (某些银行应用程序、高清流媒体服务、企业工具)可能无法正常工作,但兼容性会随着时间的推移而改善。
还有一个 初始学习曲线了解用户配置文件、详细管理权限、适应其他应用商店,以及接受其体验不像原生安卓或iOS那样“即插即用”,这些都是使用过程的一部分。支持主要依赖于社区、文档和技术论坛,这对于那些不愿意尝试的用户来说可能是一个缺点。
最终,GrapheneOS 更适合那些重视用户体验的用户和团队。 隐私和安全是战略重点这些用户真正希望掌控手机的各项功能,并且愿意接受一些不便和妥协。即使您继续使用 Gmail、WhatsApp 或 Instagram,将它们封装在一个权限受限、用户配置文件分离、并由强大系统支持的沙盒环境中,与标准的 Android 或默认 iOS 配置相比,也会带来显著的不同。 分享信息以便更多用户了解该主题.