GrapheneOS - это приватная и безопасная мобильная операционная система с большой функциональностью и удобством использования. Он начинается с сильной базовой линии Android Open Source Project (AOSP) и вносит существенные улучшения как в конфиденциальность, так и в безопасность благодаря множеству тщательно разработанных функций, созданных для защиты от различных атак.
Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:
Уменьшение поверхности атаки
Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)
Защищенная среда выполнения приложения
Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями
Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption
Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.
Защищенный набор инструментов компилятора
Защищенное ядро
Ограничение доступа к файловой системе
Улучшенная изоляция компонентов:
GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб-браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.
Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки
GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации
GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.
С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.
Возможность отключения доступа к сети для конкретного приложения (системный firewall):
GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.
Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.
Переключатель разрешения датчиков
Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.
GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.
Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).
Конфиденциальность Wi-Fi
GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.
Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.
На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.
GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.
GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого-либо специального доступа или привилегий через изолированную среду.
Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS
В данной статье уже рассмотрим процесс её установки. У GrapheneOS есть 2 варианта установки: через терминал и через веб-установщик, мы будем ставить именно через веб-установщик, потому что это гораздо проще и быстрее.
В качестве системы, с которой будет производиться установка будет использован Debian 12 и браузер Chromium, использовать будет веб-установщик
Для начала надо подготовить сам устройство.
Первым делом необходимо включить опции для разработчиков, для этого открываем настройки устройства, там заходим в "About phone" и несколько раз нажимаем на "build number", пока не появится сообщение о том, что режим разработчика активирован.
Затем переходим в пункт "System", а там в пункт "Developer options" и включаем опцию "OEM unlocking", при этом смартфон должен быть подключен к интернету!
Теперь надо установить необходимые драйвера на ПК, для этого в терминале вводим команду
Код:
sudo apt install android-sdk-platform-tools-common
Теперь выключаем устройство и включаем его одновременно зажав кнопку включения и уменьшения громкости, таким образом мы загрузимся в режиме fastboot и увидим надпись о том, что загрузчик заблокирован
Подключаем смартфон к ПК в таком режиме и открываем сайт https://grapheneos.org/install/web
На сайте нажимаем кнопку "Unlock bootloader"
На устройстве кнопками громкости выбираем пункт "Unlock the bootloader" и нажимаем кнопку включения, после этого устройство перезагрузится и мы увидим, что загрузик разблокирован
Теперь на сайте нажимаем кнопку "Download release" и ждем окончания загрузки прошивки
После завершения загрузки нажимаем кнопку "Flash release", после этого пойдет процесс прошивки устройства, оно несколько раз перезагрузится и потом снова войдет в режим fastboot
Прошивка завершена, теперь заблокируем загрузчик, для этого нажимаем на сайте кнопку "Lock bootloader", выбираем "Lock the bootloader" на устройстве и жмем конпку включения, устройство перезагрузится и мы увидим, что загрузчик снова заблокирован
Теперь можно включить устройство и пользоваться, GrapheneOS установлена
Отключите отладку по USB и OEM разблокировку (если она включена), доступ в интернет давайте только тем приложениям, которым он необходим
С макбука точно так же, учитывайте, что браузер, через который пойдет установка, должен быть на движке Chromium
Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:
Уменьшение поверхности атаки
Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)
Защищенная среда выполнения приложения
Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями
Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption
Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.
Защищенный набор инструментов компилятора
Защищенное ядро
Ограничение доступа к файловой системе
Улучшенная изоляция компонентов:
GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб-браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.
Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки
GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации
GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.
С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.
Возможность отключения доступа к сети для конкретного приложения (системный firewall):
GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.
Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.
Переключатель разрешения датчиков
Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.
GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.
Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).
Конфиденциальность Wi-Fi
GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.
Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.
На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.
GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.
GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого-либо специального доступа или привилегий через изолированную среду.
Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS
В данной статье уже рассмотрим процесс её установки. У GrapheneOS есть 2 варианта установки: через терминал и через веб-установщик, мы будем ставить именно через веб-установщик, потому что это гораздо проще и быстрее.
В качестве системы, с которой будет производиться установка будет использован Debian 12 и браузер Chromium, использовать будет веб-установщик
Для начала надо подготовить сам устройство.
Первым делом необходимо включить опции для разработчиков, для этого открываем настройки устройства, там заходим в "About phone" и несколько раз нажимаем на "build number", пока не появится сообщение о том, что режим разработчика активирован.
Затем переходим в пункт "System", а там в пункт "Developer options" и включаем опцию "OEM unlocking", при этом смартфон должен быть подключен к интернету!
Теперь надо установить необходимые драйвера на ПК, для этого в терминале вводим команду
Код:
sudo apt install android-sdk-platform-tools-common
Теперь выключаем устройство и включаем его одновременно зажав кнопку включения и уменьшения громкости, таким образом мы загрузимся в режиме fastboot и увидим надпись о том, что загрузчик заблокирован
Подключаем смартфон к ПК в таком режиме и открываем сайт https://grapheneos.org/install/web
На сайте нажимаем кнопку "Unlock bootloader"
На устройстве кнопками громкости выбираем пункт "Unlock the bootloader" и нажимаем кнопку включения, после этого устройство перезагрузится и мы увидим, что загрузик разблокирован
Теперь на сайте нажимаем кнопку "Download release" и ждем окончания загрузки прошивки
После завершения загрузки нажимаем кнопку "Flash release", после этого пойдет процесс прошивки устройства, оно несколько раз перезагрузится и потом снова войдет в режим fastboot
Прошивка завершена, теперь заблокируем загрузчик, для этого нажимаем на сайте кнопку "Lock bootloader", выбираем "Lock the bootloader" на устройстве и жмем конпку включения, устройство перезагрузится и мы увидим, что загрузчик снова заблокирован
Теперь можно включить устройство и пользоваться, GrapheneOS установлена
Отключите отладку по USB и OEM разблокировку (если она включена), доступ в интернет давайте только тем приложениям, которым он необходим
С макбука точно так же, учитывайте, что браузер, через который пойдет установка, должен быть на движке Chromium
