尝试了 GrapheneOS:探索移动系统的隐私与安全特性!

260 天前
 CHENYIMING
大家好,

近日我对 GrapheneOS 和 iOS 进行了一番研究,特别是它们在隐私和安全性方面的特点。虽然我找到了一些基本的信息,但我发现关于 GrapheneOS 的深入资料并不多,特别是与 iOS 的直接比较。

首先,我目前使用的是 Pixel 4 ,安装了 GrapheneOS 版本:2023080800 。尽管我安装了这个以隐私为中心的操作系统,但我仍然使用了 GMS ( Google Mobile Services )三件套。我确实觉得系统运行得很流畅,但我对当前的隐私和安全保护水平仍有一些疑惑。不知道是否违背了我选择 GrapheneOS 的初衷。

我希望通过这个帖子来汇集更多的见解和经验,特别是那些亲自使用 GrapheneOS 的网友:

GrapheneOS 在日常使用中的体验如何,特别是与 iOS 相比?

在实际应对高级威胁(例如,法律强制、高级黑客攻击等)时,GrapheneOS 是否有明显的优势或劣势?

在使用 GMS 三件套的情况下,GrapheneOS 的隐私和安全特性是否受到影响?

如果您有从 iOS 切换到 GrapheneOS 的经验,您能分享一下动机和体验吗?

有哪些公开的或可能不为众人知晓的 GrapheneOS 的安全特性,您认为值得大家了解的?

感谢大家的分享和参与!这不仅对我个人有帮助,也能为后来者提供宝贵的参考资料。


2141 次点击
所在节点    问与答
14 条回复
1145148964
260 天前
我认为目前隐私性最好的系统是虚拟机里装 Windows ,Windows 里面开 wsa
0o0O0o0O0o
260 天前
我觉得,既然你是需要应对这种级别的威胁,你应该先确保自己一直用上最新的硬件设备,再去讨论 OS ,否则是缘木求鱼。Graphene 也是这么建议的。

> ( Pixel 4) end-of-life, no longer receive full security updates and are supported via extended support releases
nevadax
260 天前
GOS 可以限制 USB 的数据传输,开启限制后可以让 USB 口仅充电,任何数据都传输不了(外接键盘鼠标也不行),看上去就和坏了一样。可以防止物理( adb )读取数据。


可以设置自动重启时间( calyxos 也有),在 x 小时内没有解锁过手机会被强制重启,重启后所有用户数据需要输入密码解锁( iPhone 重启后必须输入密码也是如此)。配合 locker 这个 app 可以实现手机丢失后 x 小时内没有解锁过会强制输入密码,如果输错密码(最少只需要 1 次)则抹除数据。

(以上两个策略有可能在同一场景下被用到,自行脑补)

相比于 calyxos ,完全兼容 gms ,可以直接装 play store 。

多用户功能,支持将主 profile 的 app 克隆到新 profile (不需要再重新安装)。

默认自带存储隔离,专治国产 app 垃圾文件。



pixel 6 pro ,京东完全不可用,下方所有 tab 页面打不开,可以用微信小程序代替。
mjy2
260 天前
@0o0O0o0O0o 这里说的"security updates"是谷歌的那个安全补丁嘛?
Jirajine
260 天前
不要日常使用 owner 用户,把 gms 和依赖 GMS 的应用单独装在一个用户里,主力使用另一个用户只安装 floss 程序。
虽然建议单独买一台 iPhone 装国产应用和应对检查,但也可以用一个用户装国产应用,甚至可以配置输入特定密码自动抹除敏感用户的全部数据。
gms 是无特权隔离的无法访问隐私数据,使用足够新的 pixel 加上锁 bl 和最新安全补丁,应该也是最抗技术取证的。
coffeesun
260 天前
@nevadax 很有用,需要装 shelter 再进行隔离么?别的 app 在隔离区有运行的问题么?多用户可以有几个,比如我微信和支付宝分别隔离?
vcn8yjOogEL
260 天前
@coffeesun #6 Shelter 的优势是方便,它不提供完整隔离,推荐用系统自带的多用户,需要通知就开跨用户通知

最多 31 个普通用户+1 个访客用户,绝对够用
0o0O0o0O0o
260 天前
@mjy2 是的

---

还有我觉得对于 OP 来说,和 Graphene 对应的不是笼统的 iOS ,而是 https://support.apple.com/en-us/HT212650
nevadax
260 天前
多用户单独使用是有问题的,即便是 GOS 也会共享 app list ,也就是说用 adb 还是可以直接拉清单(亲测是这样,反而三星手机没这个问题,用户之间的 app list 是隔离的),所以还得配合禁用 USB 。

我也是两个用户,不过是反过来的,主用户全套 gms ,其他用户放国产,方便应急切换。
nevadax
260 天前
@Jirajine 请问输入特定密码自动抹除某用户的全部数据是怎么实现的呀?
coffeesun
260 天前
@nevadax 我也是,主用户全套 gms, workprofile 全国产,不过我用的 shelter,黑莓 key2,不习惯全触屏机
nevadax
260 天前
@coffeesun 安卓 8.1 的系统感觉有些旧了吧,一两年估计就会有 app 不支持了
coffeesun
260 天前
@nevadax #12 的确是很旧很旧了,6+64 ,骁龙 660 ,基本上用不了啥软件了,就装了微信和支付宝在 shelter 里,别的都不怎么能运行了,点外卖用支付宝里面的饿了么,淘宝闲鱼京东拼多多都用不了了,太卡了。但我也没有更好的选择,全键盘手机 key2 算是最后一代了,unihertz 的 cpu 和 key2 的差不多,只是系统新一点,如果过两年再没有全键盘的机子,可能只能用 pixel 过度一下了。用惯了黑莓的 locker ,可以隐藏 app 、图片、视频,并上锁,而且可以把 locker 这个应用本身隐藏起来,用快捷键开启,简直太棒了,试了一下,这个应用不能用于三星 s20 ,别的手机不清楚,相似的软件没有,有的只是隐私文件夹放些图片文件,不能放应用。
VforU
181 天前
系统起动界面会有
Your device has loaded a different operating system.
吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/967246

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX