尝试了 GrapheneOS:探索移动系统的隐私与安全特性!

2023-08-22 08:02:53 +08:00
 CHENYIMING
大家好,

近日我对 GrapheneOS 和 iOS 进行了一番研究,特别是它们在隐私和安全性方面的特点。虽然我找到了一些基本的信息,但我发现关于 GrapheneOS 的深入资料并不多,特别是与 iOS 的直接比较。

首先,我目前使用的是 Pixel 4 ,安装了 GrapheneOS 版本:2023080800 。尽管我安装了这个以隐私为中心的操作系统,但我仍然使用了 GMS ( Google Mobile Services )三件套。我确实觉得系统运行得很流畅,但我对当前的隐私和安全保护水平仍有一些疑惑。不知道是否违背了我选择 GrapheneOS 的初衷。

我希望通过这个帖子来汇集更多的见解和经验,特别是那些亲自使用 GrapheneOS 的网友:

GrapheneOS 在日常使用中的体验如何,特别是与 iOS 相比?

在实际应对高级威胁(例如,法律强制、高级黑客攻击等)时,GrapheneOS 是否有明显的优势或劣势?

在使用 GMS 三件套的情况下,GrapheneOS 的隐私和安全特性是否受到影响?

如果您有从 iOS 切换到 GrapheneOS 的经验,您能分享一下动机和体验吗?

有哪些公开的或可能不为众人知晓的 GrapheneOS 的安全特性,您认为值得大家了解的?

感谢大家的分享和参与!这不仅对我个人有帮助,也能为后来者提供宝贵的参考资料。


2974 次点击
所在节点    问与答
14 条回复
1145148964
2023-08-22 08:11:57 +08:00
我认为目前隐私性最好的系统是虚拟机里装 Windows ,Windows 里面开 wsa
0o0O0o0O0o
2023-08-22 08:34:07 +08:00
我觉得,既然你是需要应对这种级别的威胁,你应该先确保自己一直用上最新的硬件设备,再去讨论 OS ,否则是缘木求鱼。Graphene 也是这么建议的。

> ( Pixel 4) end-of-life, no longer receive full security updates and are supported via extended support releases
7lQM1uTy635LOmbu
2023-08-22 09:23:23 +08:00
GOS 可以限制 USB 的数据传输,开启限制后可以让 USB 口仅充电,任何数据都传输不了(外接键盘鼠标也不行),看上去就和坏了一样。可以防止物理( adb )读取数据。


可以设置自动重启时间( calyxos 也有),在 x 小时内没有解锁过手机会被强制重启,重启后所有用户数据需要输入密码解锁( iPhone 重启后必须输入密码也是如此)。配合 locker 这个 app 可以实现手机丢失后 x 小时内没有解锁过会强制输入密码,如果输错密码(最少只需要 1 次)则抹除数据。

(以上两个策略有可能在同一场景下被用到,自行脑补)

相比于 calyxos ,完全兼容 gms ,可以直接装 play store 。

多用户功能,支持将主 profile 的 app 克隆到新 profile (不需要再重新安装)。

默认自带存储隔离,专治国产 app 垃圾文件。



pixel 6 pro ,京东完全不可用,下方所有 tab 页面打不开,可以用微信小程序代替。
mjy2
2023-08-22 09:46:17 +08:00
@0o0O0o0O0o 这里说的"security updates"是谷歌的那个安全补丁嘛?
Jirajine
2023-08-22 09:56:38 +08:00
不要日常使用 owner 用户,把 gms 和依赖 GMS 的应用单独装在一个用户里,主力使用另一个用户只安装 floss 程序。
虽然建议单独买一台 iPhone 装国产应用和应对检查,但也可以用一个用户装国产应用,甚至可以配置输入特定密码自动抹除敏感用户的全部数据。
gms 是无特权隔离的无法访问隐私数据,使用足够新的 pixel 加上锁 bl 和最新安全补丁,应该也是最抗技术取证的。
coffeesun
2023-08-22 10:21:40 +08:00
@nevadax 很有用,需要装 shelter 再进行隔离么?别的 app 在隔离区有运行的问题么?多用户可以有几个,比如我微信和支付宝分别隔离?
vcn8yjOogEL
2023-08-22 10:59:11 +08:00
@coffeesun #6 Shelter 的优势是方便,它不提供完整隔离,推荐用系统自带的多用户,需要通知就开跨用户通知

最多 31 个普通用户+1 个访客用户,绝对够用
0o0O0o0O0o
2023-08-22 10:59:58 +08:00
@mjy2 是的

---

还有我觉得对于 OP 来说,和 Graphene 对应的不是笼统的 iOS ,而是 https://support.apple.com/en-us/HT212650
7lQM1uTy635LOmbu
2023-08-22 12:37:23 +08:00
多用户单独使用是有问题的,即便是 GOS 也会共享 app list ,也就是说用 adb 还是可以直接拉清单(亲测是这样,反而三星手机没这个问题,用户之间的 app list 是隔离的),所以还得配合禁用 USB 。

我也是两个用户,不过是反过来的,主用户全套 gms ,其他用户放国产,方便应急切换。
7lQM1uTy635LOmbu
2023-08-22 12:38:28 +08:00
@Jirajine 请问输入特定密码自动抹除某用户的全部数据是怎么实现的呀?
coffeesun
2023-08-22 12:58:30 +08:00
@nevadax 我也是,主用户全套 gms, workprofile 全国产,不过我用的 shelter,黑莓 key2,不习惯全触屏机
7lQM1uTy635LOmbu
2023-08-22 18:49:19 +08:00
@coffeesun 安卓 8.1 的系统感觉有些旧了吧,一两年估计就会有 app 不支持了
coffeesun
2023-08-22 19:55:18 +08:00
@nevadax #12 的确是很旧很旧了,6+64 ,骁龙 660 ,基本上用不了啥软件了,就装了微信和支付宝在 shelter 里,别的都不怎么能运行了,点外卖用支付宝里面的饿了么,淘宝闲鱼京东拼多多都用不了了,太卡了。但我也没有更好的选择,全键盘手机 key2 算是最后一代了,unihertz 的 cpu 和 key2 的差不多,只是系统新一点,如果过两年再没有全键盘的机子,可能只能用 pixel 过度一下了。用惯了黑莓的 locker ,可以隐藏 app 、图片、视频,并上锁,而且可以把 locker 这个应用本身隐藏起来,用快捷键开启,简直太棒了,试了一下,这个应用不能用于三星 s20 ,别的手机不清楚,相似的软件没有,有的只是隐私文件夹放些图片文件,不能放应用。
VforU
2023-11-09 17:42:28 +08:00
系统起动界面会有
Your device has loaded a different operating system.
吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/967246

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX