Z iPhone na GrapheneOS: Cesta k větší svobodě a soukromí

Léto je pro většinu lidí čas odpočinku, pro mě čas experimentů. Minule jsem přecházel z iOS na Android (vydržel jsem to měsíc) a pak jsem se vrátil k iOS a na podzim jsem swičnul na iPhone 15 PRO. Teď mě ale přepadla nějaká nuda a Apple mě trochu nakrknul svým prohlášením že v ČR nezpřístupní Apple intelligence. Zároveň v létě chci dotáhnout nějaký věci kolem hackingu a protože se držím hesla „Know your tools“ tak jsem si řekl, že je ideální čas nahodit GrapheneOS.

Co je to GrapheneOS

GrapheneOS je open-source operační systém zaměřený na soukromí a bezpečnost, postavený na základě Android Open Source Project (AOSP). Byl vyvinut s cílem nabídnout uživatelům mobilních zařízení maximální úroveň ochrany jejich osobních údajů a bezpečnosti proti různým typům útoků. Tento operační systém je tak ideální pro pokročilé uživatele, kteří kladou důraz na soukromí a bezpečnost.

Hlavní funkce GrapheneOS

1. Bezpečnost na prvním místě: GrapheneOS implementuje pokročilé bezpečnostní funkce, jako jsou víceúrovňová bezpečnostní opatření, izolace aplikací (sandboxing) a minimalizace rizika útoků pomocí různých hardwarových a softwarových technik.
2. Soukromí uživatelů: Tenhle operační systém je kompletně degooglizovaný, takže vás velký bratr nebude šmírovat (pokud nebudete chtít.) Systém poskytuje uživatelům možnost kontrolovat, jaká data sdílejí s aplikacemi. To zahrnuje například možnost povolit aplikacím přístup k určitým funkcím zařízení jen na určitou dobu nebo zcela zamezit přístupu.
3. Aktualizace: Pravidelné aktualizace zajišťují, že systém zůstává chráněn proti nejnovějším hrozbám. Vývojáři GrapheneOS rychle reagují na objevené bezpečnostní mezery a implementují opravy. Často uvolní opravy před různými CVE dříve než čistý Android.
4. Open-source projekt: Díky tomu, že je GrapheneOS open-source, mohou odborníci na bezpečnost a soukromí kontrolovat kód a přispívat k jeho vývoji, což zvyšuje transparentnost a důvěryhodnost systému. A taky žádný játro nerozhodne o tom, že určitým uživatelům některé funkce nezpřístupní. Nicméně na obranu Apple musím říct, že tedy si za to přeregulovaná EU může sama, ale nevím proč by tím měli trpět koncoví zákazníci.
5. Bezpečnostní vylepšení v jádře: GrapheneOS obsahuje mnoho úprav a vylepšení jádra systému, které minimalizují riziko exploitů a zvyšují celkovou stabilitu a bezpečnost. Prostě hardening na prvním místě.

Proč si vybrat GrapheneOS?

Pokud jste někdy měli obavy o své soukromí, nebo se zajímáte o bezpečnost svých mobilních zařízení, GrapheneOS je pro vás ideální volbou. Je navržen tak, aby poskytoval robustní ochranu proti širokému spektru hrozeb, a to jak na úrovni hardwaru, tak softwaru. Navíc nabízí uživatelům plnou kontrolu nad jejich daty a aplikacemi, což je v dnešní, šmírovátky prolezlé době zcela klíčové. A navíc je cool používat něco jiného než mainstreamové os, nemyslíte?

Navíc ho doporučuje i Edward Snowden:

Looks like something very interesting may be happening in smartphone security.

(GrapheneOS is a much more secure variant of the Android operating system, but has traditionally only been supported on Google's Pixel phone.) https://t.co/I6Sy84FTHS

— Edward Snowden (@Snowden) February 8, 2022

Kompatibilita a dostupnost

GrapheneOS je určen pouze pro zařízení Google Pixel (jop, trochu paradox, ale je to kvůli podopoře HW), což zaručuje optimální využití jeho bezpečnostních funkcí a pravidelných aktualizací. Instalace je přístupná i pro běžné (lehce pokročilé) uživatele, kteří si chtějí zvýšit úroveň zabezpečení svého zařízení – obejdete se bez jediného příkazu, jde to udělat z Windows i macOS (a určitě i z linuxu).

Ale bacha, trochu skill to chce – pokud jste si v minulosti instalovali do Androidu custom ROMky, jste v poho, pokud si neumíte vypnout přístup aplikace Fotoparát k GPS, nebo nainstalovat appku z neoficiálních zdrojů, raději se do toho nepouštějte.

Příprava na přechod

Připravil jsem si seznam toho, co bude asi potřeba udělat – budu jej kdyžtak průběžně doplňovat.

Předpoklad obecný

• Udělat si hromadný backup fotek z iCloudu – jde to snadno zde: https://privacy.apple.com
• Vypnutí imessage aby zprávy necinkaly na MacBooku a iPadu ale staly se z nich hloupé SMS: https://selfsolve.apple.com/deregister-imessage/cz/cs
• Dát ostatním jablíčkářům vedět, že nebudu pře imessage dostupný
• Migrace 2FA – záleží na klientovi, já to naházel do ProtonPass
• ApplePay – GrapheneOS nepodporuje GooglePay, takže zbývá nosit platební karty u sebe v peněžence (meh), nebo začít konečně používat GarminPay v hodinkách (umí jen jednu kartu)
• iPhone nebudu zahazovat, takže žádný větší zálohy nedělám
• nastavit přesměrování iCloud mailu na Protonmail
• Vyexportovat kontakty do *.vcard: Import, export a tisk kontaktů na webu iCloud.com – Podpora Apple (CZ)

Appky a co udělat:

• nejdřív ze všeho nainstalovat správce hesel a 2FA aplikaci
• lítačka – převést identifikátor
• revolut – automatické platby kapesného a pod.
• fitko – převést na nový foun, nebo kartu, nebo na čip v ruce (fitko překvapilo a není to NFC, ale Mifare a to na čip nenarvu)
• rodičovský kontroly – povolování aplikací a dohled holt bude na manželce, nebo z iPadu
• duolingo – duhá appka, ať nepřijdu o 300+ denní řadu
• Garmin appka a synchronizace s hodinkama
• migrace a instalace ostatních aplikací

Ok, vím že bude mordor přenést appky, ale budu to dělat postupně jak bude potřeba. Zároveň si chci dát o prázdninách trochu detox, takže v mobilu chci mít minimum aplikací a co nejvíc věcí dělat jen na kompu. Pokud máte v novém telefonu správce hesel a 2FA (mám teď v jedné aplikaci obojí) tak už to bude brnkačka. Tak jo, jdeme instalovat systém.

Instalace GrapheneOS

Je poměrně easy. Jak už padlo výše, je třeba mít telefon Google Pixel, jiné nejsou podporovány. Na rozdíl od LineageOS, který podporuje i jiné model, ale má zas horší instalační proces, tady je to poměrně jednoduché díky webovému instalátoru. Stačí tedy postupovat podle tohoto návodu a za chvíli máte v telefonu jiný systém: Web installer | Install | GrapheneOS

Prostě jdete krok po kroku, sem tam kliknete na tlačítko, pohodka. 🙂 V rámci předpřípravy stačí tedy vzít svůj Pixel, jít do Nastavení –> Informace o telefonu. Najděte úplně poslední položkou, kde je ukryté vývojářské menu. To odemknete tak, že 7x ťuknete na položku Číslo sestavení. Objeví se hláška „Je z Vás vývojář!„. Pak skočíte do Nastavení –> Systém –> Pro Vývojáře. Zapněte možnost Povolit ladění USB a Odemknutí OEM. Stačí tedy postupovat podle tohoto návodu a za chvíli máte v telefonu jiný systém: Web installer | Install | GrapheneOS

Celý proces zabere kolem půl hodiny, maximálně.

První dojmy: co očekávat po přechodu

Dojem 1 – je to jiný.
No jak to popsat – že je to Andorid a je to prostě hnusný. iOS jsou prostě omalovánky, ale jak je Android v posledních letech v tom minimalistickým designu, aby to běželo i na sebevětším shitu s minimem sekání, tak to je, přátelé, prostě hnus. Sorry jako.

Naštěstí to všechno jde zas na rozdíl od Apple customizovat, takže si to s trochou snahy předěláte k obrazu svýmu (viz níže).

Dojem 2 – Není tu GooglePlay

Jop, jak jsem psal, je to degooglizovaný takže GooglePlay tady nehledejte. Jak sem ale dostanete aplikace? Dobrá otázka. Nabízí se minimálně dvě použitelné možnosti:

F-Droid je fajn, ale je tam málo appek a je hnusnej. Takže doporučuji stáhnou Auroru (stáhnete přes F-droid). Tam je výběr obří a je to hezký i uživatelsky – nepoznáte prakticky rozdíl od Google Play.

Dojem 3– Mám tu appky co chci, všechno šlape.

Je to cool. Překvapilo mě že nic nepadá, všechno funguje. na LineageOS jsem třeba nebyl schopnej rozběhat přední kameru, tady má sice appka méně funkcí než na čistém droidu, ale šlape vše ok. Některý appky ale nejdou (Lítačka, banka a mrtě dalších) protože potřebují Google Services a o Android Auto si můžete nechat taky jenom zdát. Nebo ne?

---

---

Bezpečnost a soukromí na GrapheneOS

Nebudu tu zabíhat do technických detialů – od toho máme obsáhlou dokumentaci. Jdeme jdeme se ale podívat na důvod, proč jsem si to vlastně celý instaloval a který jsem na začátku zamlčel.

GrapheneOS totiž umí jednu skvělou věc – víceuživatelské prostředí, které je kontejnerově odděleno. Ano, každý user tam má vlastní jail (vězení, prostor, chlívek), ve kterém jsou izolována jeho data a procesy a nemohou tak ovlivnit další uživatele. Vytvořil jsem si tedy tři profily:

• Vlastník – default profil ve kterým je Termux, NFC Tools, Mifare Toolls, Session, aTox, Tor Broser, vynucená VPN s killswitchem, Tuta, NewPipe a další věci na práci a hraní. A je to admin profil.
• HackBack – jop, psal jsem si s podvodníkama a hrál si s nima (o tom zas jindy) na sekundárním profilu – nehrozí že si něco protáhnete do telefonu, nejsou tam žádná osobní data
• Civil – profil na běžné použití – Lítačka, WhatsApp, banka, Android auto…

Podle naposledy zmíněných appek už asi chápete, že to tam narvat a zfunkčnit jde. A to díky sandboxingu Google aplikací kterou GrapheneOS v posledních verzích umí. Vytvořte si tedy nějaký profil, ve kterém nevadí, že budou appky které vás sledují, a čekujte návod níže, jak je tam rozjet.

Tyhle profily jsou super věc, počítejte však s tím, že opravdu nic nesdílí – takže vcard soubor s kontakty, který jste si vyexportovali ze starého telefonu, budete muset naimportovat do každého profilu, kde ho budete chtít použít. Stejně tak appky. No a pokud si v jednom profilu vyfotíte něco hezkého, v jiném to neuvidíte… Tady to jde obejít synchronizací přes nějaký cloud disk (Mega, Proton, P-cloud…) nebo pomocí USB. Za mě super a chtěná funkce, jen je třeba si na tenhle přístup zvyknout.

Sandboxovaný Google Play

Tipy ať se s tím netrápíte, nebo já v budoucnu až se k tomuto článku budu vracet:

• Otevřete si menu s aplikacema a kliknete na Apps.
• Otevře se meníčko kde najdete dole Google Play services

• vlezete do Google Play a nainstalujete je. Tím jste ten profil, pod kterým to instalujete prakticky kompromitovali. 🙂 Nicméně appky co potřebuji Google Play services budou fungovat, taže Lítačka už mi jede

Jinak z Google Play jde nainstalovat třeba i Raiffka a máte tak banku v mobilu, karty však do neexistujícího GooglePay nepřidáte. Vím že třeba AirBank ale dělá NFC nálepku, kterou to můžete vyřešit.

• Android Auto je porod č.2 ale rozběhal jsem to. Pomohl tenhle postup:
  • běžte do Apps –> Android Auto app
  • nainstalujte vše potřebné
  • klikněte na Version number 10x nebo tak a budete zas vývojář
  • klikněte na tři tečky v pravém horním rohu Android Auto appky
  • zvolte Dev Settings
  • povolte „unknown sources“ v Dev Settings
  • hotovo!
• Jenže pak zas nešly dát Google mapám oprávnění k poloze – na to se musí zas jinak:
  • jděte aplikace Apps a dejte Sandboxed Google Play a pak Google Settings
  • povolte polohu
  • vraťte se zpět
  • klikněte na Potentional issues uplně dole, pak odklikněte obě možnosti a pojede to.

V autě pak nezapomeňte povolit Android Auto, propojit kabelem, nebo přes bluetooth a frčíte. U mě na KIA Ceed SW 2022 funguje v pohodě.

>_

Takže pokud použijete sejný koncept více profilů, můžete mít plnohodnotný a méně privátní prostor na běžná věci a jeden či více přísně soukromých, bez šmírovátek všeho druhu.

Tady pak dávám k dobru screenshot s nastaveným Microsoft launcherem, který má nastaven profil Civil. Jednak se mi líbí víc než výchozí, druhak má podobnou logiku jako iPhone a hlavně pomáhá ke snažšímu vizuálnímu oddělení profilů a orientaci v nich. To se vám může hodit třeba při OSINTu, kde máte víc identit na vícero věcí. Pokud vás zajímá OSINT, přijďte na kurz: https://www.uradprace.cz/web/cz/vyhledani-rekvalifikacniho-kurzu#/rekvalifikacni-kurz-detail/17329

Závěrem

Vlastně jsem překvapen jak všechno (skoro) hezky maká. Propojení s ParrotOS linuxem díky KDE Connect proběhlo napohodu, s Windows to jde jen na výchozí android profil, takže pro mě aktuálně nepoužitelné, nebo to budu muset přenastavit. Pro magory jako já, co chtějí být proti velkým korporátům, secure a jde jim o jejich vlastní soukromí, je to systém jako dělanej. Doporučil bych instalaci vlastní mámě? To asi ne.

Co vy a GrapheneOS? Chcete zkusit? Nebo máte vlastní zkušeností? Podělte se v komentářích níže!