GrapheneOS

GrapheneOS — это усиленный в плане безопасности дистрибутив Android для аппаратного обеспечения Pixel: уважающая приватность мобильная ОС, которую рекомендуют каждый раз, когда разговор становится серьёзным о моделях угроз на уровне телефона. Проверенная загрузка вплоть до аппаратного корня доверия, изолированные Google Play Services в качестве подключаемого приложения (а не привилегированного слоя ОС), усиленный аллокатор памяти и обусловленное безопасностью требование к оборудованию (только Pixel, потому что Pixel — единственная линейка Android-OEM, поставляющая разблокируемые загрузчики + переблокируемые загрузчики + чипы безопасности класса Titan-M2). Включён в список с оценкой A · выбор редактора, потому что это единственный дистрибутив Android с заслуживающей доверия историей «я сменил операционную систему, но не потерял модель безопасности».

Предыстория. GrapheneOS был начат Daniel Micay в 2014 году (изначально как CopperheadOS); текущая организация GrapheneOS является стабильным домом с момента форка 2018 года. Финансируется за счёт пользовательских пожертвований, без коммерческих спонсоров или рекламной модели дохода. Исходный код на github.com/GrapheneOS. Активная разработка с еженедельными обновлениями безопасности, синхронизированными с ежемесячной каденцией патчей Android Security Bulletin для Pixel — пользователи GrapheneOS обычно получают патчи безопасности в течение нескольких дней после официального релиза Pixel, иногда опережая основную прошивку Pixel благодаря собственному бэкпортированию проекта. ОС поставляется без предустановленных сервисов Google; пользователи подключают изолированный Google Play (отделённый от привилегированного слоя системных приложений, который Google поставляет в стоковом Android) или полностью отказываются от Google и используют F-Droid + Aurora Store + прямую установку APK.

Чему вы доверяете. Безопасность на уровне оборудования: проверенная загрузка от чипа безопасности Titan-M2 / Tensor вверх через ядро, ОС и пользовательское пространство; если что-либо в цепочке загрузки подделано, телефон отказывается загружаться или выдаёт заметное предупреждение. Изоляция: песочница приложений Android + усиленный malloc GrapheneOS + контроль разрешений для каждого приложения (доступ к сети, датчикам, контактам, местоположению — всё гранулированно и переключаемо для каждого приложения). Без слежки вендора: никаких сервисов Google по умолчанию; изолированные Play Services доступны как подключаемая опция (приложения, требующие Play Services, видят их, но в ограниченной среде). Сеть: сетевое разрешение для каждого приложения (вы можете запретить сеть любому приложению), маршрутизация VPN для каждого приложения, и ОС поддерживает работу без SIM-карты или с eSIM без KYC, такой как silent.link. Целостность обновлений: подписанные OTA-обновления проверяются ключом подписи проекта — атаки на цепочку поставок против канала обновлений потребовали бы как компрометации подписи кода, так и провала воспроизводимости сборки.

Операционные характеристики. Поддерживаемое оборудование: серия Pixel 6 и новее (Pixel 6/6a/6 Pro до Pixel 9 Pro Fold и преемников класса Tensor). Более старые Pixel (4/4a/4 XL/5/5a) больше не поддерживаются Google в плане безопасности, поэтому GrapheneOS выпускает сборки расширенной поддержки только для оборудования, в настоящее время поддерживаемого Google. Установка: веб-установщик на install.grapheneos.org работает в Chrome / Brave / Vanadium и прошивает через WebUSB — без необходимости командной строки `fastboot` для большинства пользователей. Приложения: F-Droid (каталог свободного/бесплатного ПО), Aurora Store (прокси-доступ к метаданным Play Store), Accrescent (уважающий приватность магазин Android), изолированные Play Services для приложений, которые иначе не работают. Браузер: поставляется с Vanadium, усиленным форком Chromium от GrapheneOS с более строгими мерами противодействия эксплойтам и лучшей защитой от цифровых отпечатков, чем стоковый Chrome. Профили: полная поддержка множества пользователей / множества профилей с изолированными наборами приложений на профиль — полезно для разделения работы/личного/анонимного на одном устройстве.

Философия. Редакционным отличием GrapheneOS является аргумент «требование к оборудованию, обусловленное безопасностью». Ограничение «только Pixel» расстраивает пользователей, желающих установить на свой существующий Samsung / OnePlus / Xiaomi — но причина техническая: GrapheneOS требует разблокируемые + переблокируемые загрузчики (чтобы можно было установить кастомную ОС, а затем снова заблокировать до состояния проверенной загрузки), полный доступ к обновлениям прошивки (чтобы ежемесячные патчи безопасности класса Pixel были доставляемы) и чип безопасности с документированным путём аттестации (Titan-M2 на Pixel 6+). Телефоны Samsung/OnePlus либо не поддерживают повторную блокировку после разблокировки, либо не предоставляют путь обновления прошивки способом, сохраняющим модель безопасности. Так что выбор «только Pixel» — не снобизм, а «мы можем обеспечить модель безопасности только на оборудовании, которое её поддерживает». Финансируемое за счёт пожертвований управление без корпоративных спонсоров усиливает согласованность: стимул оператора — сохранять пользователей в безопасности, а не привлекать больше пользователей ценой гарантий безопасности.

Обоснование оценки. Оценка A и выбор редактора отражают: более 12 лет операционной непрерывности (линия CopperheadOS → GrapheneOS с 2014 года, текущий проект с 2018 года); финансирование за счёт пожертвований без давления корпоративной согласованности; модель безопасности проверенной загрузки на уровне оборудования, переживающая перепрошивку; модель изолированных, а не привилегированных Play Services, не расширяющая след слежки Google; еженедельная каденция обновлений безопасности, синхронизированная с патчами Pixel; опубликованные рекомендации по безопасности и реагирование на CVE; стабильное включение во все серьёзные руководства по моделям угроз приватности + безопасности; дружественная к воспроизводимым сборкам инфраструктура Android. Последняя проверка: 2026-05-13.

Полезно, когда. Вам нужен телефон, который не поставляется как конечная точка сбора данных Google. Вы журналист / активист / исследователь / юрист / диссидент, чья модель угроз на уровне телефона включает «оператор на уровне ОС не может быть вектором». Вы хотите использовать Signal / SimpleX / Monerujo / Cake Wallet на мобильном устройстве с уважающей приватность ОС под ними. Вы хотите изолированный Google Play (используйте нужные приложения, ограничивайте их доступ). Вы используете конфигурацию без SIM / silent.link / GrapheneOS для поездок или по оперативным причинам. Вам нужна аппаратно-аттестованная проверенная загрузка, которую вы действительно можете аудировать.

Оговорки. Только Pixel — по замыслу, но реальное ограничение; вы не можете установить GrapheneOS на свой существующий Samsung. Требуется покупка нового оборудования (~$400-1000 за текущий Pixel). Некоторые приложения отказываются работать в изолированном Play — банковские приложения, в частности, иногда определяют «не стоковый Android» через SafetyNet / Play Integrity и отказываются запускаться. GrapheneOS публикует поддерживаемый сообществом список совместимости приложений; проверьте его перед покупкой, если ваше банковское приложение критически важно. Изолированные Play Services всё ещё общаются с Google — для приложений, которым это нужно; изоляция ограничивает доступ Google к этим конкретным приложениям, но не делает сами приложения приватными. Начальная настройка сложнее, чем стоковый Android — вы потратите ~30 минут на установку + начальную конфигурацию; не уровень обычного пользователя, хотя веб-установщик сделал это значительно доступнее. Компромиссы с батареей + экосистемой — push-уведомления через изолированный Play работают, но некоторые эвристики управления питанием зависят от сервисов Google, которые не запущены; ожидайте незначительных компромиссов с батареей + интеграцией в экосистему. Нет эквивалента для iOS — GrapheneOS существует только для Pixel; если вы пользователь iOS, ближайший эквивалент — «режим блокировки + тщательное курирование приложений» на стоковом iOS, что значительно слабее. Сроки обновлений зависят от Google — GrapheneOS может патчить только то, что поддерживает прошивка Google Pixel; когда Google прекращает поддержку безопасности Pixel для поколения оборудования, GrapheneOS следует за этим.