GrapheneOS: bản dựng Android tăng cường bảo mật

 (lwn.net)
1 điểm bởi GN⁺ 2025-07-25 | 2 bình luận | Chia sẻ qua WhatsApp
  • GrapheneOS là một hệ điều hành mã nguồn mở được phát triển để tăng cường mạnh mẽ bảo mậtquyền riêng tư của Android
  • Chỉ hỗ trợ một số phần cứng giới hạn, như các thiết bị Google Pixel 6~9, đồng thời cung cấp nhiều tính năng bảo vệ như hardeningkiểm soát quyền người dùng
  • Các ứng dụng Google Play có thể được sử dụng dưới dạng sandbox, và các ứng dụng cùng tính năng không cần thiết được loại bỏ mặc định
  • Quá trình cài đặt và thiết lập ban đầu có thể không trực quan hoặc tốn thời gian, nhưng là một lựa chọn hữu ích cho người dùng ưu tiên bảo mật
  • Tuy nhiên, một số ứng dụng và tính năng thương mại thiết yếu có thể gây bất tiện, và cũng có những lo ngại về tính minh bạch trong quản trị cộng đồng

Tổng quan và bối cảnh dự án

  • GrapheneOS là một dự án rebuild Android mã nguồn mở ra đời để đối phó với các vấn đề về quyền riêng tưmối đe dọa bảo mật trên smartphone
  • Dự án xuất phát từ giới hạn của các bản phân phối Android hiện có, khi chúng không đại diện đầy đủ cho lợi ích của chủ sở hữu thiết bị, và đã tách ra từ CopperheadOS để phát triển độc lập dưới sự dẫn dắt của Daniel Micay
  • Một quỹ có trụ sở tại Canada được thành lập vào năm 2023 đang hỗ trợ phát triển, nhưng gần như không có nhiều thông tin công khai về cách tổ chức này vận hành hay mức độ minh bạch của nó

Các đặc điểm chính và chiến lược hardening

  • Dựa trên Android Open Source Project (AOSP), dự án áp dụng việc loại bỏ đáng kể mã nguồn cùng với nhiều bản vá tăng cường bảo mật
  • Ví dụ, các thay đổi quan trọng giúp nâng cao bảo vệ bộ nhớ và độ bền của hệ thống đã được áp dụng, như thư viện hardened malloc()Control-Flow Integrity
  • Phần lớn các tính năng bảo mật được thiết kế để gần như không lộ ra trước người dùng, nhằm giảm thiểu sự bất tiện khi sử dụng hệ thống

Cài đặt và thiết bị được hỗ trợ

  • Thiết bị được hỗ trợ bị giới hạn ở dòng Google Pixel 6~9, còn Pixel 4/5 chỉ được hỗ trợ trong một số trường hợp ngoại lệ
    • Các mẫu Pixel mới hơn được khuyến nghị nhờ cam kết cập nhật bảo mật trong 7 năm và hỗ trợ memory tagging trên phần cứng nền tảng ARMv9
    • Tính năng memory tagging được bật mặc định, góp phần ngăn chặn khai thác lỗ hổng đối với hệ điều hành và các ứng dụng tương thích
  • Có hai cách cài đặt là cài đặt qua webcài đặt qua dòng lệnh, nhưng chính thức thì cài đặt qua web ổn định hơn

Trải nghiệm sử dụng ban đầu

  • GrapheneOS có ít ứng dụng mặc định và khả năng migration dữ liệu bị hạn chế, nên người dùng phải tự thiết lập lại mọi thứ từ đầu
  • Ứng dụng mặc định: chỉ có trình duyệt web (Vanadium), ứng dụng camera, trình xem PDF và kho ứng dụng riêng
    • Google Play Store và các ứng dụng liên quan không được cài sẵn (tuy vậy có thể cài về sau dưới dạng sandbox)
    • Kho ứng dụng chỉ bao gồm tổng cộng 13 ứng dụng
  • Trình duyệt Vanadium là một bản fork của Chrome, với site isolation cho thiết bị di động và độ an toàn mã cao hơn
    • Tài liệu khuyến nghị tránh dùng Firefox do lo ngại về các điểm yếu bảo mật
  • Ứng dụng camera mặc định xóa siêu dữ liệu Exif, còn tính năng vị trí cần được bật một cách rõ ràng

Cài đặt ứng dụng và khai thác hệ sinh thái

  • Có thể cài một số ứng dụng mã nguồn mở từ các kho ứng dụng thay thế như Accrescent (ví dụ: Organic Maps, Molly, IronFox...)
  • Có thể dùng F-Droid, nhưng cộng đồng GrapheneOS có quan điểm phê phán về các vấn đề bảo mật của F-Droid
  • đa số người dùng sẽ cần Google Play Store, GrapheneOS cung cấp Google Play dạng sandbox
    • Phiên bản này có ít quyền hệ thống hơn và chạy với các giới hạn như một ứng dụng thông thường
    • Nếu ứng dụng dùng Integrity API để kiểm tra độ tin cậy, một số ứng dụng có thể không hoạt động nếu không phải image chính thức
    • Trong thực tế sử dụng, phần lớn đều hoạt động bình thường, nhưng vẫn cần kiểm tra trước về khả năng tương thích ứng dụng

Các tính năng bảo mật và quyền riêng tư bổ sung

  • Chặn quyền truy cập mạng theo từng ứng dụng: Android mặc định không hỗ trợ, nhưng GrapheneOS cho phép kiểm soát chặn mạng riêng cho từng app
  • Phân quyền cảm biến chi tiết hơn: các cảm biến khác như gia tốc kế, cảm biến hướng, nhiệt kế... cũng được quản lý bằng quyền riêng biệt
  • Storage/Contact Scope: ứng dụng không thể truy cập toàn bộ bộ nhớ thiết bị hay toàn bộ danh bạ, mà chỉ được xem ảo những tệp/liên hệ đã được cho phép
  • Cung cấp các tùy chọn bảo mật nâng cao như khóa 30 phút khi mở khóa bằng vân tay thất bại, hoặc xóa dữ liệu ngay khi nhập Duress PIN (PIN khẩn cấp khi bị ép buộc)
  • Hỗ trợ chức năng xác minh tính toàn vẹn gắn với phần cứng thông qua ứng dụng audit tính toàn vẹn thiết bị
  • Cập nhật nhanh và định kỳ: đã phản ánh Android 16 trong vòng chưa đầy một tháng sau khi bản phát hành chính thức xuất hiện
  • Tự động khởi động lại sau 18 giờ không hoạt động để duy trì mã hóa dữ liệu và phần mềm ở trạng thái mới nhất

Vận hành dự án và cộng đồng

  • Thiếu minh bạch trong vận hành: quỹ chính thức có tồn tại, nhưng hầu như không có nhiều thông tin công khai về cách ra quyết định hay cách sử dụng nguồn lực
  • Cấu trúc cộng đồng phát triển không rõ ràng, và phần lớn sự tham gia dường như xoay quanh việc người dùng hỏi đáp
  • Ảnh hưởng của nhà phát triển chính Daniel Micay vẫn có vẻ mang tính tuyệt đối, nên cũng tồn tại một số lo ngại về tính bền vững nếu nhân sự thay đổi trong tương lai

Đánh giá tổng thể và cảm nhận sử dụng thực tế

  • việc thiết lập thiết bị và khôi phục môi trường tốn khá nhiều thời gian, người dùng vẫn có thể sử dụng tập trung vào các chức năng thiết yếu mà không bị kèm theo tính năng thừa
  • Phạm vi kiểm soát bảo mật và quyền riêng tư rộng hơn, đồng thời loại bỏ các tính năng AI/Google không cần thiết, nên phù hợp với mục tiêu của dự án
  • Tuy vậy, vẫn có những bất tiện như không hỗ trợ nhập vuốt trên bàn phím, khó tránh việc phải đăng nhập Google Play, và một số hạn chế hoặc bất tiện khi dùng các ứng dụng proprietary thiết yếu
  • GrapheneOS là một lựa chọn hợp lý cho những ai tìm kiếm kiểm soát quyền theo hướng lấy người dùng làm trung tâmbảo mật tăng cường
  • Tuy nhiên, nếu việc chạy tốt các ứng dụng thương mại thiết yếu trong đời sống hiện đại là quan trọng, thì vẫn còn một số giới hạn; đồng thời vấn đề quản trị cộng đồng cũng cần được lưu ý

Bài viết liên quan

2 bình luận

 
GN⁺ 2025-07-25
Ý kiến trên Hacker News

  • Tôi đã cài GrapheneOS lên một chiếc Pixel mới và dùng được khoảng hai ngày, cảm giác như "đào được kho báu ngay trong sân sau nhà mình" mà tôi từng có khi cài Linux lần đầu vào năm 1999 lại quay trở về, thật khó tin là một phần mềm tuyệt vời như thế này lại miễn phí theo đúng mọi nghĩa, khối lượng công việc là cực lớn mà họ đã làm rất nhiều thứ cực kỳ tốt, bạn có thể tinh chỉnh rất chi tiết theo ý muốn trong các thiết lập bảo mật và khả năng sử dụng, tôi không phải kiểu người hay đi khuyên dùng điện thoại di động, nhưng đến giờ thì nó hoạt động rất ổn, trường hợp của tôi thì gần như không dùng ứng dụng bên thứ ba, cũng không có ứng dụng nào chỉ có trên Play Store, nhược điểm là phần cứng nhưng chuyện đó nằm ngoài tầm kiểm soát của đội Graphene

    • Không biết nó có hoạt động tốt cả trong trường hợp cần mobile banking như truy cập tài khoản ngân hàng không

    • Tôi muốn hỏi là mọi người tải và cài ứng dụng từ đâu, có phải từ App Store của Google không

    • Không biết trước đây bạn đã từng dùng thứ như LineageOS chưa

    • Dùng GrapheneOS trên Pixel à? Có phải kiểu tội phạm đó không? /s

  • Tôi đã dùng LineageOS trên điện thoại cũ trong vài năm, và năm ngoái mua một chiếc Pixel 4 để dùng GrapheneOS, cả hai hệ thống đều chạy tốt nên tôi rất hài lòng, đặc biệt GrapheneOS thì quá trình cài đặt cực kỳ dễ nên xứng đáng được cộng điểm thêm, chỉ tiếc là Graphene đã bắt đầu ngừng hỗ trợ Pixel 4 nên có lẽ sắp tới tôi lại phải quay về Lineage, đúng một giới hạn kỹ thuật mà tôi gặp khi dùng các ROM này là GPS, vị trí thường xuyên bị mất và đôi khi phải mất vài phút mới bắt lại được (nếu xui thì có khi không bắt lại được nữa), có vẻ là do không dùng dịch vụ định vị của Google, tôi cũng đã bật tùy chọn cải thiện độ chính xác vị trí bằng WiFi/Bluetooth và thử nhiều mẹo trên mạng nhưng vẫn không giải quyết được, trên Graphene thì còn tệ hơn vì cứ mỗi lần đóng ứng dụng Maps là vị trí lại biến mất, tôi nghĩ có lẽ là vấn đề của điện thoại hoặc của hệ điều hành

    • Trên Pixel 8, GPS cực nhanh nhờ tính năng định vị mạng mới của Graphene, đúng là một thay đổi mang tính đột phá, trước đây chỉ hỗ trợ Wi-Fi nhưng gần đây đã thêm cả định vị qua mạng di động, cung cấp dịch vụ định vị của Apple thông qua proxy

  • Theo những gì tôi nghe gần đây, Google đã thay đổi chính sách quản lý AOSP và ngừng công bố device tree cùng các file nhị phân driver cho thiết bị Pixel, tôi muốn biết là họ thực sự đã ngừng hay chỉ là bị chậm lại, tôi cũng nghĩ việc công bố các file này là một business case tạo ra nhu cầu người dùng cho thiết bị Pixel, chẳng lẽ chi phí lại lớn đến mức triệt tiêu lợi ích, hay đơn giản chỉ là vấn đề bảo trì, dù sao tôi cũng rất biết ơn cả GrapheneOS lẫn Google vì đã tạo ra một nền tảng điện thoại mà các chức năng thiết yếu đều hoạt động tốt

    • Trên Android 16 thì AOSP không còn cung cấp device tree cho Pixel nữa, mà thật ra trước giờ cũng không cung cấp cho các thiết bị khác, chỉ có một số ít OEM cung cấp tree cơ bản cho các phiên bản Android cũ, đây là một trong số ít lợi thế mà Pixel từng có nhưng chưa bao giờ nằm trong các yêu cầu phần cứng của GrapheneOS, nội dung liên quan có trong tài liệu ở đây, việc chỉ có Pixel đáp ứng được các yêu cầu không phải vì chuyện này, họ đang hợp tác với một OEM Android lớn nên có thể sẽ có thay đổi vào khoảng 2026 hoặc 2027, việc port phiên bản Android major của GrapheneOS thường chỉ mất vài ngày và bản stable được phát hành trong vòng 2 tuần, Android 16 cũng đã được port chỉ vài ngày sau khi phát hành, rồi sau đó họ phải tự triển khai lại mã hỗ trợ thiết bị Pixel trên Android 16, sau đợt phát hành production đầu tiên vào ngày 30 tháng 6 thì đến ngày 8 tháng 7 đã lên kênh stable, lần này mất nhiều thời gian hơn nên họ còn vận hành khá đặc biệt bằng cách backport một số bản vá Android 16 và firmware về nhánh Android 15 QPR2, về sau thì quy trình tự động hóa đã được dựng sẵn rồi nên việc port Android 16 QPR1~QPR3 hoặc Android 17 có thể sẽ lại nhanh như trước

    • Tôi có nghe tin đồn là do vấn đề chống độc quyền, nhưng nếu họ định bán lại mảng thiết bị một lần nữa thì cũng có thể driver sẽ bị loại khỏi AOSP

  • Tôi là người dùng GrapheneOS lâu năm và thấy đây thực sự là một dự án rất tốt, tôi chia sẻ danh sách các ứng dụng mã nguồn mở có thể dùng để thay thế ứng dụng Google

    • Aurora Store: giao diện ẩn danh cho Playstore
    • F-Droid: cửa hàng ứng dụng mã nguồn mở
    • Obtainium: tải ứng dụng từ github v.v.
    • Organic Maps: điều hướng mã nguồn mở (không hẳn ngang ứng dụng thương mại)
    • SherpaTTS: TTS cho điều hướng
    • PDF Doc Scanner: trình quét tài liệu mã nguồn mở
    • Binary Eye: trình đọc mã vạch
    • K9 Mail / FairMail: ứng dụng email
    • LocalSend: truyền file
    • Syncthing Fork: đồng bộ file
    • VLC Media Player: trình phát media
    • KOReader: trình đọc ebook
    • Voice: trình phát audiobook cục bộ
    • AudioBookShelf: trình phát audiobook từ xa
    • Immich: sao lưu ảnh
    • Fossify File Manager: trình quản lý file
    • Substreamer / DSub: trình stream âm thanh cho Navidrome
    • OpenCamera: ứng dụng camera mã nguồn mở
      Tôi thực sự ước gì mình biết danh sách này sớm hơn, hy vọng nó sẽ giúp ích cho ai đó

  • Tính năng thú vị nhất trên GrapheneOS là bạn có thể xem log bất cứ lúc nào trên trang App Info của bất kỳ ứng dụng nào

  • Tính năng cốt lõi mà tôi rất muốn GrapheneOS có là mật khẩu khẩn cấp để mở một "người dùng" (hồ sơ) hoàn toàn khác trong tình huống bị đe dọa, để dù có bị ép lộ mật khẩu thì ít nhất cũng không bị truy cập vào tài khoản thật, chỉ cần có chức năng hồ sơ ẩn thôi cũng đã tạo được mức an toàn cơ bản rồi, đáng tiếc là thay vì vậy thì lại có chức năng xóa sạch hoàn toàn thiết bị, mà trong tình huống bị đe dọa thì điều đó có thể gây hại, có thể xem thảo luận liên quan ở đây

    • Tôi là community manager của GrapheneOS, vấn đề là các tính năng kiểu này trên thực tế gần như chắc chắn sẽ bị lộ ra chỉ với các công cụ cơ bản nên không thể thật sự giấu được, đó cũng là lý do tính năng Duress PIN/Password không cố tình bị che giấu, thậm chí chỉ riêng sự tồn tại của tính năng này cũng có thể khiến mọi thứ nguy hiểm hơn vì kẻ tấn công sẽ "tin rằng có điều gì đó đang bị che giấu", chỉ riêng việc tính năng tồn tại thôi cũng có thể dẫn đến tình huống nguy hiểm khi người dùng bị ép phải mở khóa và còn bị đe dọa giao ra cả thông tin ẩn, tôi nghĩ đây là một vấn đề rất khó giải quyết trong thực tế, không phải chuyện có thể xử lý chỉ bằng một đề xuất kiểu này

    • Diễn đàn thảo luận của GrapheneOS hiển thị thông báo rằng "trang này hoạt động tốt nhất trên trình duyệt hiện đại có bật JavaScript", điều đó thực sự có vấn đề về mặt bảo mật, tôi đã đề nghị community manager cải thiện điểm này và cũng yêu cầu một trang .onion

    • Kiểu tính năng này (mật khẩu khẩn cấp) đã được yêu cầu từ lâu trong nhiều cộng đồng modding, tôi thắc mắc không biết đây đơn thuần là vấn đề khó triển khai hay sao

    • Tôi nghĩ cách diễn đạt cực đoan kiểu này là hơi quá, nếu ai đó phải sống giả làm một người dùng giả để sinh tồn thì đó là một vấn đề gốc rễ nghiêm trọng hơn nhiều so với chuyện thiếu một tính năng ở cấp hệ điều hành

  • Điều duy nhất tôi không thích ở Graphene là số lượng thiết bị được hỗ trợ quá ít, tôi hiểu là có những yêu cầu bảo mật và các ràng buộc khác, nhưng tôi vẫn muốn có thể dùng Graphene thay vì Android gốc của Google, kể cả nếu mức độ tăng cường bảo mật có thấp hơn một chút

    • Tôi là community manager của GrapheneOS, hiện tại chỉ các thiết bị của Google mới đáp ứng được các yêu cầu hỗ trợ của Graphene(liên kết), nhưng họ đang làm việc với các OEM khác nên kỳ vọng đến 2026 hoặc 2027 có thể mở rộng hỗ trợ sang sản phẩm của bên đó, chưa có gì chắc chắn nhưng chúng tôi đang nhìn nhận khá lạc quan

    • Mọi người nói số thiết bị hỗ trợ ít, nhưng riêng Pixel thôi cũng đã có 4~5 thế hệ (gồm dòng A, Pro và các phiên bản nhỏ/lớn), lại trải dài nhiều mức giá nên tôi nghĩ thực tế là gần như ai cũng có thể dùng được

    • Ngược lại tôi lại thấy việc Graphene tập trung vào Pixel là tốt, Pixel khác Fairphone ở chỗ có thể mua được ở nhiều quốc gia, tức là Graphene không bị giới hạn trong các nước phát triển hay phương Tây, và việc chưa hỗ trợ hãng khác có lẽ do quy mô đội ngũ, Android trên mỗi OEM quá khác nhau nên khó quản lý, cùng với chính sách cập nhật của Google và nhiều lý do khác

    • Có vẻ Google đang ngày càng ít hợp tác với dự án này, nên nếu thật sự có nhiều người cần thì có lẽ sẽ phải tự thử hỗ trợ phần cứng mới

    • CalyxOS hỗ trợ các thiết bị khác nữa và có cảm giác tập trung vào quyền riêng tư thực sự hơn

  • Graphene là một hệ điều hành tuyệt vời cho thiết bị Pixel, đơn giản, đáng tin cậy, lại có nhiều tính năng bảo mật và quyền riêng tư nên mang lại cảm giác yên tâm dễ chịu, cập nhật hệ thống là tự động và các chức năng cơ bản như gọi điện cũng hoàn hảo, điều duy nhất hơi tiếc là chất lượng camera, chắc là do thiếu driver độc quyền, Signal cũng chạy khá tốt mà không cần dịch vụ của Google, nên rất phù hợp để dùng làm điện thoại hằng ngày, xin gửi lời cảm ơn rất lớn tới các nhà phát triển

  • Tôi từng rất quan tâm đến GrapheneOS nhưng tiếc là nó chỉ dùng được trên các thiết bị giới hạn như Pixel, tôi muốn thử nó cả trên Galaxy A55

  • Thật thú vị khi những thiết bị duy nhất đáp ứng yêu cầu bảo mật lại đều là sản phẩm của Google, tôi cũng tự hỏi liệu Google có đang dùng nội bộ một phiên bản Android tập trung bảo mật hơn không, bởi việc thiết bị cá nhân của các kỹ sư cốt lõi bị hack rõ ràng là một rủi ro bảo mật lớn với Google, nên tôi nghĩ cũng có khả năng họ có một bản nội bộ thiên về bảo mật hơn chăng