GrapheneOS – Thoát khỏi Google và Apple

 (blog.tomaszdunia.pl)
6 điểm bởi GN⁺ 2026-02-18 | 1 bình luận | Chia sẻ qua WhatsApp
  • GrapheneOS là một hệ điều hành mã nguồn mở dựa trên Android được thiết kế với quyền riêng tư và bảo mật là ưu tiên hàng đầu, loại bỏ tích hợp dịch vụ Google để ngăn việc doanh nghiệp thu thập dữ liệu
  • Được tối ưu riêng cho dòng Google Pixel, hệ thống tận dụng chip bảo mật Titan M và tính năng Verified Boot để bảo đảm tính toàn vẹn của hệ thống
  • Người dùng có thể chạy Google Play services trong môi trường sandbox cô lập, nhờ đó vẫn dùng được các ứng dụng cần thiết nhưng bị hạn chế quyền truy cập vào hệ thống
  • Có thể cài ứng dụng mã nguồn mở và ứng dụng không dùng GMS qua ObtainiumAurora Store, đồng thời kiểm soát quyền ứng dụng ở mức chi tiết và tách riêng dữ liệu nhạy cảm bằng Private space
  • Hệ thống này được đánh giá là một lựa chọn thay thế thực tế cho những người muốn thoát khỏi sự phụ thuộc vào hệ sinh thái Google·Apple

Tổng quan về GrapheneOS

  • GrapheneOS là hệ điều hành tùy biến tăng cường bảo mật dựa trên Android Open Source Project(AOSP)
    • Ở cấp độ hệ thống, nó loại bỏ tích hợp dịch vụ Google để ngăn theo dõi và thu thập dữ liệu
    • Hardening kernel và các thành phần cốt lõi giúp giảm thiểu lỗ hổng trước các cuộc tấn công xâm nhập
  • Có thể chạy Google Play Services trong môi trường sandbox cô lập
    • Người dùng vẫn có thể dùng các ứng dụng phổ biến nhưng bị giới hạn quyền truy cập hệ thống
  • Hiện tại chỉ hỗ trợ chính thức dòng Google Pixel
    • Tận dụng chip bảo mật Titan M để tăng cường bảo vệ dữ liệu

Thiết bị được hỗ trợ và lựa chọn

  • Tính đến tháng 2/2026, danh sách thiết bị được hỗ trợ bao gồm dòng Pixel 6~10Pixel Tablet
    • Pixel 9a, 9 Pro, 10 Pro được hiển thị là các thiết bị được khuyến nghị
  • Tác giả đã chọn Pixel 9a và mua với giá khoảng 1600 PLN (khoảng 450 USD)
    • Thời gian hỗ trợ 7 năm và mức giá hợp lý là ưu điểm
    • Tác giả hài lòng với thời lượng pin và hiệu năng, và cho biết muốn dùng lâu dài
    • Nhược điểm là chất lượng camera thấp hơn iPhone 15 Pro hoặc Galaxy Z Fold 6

Quá trình cài đặt GrapheneOS

  • Chuẩn bị để cài đặt: điện thoại Pixel, cáp có thể truyền dữ liệu, PC cài trình duyệt nền Chromium (khuyến nghị Windows 10/11)
  • Tóm tắt quy trình cài đặt
    • Mở khóa bootloader → tải xuống và flash system image → khóa lại bootloader → khôi phục OEM lock
    • Kích hoạt tính năng Verified Boot để xác minh tính toàn vẹn của hệ thống
    • Sau khi cài đặt, tắt Developer options và khởi động lại để khôi phục bảo mật

Cách sử dụng GrapheneOS

  • GrapheneOS có cấu trúc thỏa hiệp giữa tính tiện dụng và quyền riêng tư
    • Người dùng có thể tự do điều chỉnh cài đặt theo mức độ bảo mật mong muốn
  • Tận dụng tính năng nhiều hồ sơ người dùng để tách thành hai hồ sơ là ‘Owner’ và ‘Tommy’
    • Hồ sơ Owner cài Google Play services và ứng dụng ngân hàng (mBank, T-Mobile)
    • Hồ sơ Tommy giữ dữ liệu cá nhân và các ứng dụng chính
    • Khi cần, có thể xóa hồ sơ phụ để nhanh chóng loại bỏ dữ liệu cá nhân
  • Tính năng Private space cho phép cô lập các ứng dụng tài chính hoặc nhạy cảm vào không gian riêng
    • Ví dụ: Google Drive, mBank, Revolut, Santander
    • Một số tính năng thanh toán NFC không hoạt động trong Private space

Sử dụng ứng dụng mã nguồn mở và ứng dụng không dùng GMS

  • Qua Obtainium, có thể quản lý cài file .apk và cập nhật tự động cho các ứng dụng mã nguồn mở
    • Các ứng dụng được dùng chính: AntennaPod, Bitwarden, Brave, DAVx2, Signal, Organic Maps, Thunderbird
  • Aurora Storeclient mã nguồn mở của Google Play, cho phép tải ứng dụng mà không cần tài khoản Google
    • Dùng tài khoản ẩn danh giúp tăng quyền riêng tư, nhưng có rủi ro tài khoản bị chặn
    • Người dùng cần tự đánh giá mức độ tin cậy đối với khả năng bị tấn công Man-in-the-Middle
  • Các ứng dụng được xác nhận hoạt động bình thường không cần GMS: Apple Music, Bolt, Discord, Duolingo, GitHub, Lidl Plus, Messenger, Reddit, Zepp

Kiểm soát quyền ứng dụng và quản lý bảo mật

  • GrapheneOS cho phép kiểm soát chi tiết quyền truy cập mạng và cảm biến theo từng ứng dụng
    • Ví dụ: FUTO Voice Input, FairScan, Librera không cần quyền truy cập Internet
    • Phần lớn ứng dụng không cần quyền truy cập cảm biến nhưng mặc định vẫn được cho phép
  • Đường dẫn quản lý quyền: nhấn giữ biểu tượng ứng dụng → App info → Permissions
    • Gồm các tùy chọn Cho phép / Hỏi mỗi lần / Không cho phép
  • Có thể xem tổng quan quyền và tần suất sử dụng thông qua Permission managerPrivacy dashboard

Hỗ trợ dự án

  • Đội ngũ phát triển GrapheneOS hoạt động với mục tiêu xây dựng hệ sinh thái mã nguồn mở lấy bảo mật làm trung tâm
  • Tác giả đánh giá GrapheneOS là một lựa chọn thay thế thực tế để thoát khỏi sự phụ thuộc vào Google·Apple, đồng thời khuyến nghị ủng hộ các nhà phát triển

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-18
Ý kiến trên Hacker News

  • Tôi đã dùng HĐH này trên p9 pro khoảng 1 năm. Nhìn chung nó hoạt động tốt
    Tôi nghe nói Google Tap to Pay không dùng được, nhưng Tap to Pay của Vipps thì chạy tốt. BankID hoạt động, nhưng đăng nhập sinh trắc học thì không. Ứng dụng cá nhân của DnB dùng được, còn ứng dụng doanh nghiệp thì bị chặn
    Việc chặn ứng dụng kiểu này thật vô lý. Trên website thì vẫn truy cập được hết. Ngân hàng trên web cũng dùng được trên Linux, nên việc họ tin Linux hơn Windows nghe cũng buồn cười
    Tôi không khuyến nghị chia ra nhiều hồ sơ người dùng. Về bảo mật thì hầu như không có nhiều ý nghĩa mà còn phiền hơn. Dù vậy, nhìn chung tôi vẫn hài lòng

    • Tôi từng nghe một đồng nghiệp đã trải qua kiểm toán bảo mật ở một ngân hàng trực tuyến lớn kể rằng. Trong các hạng mục kiểm toán, “ứng dụng chạy được trên điện thoại đã root!” luôn bị nêu là mối đe dọa ưu tiên cao nhất. Trong khi chính các lập trình viên lại QA bằng điện thoại root, đúng là một màn trình diễn bảo mật
    • Ở Tây Ban Nha thì tình hình khác. Có thể vào website ngân hàng, nhưng giao dịch thực tế thì không thể nếu không có ứng dụng. Thậm chí ngay cả đăng nhập website cũng yêu cầu xác minh danh tính qua app. Vì thế tôi tải app từ Aurora Store và chỉ làm việc ngân hàng trên Vollaphone
    • Tôi khuyên nên chuyển dần sang GrapheneOS. Điều quan trọng là phải hiểu ranh giới bảo mật theo từng ứng dụng. Tap to Pay không hoạt động và có lẽ sau này cũng sẽ không. Ứng dụng ngân hàng thì khác nhau rất nhiều. Tôi chỉ thanh toán bằng thẻ, còn việc ngân hàng thì xử lý trên web. Tôi tách hồ sơ thành công việc, cá nhân, hội nhóm... nên thông báo không bị trộn lẫn, giúp tập trung hơn
    • Tôi đã dùng web ngân hàng trên Ubuntu/Debian từ năm 2009, nhưng mỗi ngân hàng lại có cách xác thực khác nhau. Có nơi dùng thiết bị TOTP, pin đã 20 năm mà họ cũng không thay. Ngân hàng khác thì yêu cầu app + vân tay hoặc xác thực SMS. Cuối cùng vẫn khó tránh phụ thuộc vào Google hay Apple. GrapheneOS cũng chỉ dành cho Pixel, nên rốt cuộc vẫn còn phụ thuộc vào Google
    • Có lần ứng dụng BankID bị hỏng hoàn toàn vào tháng 6. Tôi gửi mail cho nhà phát triển thì được trả lời rằng họ không cố tình chặn GrapheneOS. Thậm chí nhà phát triển còn là fan của GrapheneOS. Chỉ là ở phiên bản mới nhất, WebView không phải Chrome nên sinh trắc học không hoạt động. Có lẽ chỉ là lỗi sơ suất đơn giản nên tôi định gửi mail lại

  • Tôi cài GrapheneOS lên Pixel 8, còn để một chiếc iPhone cũ chỉ dùng ở nhà riêng cho việc thanh toán và bảo hiểm. Bất tiện thật, nhưng như vậy vẫn có thể dùng các app chính thức cần thiết mà bảo vệ quyền riêng tư tối đa
    Ứng dụng thì tôi ưu tiên F-Droid, Aurora là phụ, còn Obtainium là phương án cuối cùng. Trong các app của Google, thứ duy nhất thực sự cần là camera, và tôi nhốt nó trong sandbox không có quyền mạng
    Về sao lưu, tôi kết hợp Seedvault của GrapheneOS, immich và MyPhoneExplorer. Dưới đây là danh sách các ứng dụng mã nguồn mở tôi hay dùng: Newpipe, Organic Maps, Wireguard, Signal, KOReader...

    • Tôi cũng chia sẻ vài ứng dụng FOSS dùng hằng ngày: Aegis (2FA), Breezy Weather, OnlyOffice Documents, Aves, Termux, Unexpected Keyboard... Có thể cài dễ dàng bằng Obtainium
    • Tôi thích Organic Maps. Nó sạch sẽ vì không có quảng cáo hay feed mạng xã hội. Bản desktop cho Linux cũng hữu ích
    • Gần đây tôi đã chuyển sang CoMaps. Tích hợp chỉnh sửa OpenStreetMap tốt nên tôi cũng đã có đóng góp đầu tiên
    • Danh sách ứng dụng kiểu này thực sự rất hữu ích cho người mới làm quen với nền tảng mới. Giá mà cũng có một trang tuyển chọn ứng dụng như vậy cho desktop Linux
    • Tôi tò mò nếu sandbox một ứng dụng như Google Maps thì nó sẽ trông ra sao. Không đăng nhập mà vẫn nhận diện được thiết bị hay không thì tôi cũng muốn biết

  • Thật mỉa mai khi nói “hãy thoát khỏi Google” nhưng lại phải mua Pixel, nhưng trên thực tế đây là chiếc điện thoại Android cởi mở nhất. Mở khóa bootloader cũng dễ, khôi phục cũng đơn giản

    • Có tin rằng GrapheneOS đang chuẩn bị một quan hệ đối tác OEM mới để có thể dùng mà không phụ thuộc vào Google (bài trên Android Authority)
    • Pixel thực sự là thiết bị được làm rất tốt. Gần như không thể biến nó thành cục gạch kể cả khi cố tình. Có người từng thử như video này. Nếu mua máy tân trang cũ thì cũng không cần đưa tiền cho Google
    • Tôi dùng GrapheneOS trên Pixel 6a, nhưng vì đợt thu hồi pin nên phải khôi phục về Android gốc. Quá trình sao lưu và khôi phục khá phiền
    • Dạo này theo dõi vị trí ở cấp phần cứng quá tinh vi, nên ẩn danh hoàn toàn là bất khả thi. Vì vậy tôi lại nghĩ sống theo kiểu ‘gray man model’ ít bị chú ý còn tốt hơn
    • Tôi chưa thử được vì chiếc Pixel 5 bị hỏng do lỗi màn hình và bo mạch chủ

  • Khi dùng GrapheneOS thì có thể dùng GadgetBridge để thoát luôn khỏi hệ sinh thái smartwatch (gadgetbridge.org)
    Bộ Thinkpad(NixOS) + Pixel 9(GrapheneOS) + Amazfit của tôi hoạt động hoàn hảo. KDE Connect và GadgetBridge kết hợp với nhau nên có thể đồng bộ hoàn toàn mà không cần cloud

    • Tuy nhiên GadgetBridge vẫn chưa thể tự động đồng bộ dữ liệu hoạt động (.fit, .gpx). Vì vậy tôi dùng ActivityLog2(liên kết) để sao lưu thủ công. Khi nào GadgetBridge hỗ trợ đồng bộ thư mục cục bộ thì tôi sẽ quay lại dùng
    • Đồng hồ Garmin khá cởi mở. Tôi gửi dữ liệu vào InfluxDB rồi trực quan hóa bằng dashboard Grafana
    • Một lựa chọn khác là PineTime. Có thể tự chọn HĐH
    • Nhưng sau vài tháng thì các ứng dụng ngân hàng, chính phủ, sự kiện... sẽ phát hiện bootloader đã mở khóa và từ chối chạy. Tùy khu vực mà khác nhau, nhưng đây là hạn chế thực tế

  • Tôi đang dùng GrapheneOS trên Pixel 9 và rất hài lòng. Đặc biệt các tính năng sau rất ấn tượng

    1. Ứng dụng camera Pixel hoạt động hoàn hảo
    2. Có thể xem trước bằng GPhotosShim mà không cần Google Photos
    3. Android Auto, QuickShare, NFC, Yubikey, Screencast đều hoạt động
    4. Có thể chặn quyền truy cập cảm biến và Internet theo từng ứng dụng
    • SSD ngoài cũng được nhận diện hoàn hảo. Tôi đã thử tới exFAT 2TB
    • Cũng có người hỏi Android Auto có yêu cầu cài Google Play hay không (tài liệu chính thức)
    • Cũng có ý kiến nói Open Camera tốt, nhưng tò mò không biết Pixel Camera có điểm gì vượt trội hơn
    • Có câu hỏi liệu QuickShare có dùng được mà không cần tài khoản Google hay không, và dữ liệu có bị gửi về Google không
    • Cũng có ý kiến tiếc là Yubikey không tương thích với Bitwarden

  • Tôi đã dùng GrapheneOS từ Pixel 3a đến 10 Pro, và có lẽ không thể quay lại HĐH khác nữa
    Tuy vậy, điều còn đáng tiếc là

    • Không thể thiết lập chi tiết theo từng nhãn cho phạm vi truy cập danh bạ
    • Không thể cài tiện ích mở rộng trên trình duyệt Vanadium
    • Không thể dùng nhiều VPN cùng lúc (ví dụ: Tailscale + chặn quảng cáo + giới hạn năng suất...)
      Tôi đã yêu cầu tính năng như vậy trong issue của ứng dụng Rethink, nhưng sẽ tốt hơn nếu được hỗ trợ ở cấp HĐH
    • Nếu có quyền root thì có thể chặn quảng cáo dựa trên /etc/hosts bằng AdAway của F-Droid. Tôi cũng cho Reddit và HN vào danh sách chặn
    • Dùng trình duyệt IronFox thì có thể cài các tiện ích mở rộng của Firefox (được cung cấp qua Accrescent store)
    • Nếu tách hồ sơ thì có thể kích hoạt đồng thời 2~3 VPN
    • Tính năng nhãn danh bạ cũng cho phép kiểm soát một phần phạm vi truy cập
    • Tôi bắt đầu nghĩ nên tìm mua một chiếc Pixel 10 Pro cũ

  • Gần đây trên HN có thảo luận rằng spyware tấn công WhatsApp, Telegram, Signal ở cấp HĐH, nên tôi tò mò không biết GrapheneOS an toàn tới mức nào (bài liên quan)

    • GrapheneOS đã vá các lỗ hổng chính trước giữa năm 2026 rồi (ghi chú phát hành). Nhanh hơn rất nhiều so với các nhà cung cấp lớn
    • Tất nhiên nó không thể ngăn được các cuộc tấn công ở cấp quốc gia, nhưng với người dùng thông thường thì đủ an toàn. Chỉ cần nhìn việc các chính phủ châu Âu muốn cấm GrapheneOS là đủ hiểu
    • Nhờ hardened_malloc, các cuộc tấn công khai thác lỗ hổng bộ nhớ trở nên khó hơn rất nhiều. Tuy vậy Android vẫn có bề mặt tấn công rộng
    • Dù vậy vẫn có rất nhiều firmware và blob phần cứng, nên bảo mật tuyệt đối là bất khả thi. Cuối cùng cách thực tế là coi đây là thiết bị không hoàn toàn đáng tin cậy
    • Có người nói rằng “rốt cuộc nó cũng chỉ là một bản fork Android nên chắc cũng mong manh như nhau”

  • Hồi làm ở Microsoft tôi dùng FreeBSD, nhưng vì adb khá khó chịu nên đã phải dùng laptop Windows để cài custom ROM. Giờ tôi dùng Fedora, và driver Android được tích hợp sẵn, nên dễ hơn nhiều. Trớ trêu là trên Windows lại gặp vấn đề driver nhiều hơn

    • Tôi cũng có trải nghiệm y hệt. AirPods kết nối ngay trên Linux, nhưng trên Windows thì cứ bị ngắt liên tục vì lỗi driver

  • Tôi đã dùng GrapheneOS được 3 năm. Hầu hết ứng dụng ngân hàng cũng không có vấn đề gì, và tôi cài Google Play trong sandbox rồi dùng qua hai hồ sơ
    Tuy nhiên có lần tài khoản Uber của tôi bị đình chỉ vô lý. Tôi chỉ tạo tài khoản và đặt xe thôi mà họ lại chặn với lý do vi phạm điều khoản sử dụng. Sau vài ngày đôi co với hỗ trợ khách hàng mới khôi phục được, nhưng rủi ro kiểu này khiến tôi chần chừ

    • Tôi đã dùng Uber trên GrapheneOS mà không gặp vấn đề gì. Có vẻ đây là vấn đề từ phía Uber
    • Tôi lại thấy không dùng được Uber cũng chẳng tệ. Đi taxi tiền mặt còn đạo đức và an toàn hơn
    • Tôi cũng đã bỏ Uber và chỉ đi taxi. Giá còn rẻ hơn
    • Tôi đang dùng Uber trên GrapheneOS rất ổn. Không có vấn đề gì
    • Cũng có người nghi ngờ liệu chuyện này thật sự là do GrapheneOS hay không