Thiết bị Motorola chạy GrapheneOS sắp hỗ trợ mở khóa và khóa lại bootloader

 (grapheneos.social)
3 điểm bởi GN⁺ 2026-03-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đã công bố hợp tác dài hạn giữa Motorola và GrapheneOS, trong đó các thiết bị ra mắt trong tương lai sẽ được phát triển thành những mẫu được GrapheneOS hỗ trợ chính thức, đáp ứng các tiêu chuẩn bảo mật và quyền riêng tư
  • Những thiết bị này sẽ hỗ trợ đầy đủ việc cài đặt hệ điều hành khác và sử dụng các bản GrapheneOS do người dùng tự build, và đây là một phần trong yêu cầu phần cứng của GrapheneOS
  • Phía GrapheneOS có kế hoạch phân phối chính thức các bản build firmware và driver được harden để có thể build dễ dàng mà không cần trích xuất image riêng
  • Hệ thống có xác minh bằng mật mã và tính năng chống hạ cấp; sử dụng secure elementefuse để bảo vệ metadata phiên bản của OS và firmware
  • Cấu trúc này được tích hợp với hệ thống cập nhật A/B, đồng thời đảm bảo cả quyền kiểm soát của người dùng lẫn tính bảo mật dưới hình thức cho phép mở khóa và khóa lại bootloader

Công bố hợp tác giữa Motorola và GrapheneOS

  • GrapheneOS đã công bố quan hệ đối tác dài hạn với Motorola, và đang hợp tác để các thiết bị ra mắt trong tương lai đáp ứng các tiêu chuẩn bảo mật và quyền riêng tư của GrapheneOS
    • Thiết bị Motorola mới có hỗ trợ GrapheneOS chính thức sẽ được phát triển
    • Nội dung liên quan cũng được đưa vào công bố giải pháp B2B của Motorola tại MWC 2026

Chính sách hỗ trợ bootloader và hệ điều hành

  • GrapheneOS hỗ trợ đầy đủ trên thiết bị Motorola cho việc cài đặt hệ điều hành khác và sử dụng các bản GrapheneOS do người dùng tự build
    • Điều này được nêu rõ là một trong các yêu cầu phần cứng của GrapheneOS
    • Người dùng có thể cài GrapheneOS do tự mình build, đồng thời mở khóa và khóa lại bootloader
  • GrapheneOS có kế hoạch cung cấp chính thức các bản build firmware và driver được harden
    • Nhờ đó, người dùng có thể build dễ dàng mà không cần trích xuất file từ factory image của GrapheneOS hoặc Motorola OS

Kiến trúc bảo mật và cơ chế xác minh

  • Toàn bộ hệ thống được xác minh bằng mật mã, và bao gồm tính năng chống hạ cấp (downgrade protection)
    • Secure element lưu trữ metadata phiên bản OS, còn efuse quản lý thông tin phiên bản firmware
    • Được tích hợp với hệ thống cập nhật A/B, tính năng rollback tự động sẽ hoạt động cho đến khi vào được màn hình chính
  • Cấu trúc này hoàn toàn khác với cách triển khai SecureBoot trên desktop Linux, cung cấp một hệ thống xác minh hoàn chỉnh được tối ưu cho môi trường di động

Tính liên tục với các thiết bị hiện có

  • GrapheneOS đã hỗ trợ verified boot từ thời Nexus 5X, và phát triển thành cấu trúc hiện tại kể từ Pixel 2
    • Tính năng này từ lâu đã được duy trì như một yêu cầu phần cứng cốt lõi để được GrapheneOS hỗ trợ
    • Chỉ hai thế hệ thiết bị đầu tiên là ngoại lệ; sau đó, mọi thiết bị được hỗ trợ đều bao gồm bootloader có thể khóa lại và tính năng xác minh firmware

Ý nghĩa kỹ thuật

  • Với lần hợp tác này, GrapheneOS mở rộng nền tảng dựa trên Android bảo đảm cả tính bảo mật lẫn quyền kiểm soát của người dùng
  • Trên thiết bị Motorola, việc cài đặt GrapheneOS chính thức và phân phối các bản build tùy chỉnh cũng sẽ trở nên khả thi, qua đó được kỳ vọng sẽ mở rộng hệ sinh thái di động lấy bảo mật làm trọng tâm

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-03-05
Ý kiến trên Hacker News

  • Tôi luôn có cảm giác GrapheneOS giống kiểu “hoàn hảo là kẻ thù của điều tốt”
    Tôi muốn các tính năng như sandbox Google Play và ứng dụng để chúng không thể kiểm soát toàn bộ điện thoại của tôi, hơn là những tính năng bảo mật ở mức cao nhất
    Sẽ rất hay nếu có một hệ thống cấp quyền giả theo từng ứng dụng mà ứng dụng không nhận ra
    Ví dụ, khi nó yêu cầu quyền vị trí thì trả về một tọa độ cố định, hoặc khi yêu cầu danh bạ thì trả về một danh sách trống
    Cuối cùng thì tôi muốn nhốt hệ sinh thái Android vào một “cái lồng trong nhà tôi” nằm dưới sự kiểm soát của tôi
    Tôi cũng muốn áp dụng cùng nguyên tắc đó cho trình duyệt hoặc desktop Linux, để trang web hay ứng dụng không thể có quyền lực lên hệ thống của tôi

    • GrapheneOS đang có quan hệ đối tác OEM với Motorola và hợp tác để duy trì chất lượng cập nhật mà không hạ thấp tiêu chuẩn bảo mật
      Họ cũng đang thực hiện một công việc quy mô lớn để đưa tính năng bảo mật memory tagging của chip Tensor sang Snapdragon
      Họ đã hỗ trợ để ứng dụng chỉ có thể truy cập dữ liệu giới hạn mà không nhận được quyền thực sự thông qua các tính năng Contact ScopesStorage Scopes
      Ngoài ra, Mock Location là một tính năng mặc định của Android, và hiện họ đang phát triển Location Scopes theo từng ứng dụng
      Sandbox Google Play hoạt động gần như hoàn hảo, chỉ có một số ứng dụng dùng Play Integrity API là không tương thích
      Chỉ khoảng 10% ứng dụng ngân hàng bị hạn chế, và họ đã thuyết phục được nhiều ngân hàng cho phép GrapheneOS
    • Tôi không đồng ý với cách nói “hoàn hảo là kẻ thù của điều tốt”
      GrapheneOS đã cung cấp gần như mọi thứ bạn muốn
      Tôi không hiểu kiểu cảm giác được quyền đòi hỏi tính năng từ một dự án mã nguồn mở
      Đây không phải một tập đoàn lớn, mà là một dự án miễn phí do những nhà phát triển đầy nhiệt huyết làm trong thời gian rảnh
    • Tính năng giả mạo vị trí theo từng ứng dụng được gọi là Location Scopes và đang được phát triển
      Hiện tại chỉ mới có Mock Location ở phạm vi toàn cục
      Có thể xem thảo luận liên quan trên diễn đàn GrapheneOS
    • GrapheneOS cần tính đến nhiều nhóm người dùng khác nhau, nên đúng hơn là xem nó như một hệ thống nền tảng thay vì một sản phẩm xuất xưởng ở trạng thái “hoàn hảo”
      Người dùng thêm F-Droid hoặc Google Play vào đó để tự xây dựng một môi trường ưu tiên quyền riêng tư của riêng mình
      Chính “cách tiếp cận build-up” này mới là cách duy nhất để đáp ứng một tập người dùng có nhu cầu đa dạng
    • Trái lại, tôi nghĩ GrapheneOS là một dự án thực tế đã triển khai được các tính năng hữu ích, chứ không bị chủ nghĩa hoàn hảo níu chân

  • Tôi nghĩ việc GrapheneOS hợp tác với Motorola thực sự là một thay đổi lớn
    Trước giờ chỉ có Pixel là đối tượng được hỗ trợ hạng nhất, nên việc có hỗ trợ từ nhà sản xuất là một bước tiến lớn
    Giờ đây có thể sẽ xuất hiện thiết bị chạy OS tập trung vào bảo mật nhưng vẫn chơi game hiệu năng cao được

    • Pixel được chọn vì nhà sản xuất chính thức hỗ trợ OS thay thế
      Việc nó không dùng chip Snapdragon mới nhất không quan trọng với đa số người dùng
      Hợp tác OEM là điều tốt cho sức khỏe của dự án, nhưng không phải vì hiệu năng gaming
    • Tôi nghi ngờ việc người dùng phổ thông thực sự chơi game mobile cấu hình cao
      Phần lớn chỉ chơi các game freemium đơn giản
    • Điểm mấu chốt là chất lượng camera
      Nếu Motorola làm được camera ở tầm flagship, đó sẽ là lý do để mua
      Tuy vậy, tôi không chắc nhóm coi trọng chất lượng selfie có giao nhau nhiều với cộng đồng yêu thích mã nguồn mở hay không
    • Sẽ thật tuyệt nếu Tap to Pay có thể hoạt động ngay cả khi máy đã root
      Hiện tại phải chơi trò mèo vờn chuột bất tận với Google
    • Việc Motorola chính thức ra mắt thiết bị có thể mở khóa bootloader là tin rất lớn
      Samsung đã từ bỏ, Xiaomi thì gần như không thể, còn Sony thì giá không tương xứng với chất lượng
      Motorola có giá/hiệu năng tốt và dễ tiếp cận theo khu vực hơn Pixel
      Tuy vậy, tôi lo về việc thiếu điện thoại nhỏđộ ổn định của camera

  • Tôi muốn Motorola ra một điện thoại nhỏ
    Kích thước cỡ Pixel 8 là lý tưởng
    Tôi đã chấp nhận bỏ audio jack, nhưng ít nhất mong họ vẫn giữ kích thước nhỏ gọn

    • Điện thoại nhỏ có doanh số thấp nên các hãng không mặn mà
      Có thể tham khảo video YouTube 1, video 2 để xem thảo luận liên quan
      Tôi dùng Sony Xperia 5 V, máy mở khóa bootloader được và cũng hỗ trợ LineageOS
    • Dòng Moto G vẫn còn audio jack
      Sẽ tốt nếu GrapheneOS cũng hỗ trợ những mẫu phổ thông như vậy
      Tôi thậm chí không muốn camera hiệu năng cao hay các tính năng AI
    • Tôi cũng muốn một smartphone nhỏ
      Điện thoại hiện tại của tôi sắp hết vòng đời, nhưng chẳng có mẫu nhỏ nào đáng để thay thế
    • Motorola, làm ơn phát hành Edge 50 Neo ở Mỹ đi
      Đây là chiếc điện thoại nhỏ nhất có ống kính tele nên tôi đã phải tự mua qua eBay
      Tôi hài lòng vì nó còn nhỏ hơn cả Pixel 6a
    • Giá/hiệu năng và trải nghiệm người dùng của Motorola rất tốt
      Vẫn còn vài điểm hơi bất tiện, nhưng tôi thấy nó tốt hơn đối thủ
      Kích thước của iPhone 6 ngày xưa là hoàn hảo — dễ dùng bằng một tay và nhét túi cũng gọn
      Tôi muốn có lại một điện thoại Android nhỏ như vậy

  • Tôi lo ngại việc Motorola cung cấp thiết bị liên lạc mã hóa quân sự cho Israel
    Nếu baseband vẫn là binary blob đóng, thì bảo mật của GrapheneOS có thể trở nên vô nghĩa
    Tôi tự hỏi liệu có khả năng ẩn chứa spyware kiểu Pegasus hay không
    Tài liệu liên quan: báo cáo WhoProfits, thông cáo báo chí của Motorola Solutions

    • Pixel cũng tương tự ở chỗ có thể hợp tác với cơ quan nhà nước
      Bảo mật tuyệt đối là điều bất khả thi, và nếu có backdoor phần cứng thì cả driver mã nguồn mở cũng vô ích
    • Motorola Solutions và Motorola Mobility là hai công ty khác nhau
      Công ty sau có sở hữu cổ phần từ chính phủ Trung Quốc
      Chính phủ Trung Quốc sẽ không có lý do gì để chuyển dữ liệu cho Mỹ hay Israel
      Thảo luận liên quan: liên kết HN
    • Hack ở cấp độ quốc gia thì thiết bị nào cũng khó chống lại
      Ngay cả Apple cũng dễ tổn thương trước spyware cấp quốc gia
      Những bản fork như GrapheneOS nhắm đến việc bảo vệ khỏi chủ nghĩa tư bản giám sát
      Tức là tập trung vào việc chặn thu thập dữ liệu của Big Tech như Google hay Apple
    • Chỉ cần còn SIM thì thiết bị vẫn sẽ thực thi các lệnh từ mạng
      Đó là giới hạn của chuẩn GSM/LTE
      Nếu tách OS và modem truyền thông thành SoC riêng biệt thì bảo mật sẽ tốt hơn, nhưng mức tiêu thụ điện năng tăng gấp đôi
      Tham khảo: video bài nói chuyện tại DEFCON21

  • Nếu tin này là thật, tôi sẽ mua ngay một flagship Motorola
    Hiện giờ tôi đang mua Pixel cũ trên eBay rồi cài GrapheneOS
    Tôi không muốn đưa tiền trực tiếp cho Google

    • Mua Pixel cũ có thể làm tăng giá trị bán lại, từ đó gián tiếp thúc đẩy doanh số máy mới
    • Tôi cũng đang dùng Pixel 4a cũ mua trên eBay, pin vẫn còn tốt
      Chưa có lý do gì để nâng cấp trong thời gian tới
    • Tôi nghĩ nếu có thể thì nên mua điện thoại cũ bất kể là mẫu nào
    • Tôi cũng mua Pixel cũ vì lý do môi trường
      Tôi đã mua vài chiếc ở cửa hàng địa phương và không gặp vấn đề gì

  • Tôi tò mò không biết thiết bị Motorola nào sẽ được hỗ trợ
    Trong FAQ của GrapheneOS hay thông cáo báo chí hiện vẫn chưa có thông tin

    • Các nhà phát triển rất khắt khe với yêu cầu bảo mật phần cứng
      Những thiết bị Motorola hiện tại không đạt chuẩn, và nhiều khả năng chỉ các mẫu mới được đồng phát triển mới được hỗ trợ
    • Theo Twitter, dòng Razr và dòng flagship là đối tượng được ưu tiên hỗ trợ trước
      Các SoC tầm trung thiếu memory tagging hoặc độ mở của secure element, nên có lẽ trước mắt vẫn sẽ tập trung vào flagship
    • Thông báo chính thức: tài khoản mạng xã hội của GrapheneOS có nhắc rằng họ đang “hợp tác cho các thiết bị tương lai
    • Hiện chưa có mẫu cụ thể nào, và nhiều khả năng đó sẽ là thiết bị ra mắt sau năm 2027
      Thậm chí có thể xuất hiện một mẫu dành riêng cho GrapheneOS
    • Nhà phát triển strcat cũng nói rằng dòng sản phẩm hiện tại không được hỗ trợ

  • Với sự hợp tác này, Motorola đã trở thành một lựa chọn mua rất mạnh
    Câu “trong xứ mù, thằng chột làm vua” quả thực rất hợp

  • Tôi tự hỏi liệu thiết bị Motorola thuộc Lenovo có dùng được trong môi trường yêu cầu bảo mật hay không
    Trước đây từng có trường hợp ThinkPad bị cấm vì lo ngại liên hệ với Đảng Cộng sản Trung Quốc

    • Nhìn vào sự bất ổn chính trị của chính phủ Mỹ, tôi nghĩ người ngoài phương Tây cũng khó mà tin tưởng doanh nghiệp Mỹ
    • iPhone, Tesla và nhiều sản phẩm khác cũng dùng linh kiện sản xuất tại Trung Quốc
      Thực tế là không tồn tại thiết bị điện tử nào hoàn toàn không có linh kiện từ Trung Quốc
      Ngay cả tiêm kích F-35 cũng có một số linh kiện xuất xứ Trung Quốc
      Một chuỗi cung ứng hoàn toàn phi Trung Quốc về mặt thực tế là bất khả thi
    • Vấn đề thật sự là hệ thống bằng sáng chế
      Sự độc quyền bằng sáng chế của phương Tây đang cản trở phần cứng mở hoàn toàn
    • Nói rằng Google không liên quan gì đến chính phủ Mỹ thì chỉ là chuyện đùa
      Họ đã có quan hệ rất chặt chẽ
    • Điểm cốt lõi của chuỗi khởi động mở là không cần phải đặt niềm tin
      Chỉ cần bạn có thể tự chạy mã của mình
      Dĩ nhiên vẫn có khả năng tồn tại lệnh bí mật ở cấp phần cứng, nhưng điều đó áp dụng cho mọi con chip
      Nếu ở trong môi trường air-gapped thì như vậy là đủ an toàn

  • Thật đáng mừng vì không còn phải dùng thiết bị Google nữa
    Ở nước tôi, Pixel không được bán chính thức nên thuế và chi phí nhập khẩu rất cao
    Trong khi đó Motorola có sản xuất nội địa và cửa hàng chính hãng, nên rẻ hơn nhiều và dễ tiếp cận hơn