GrapheneOS

2023年11月8日 (水) 22:37時点における>モナドによる版 (打ち切り→5の更新はされている 通常のAndroid→AppOpsで可能)

GrapheneOS(グラフェンオーエス)とは、Android (AOSP)をベースにしたモバイルオペレーティングシステムである。セキュリティ・プライバシーに最特化しており、ゴリホーモの魔の手から逃れようと世界中の芋が使用している。

概要

Androidのオープンソース版であるAndroid Open Source Project (AOSP)を基に開発されており、ほぼすべてのAndroidアプリと互換性がある。当OS以外のAndroidでも使えるカメラやPDFビューワーなどのアプリの開発や、Linux用の堅牢なメモリ管理システム、当OSのセキュリティ対策を本家Androidへ移植 (uplift)するなど様々な慈善活動を行っている。

記事執筆時点で、Pixel 4から8、Pixel Fold、Pixel Tabletに対応している[1]。PixelはGoogle純正であり、セキュリティ的にも評判が良い[2]。最新の脅威に対策するために一番新しい端末を購入する、それはできるよね?

ゴリホーモ対策から翻訳を受け付けておらず、UIなどすべて英語で書かれているため、英語の話せる弁護士への依頼などの対応が必要である。

機能[3]

これはあくまで一部であり、より高度で低水準な実装は計り知れない。詳細は公式サイトを参照してもらいたい。

  • 独自の安全なメモリ管理システム (hardened malloc) - これによって一部のアプリが動作しなくなってしまうので注意。アプリ情報から「Exploit protection compatibility mode」をオンにすることで回避できるが、もちろん安全性は失われる。
  • ストレージ/連絡先スコープ (storage/contact scopes) - ストレージや連絡先全体にアクセス権限を与える代わりに、その一部に限らせる機能。権限必須のアプリに権限を与えているように見せかける応用もできる。
  • Sandboxed Google Play - Google[4]に特権を与えずに大部分のGoogleに依存した機能が使用できる[5]
  • インターネット・センサー権限 - アプリによるインターネットとセンサーへのアクセスが権限設定から制御できる。
  • Vanadium - GrapheneOSの機能をフル活用したChromiumベースのブラウザ。システムWebViewにも使用されているので、WebViewを使用したブラウザ[6]はその一部を享受できる。
  • オンライン機能のプロキシ - AndroidではGoogleなどのゴリホーモ企業にアクセスしてオンライン機能[7]を使用するが、それらを無効にしたり、GrapheneOSのサーバー[8]のプロキシを通したりして使用することができる。
  • 自動再起動 (Auto reboot) - AFU[9] (端末を一度でもロック解除済)状態のスマートフォンは様々な面で脆弱であると知られており、その対策として操作のない場合に端末を自動的に再起動する機能である。特に指紋認証を設定している芋には再起動後の状態だと指紋認証を受け付けないので必須である。できるだけ短い時間で行うよう設定することが望ましい。
  • MACアドレスのランダム化 - Androidで利用可能なオプションに加えて、接続毎にランダム化することが可能で、デフォルトで有効になっている。
  • PINのスクランブル化 (Scramble PIN input layout) - 街中に大量のゴリホーモやその監視システムが潜んでいることは明白であり、いつPIN入力が見られていてもおかしくない。その対策としてPIN入力の位置をランダムにして予測を難しくしようとする機能である。

インストール

注意: 以下の手順を踏むと、ストックOSに戻しブートローダーを再ロックしない限り、端末のいかなる保証も効かなくなってしまうことを理解した上で続けてもらうことを切に望む。また、もちろん端末のデータはすべて初期化される。

ブラウザからインストールするウェブインストーラーと、コマンドラインからインストールする方法がある。ブラウザではGUIを使って手軽にインストールすることができるが、記事執筆時点でセキュリティの懸念からWebUSBがChromiumでしか対応しておらず[10]、環境によってはインストール途中で動かなくなってしまうことがあるので注意。以下ではより複雑なコマンドラインを使ったインストール方法を一部紹介する。

  1. 環境に応じてfastbootを使えるようにする。「fastboot インストール方法」で検索検索ゥ!
  2. 公式サイトのリリースページから端末のファクトリーイメージをダウンロードする。当該端末の項を見つけ、[コードネーム]-factory-[日付(バージョン)].zipをクリック。
  3. ダウンロードしたファイルを署名検証する。 (努力義務)
  4. ダウンロードしたZIPファイルを解凍。
  5. Pixelの開発者向けオプションから「OEMロック解除」をオンにする。なぜかインターネット接続が必要なので注意。
  6. Pixelを再起動し、画面が点く前から音量を下げるボタンを長押しし、Fastboot Modeへ入る。
  7. USBでPixelをPCと接続
  8. ターミナルからfastboot flashing unlockを入力し、Pixelを音量ボタンで操作し、ブートローダーのロックを解除する。
  9. 4で解凍した中に入っている./flash-all.[Windowsならbat、macOS/Linuxならsh]を実行。
  10. もう一度Fastboot Modeへ入り、fastboot flashing lockを実行してブートローダーをロックする。
  11. 開発者向けオプションから「OEMロック解除」をオフにする。オフにできない場合は、ブートローダーをロックできていない。
  12. Voila!

脚注

  1. Pixel 4と5は既にGoogleのセキュリティパッチの保証期限が過ぎているので注意
  2. https://www.privacyguides.org/android/#google-pixel
  3. https://grapheneos.org/features
  4. Google Play開発者サービスやGoogle Playストアなどのアプリ
  5. microGの使用も可能だが公式から非推奨認定されており、ADBからインストールすることになるため完全な動作は保証できない。
  6. DuckDuckGo Private Browserなど
  7. 時間の同期、インターネット接続の確認、位置情報機能など
  8. OVHのカナダ鯖
  9. after first unlockの略
  10. https://caniuse.com/webusb

外部リンク


匿名化技術
ツール AnonFiles - Session - Tor - VPN
OS GrapheneOS - Kicksecure - Parrot OS - Tails
用語 IPアドレス - 開示 - 仮想通貨 - ダークウェブ - DMCA - 生IP - 悪芋
webサイト 炎上総合Wiki - Onionちゃんねる - Kind World - 唐澤貴洋掲示板 - 唐澤貴洋殺す掲示板 - 恒心教サイバー部 - 防弾ホスティング - ヤッバイおっぱい掲示板
攻撃手法・事件 engage路線 - 贈り物路線 - お問い合わせ路線 - 片平騒動 - カラッキング(アットキャドカラッキング事件 - 国立感染症研究所カラッキング事件 - GMOカラッキング事件 - TVerカラッキング事件 - 新潟県警カラッキング事件) - カランサムウェア - Kindle路線 - 同時爆破予告事件 - 2ちゃんねる個人情報流出事件 -犯行予告 - 爆破予告 - 兵庫県警ブラクラ摘発事件 - モンストまとめ殺害予告事件
関連人物 安藤良太 - 小津晶 - 面白い愛の戦士 - 片山祐輔 - 恒心教 広報省 - さっしーえっち - 杉浦隆幸 - 0Chiaki - ダブルぬるぽ - ドナルドⅡ世 - ねそにゃ - 福山紘基 - 三上洋
企業等 サイバー犯罪対策課 - スプラウト - Novogara - Privex - 八雲セキュリティコンサルティング株式会社