[心得] Pixel手機刷GrapheneOS日用

看板MobileComm (行動通訊)作者ivon852 (內容農場殺手)時間3小時前 (2025/12/25 00:45)推噓6(6推 0噓 5→)

留言11則, 6人參與討論串1/1

最近用一張櫻花鉤吻鮭買到了一支Pixel 6a。查詢新聞才發現用久了電池會爆炸自燃，害得我還得花一筆錢換電池。買二手機我不好意思去凹官方補償金。鑑於Pixel開放的特性，有很多刷機資源可以選擇。其中一個是最近幾年出現的特別的ROM：GrapheneOS，中文翻譯稱作石墨烯 https://i.meee.com.tw/yvt0gz8.jpg

有別於其他Android ROM強調自訂性與炫砲界面，GrapheneOS注重的是極端安全性與隱私保護，讓Android成為比iPhone還堅固的系統，讓外人難以破解。在外國，GrapheneOS曾經一度被當成毒販在用的系統。我最早是看到好和弦(Wiwi)在使用這個系統，也跟有興趣了起來。分享一下我是如何操作這個系統的。系統外觀先講比較重要的使用體驗，再來講技術層面的東西。外觀沒什麼好說的，這不是這系統的強項。如果你想玩自訂系統，那就改刷Evolution X、crDroid、DerpFest這類的，他們還保留了以前Resurrection Remix時代的自訂程度。 GrapheneOS安裝後是一片烏趖趖，連瑪奇亞米都沒辦法照顧。界面幾乎照搬Pixel，只是沒有了Google服務。 https://i.meee.com.tw/bNhbL6u.jpg

所幸，GrapheneOS還是支援Material Expressive的桌布染色系統的。 https://i.meee.com.tw/mgGEv0x.jpg

由於GrapheneOS追上游更新追得很勤，每週都有更新，使用上與原廠Pixel沒有太大分別，只要不是依賴Google服務（例如畫圈搜尋、聽聲辨曲、快速分享、數位健康）的功能依然都可以使用，包括最新加入的Linux終端機。流暢度沒有差異，5G發熱程度也沒有差異（汗）。最近被急了的客服打電話，強迫升級5G ，非常不爽。我大部分時候是自主降級成4G，Tensor就不會燙起來了。關於刷GraphaeneOS之後，Pixel 6a的續航有沒有特別好，我持保留態度。這要看你的使用習慣，這裡我的Pixel 6a可以撐12個小時。若將GMS背景全暫停可以多一點續航力。 https://i.meee.com.tw/9vsvVIM.jpg

給在意Gcam的用戶：你還是可以安裝Pixel相機，或者試試GrapheneOS的Secure Camera相機，這是團隊自行開發的，使用CameraX extensions提供夜拍模式。不是LineageOS那種 AOSP最原生的相機。我覺得拍起來不輸Pixel原廠相機啦，下面左邊GrapheneOS，右邊Pixel。當然功能比GCam 少，沒有取景提示，也沒有天文模式。 https://i.meee.com.tw/HaVlEuh.jpg

GrapheneOS系統需求鑑於GrapheneOS開發者對系統廠商更新的嚴格要求，他們「目前」只支援Pixel手機，不若LineageOS包山包海。未來GrapheneOS團隊可能會跟某國際大廠合作出符合他們期望的手機。有人猜是OnePlus，也有可能是Sony。支援Pixel 4 ~ Pixel 10的全部型號，能解鎖Bootloader的都可以刷。每月都有安全性更新。只要Google不放棄更新，GrapheneOS就不會放棄！ https://i.meee.com.tw/DPb0rzk.jpg

GrapheneOS比較特別的地方在於，刷機之後Bootloader是可以回鎖的，這代表Android TEE能運作，增加了安全性。GrapheneOS不鼓勵使用者Root，甚至擋LSposed的Zygisk執行，維持系統安全性。即使如此，Play Intergirty等級方面還是不給過，只有基本的MEETS_DEVICE_INTEGRITY 不能達到最高等級MEET_STRONG_INTEGRITY。這樣的話很多行動支付APP會不給使用。但GrapheneOS明明有實作Android TEE呀？GrapheneOS開發團隊直斥Play Integrity是一個充滿謊言的系統。聽說開發團隊正打算跟歐盟合作，告發Google，逼他們開放第三方的硬體加密方案參與Play Intergirty的認證工作。 GrapheneOS現在會在APP嘗試使用Play Integrity認證的時候，叫你去靠北他們開發者 www 順帶一提，我是真的不知道為什麼會有某個B開頭的PTT Android客戶端要人強制用 Play Integrity才給下載？ https://i.meee.com.tw/6gP3umC.jpg

GrapheneOS特色功能 GrapheneOS官網有詳盡解釋。很多都是針對系統底層的修改，一般使用者可能較難以察覺。我這邊講簡略一些。 - 強化Android的權限系統，例如禁止APP內的WebView啟用JIT、禁止APP上網、禁止存取感測器、啟用Hardened malloc保護記憶體、用Storage Scope限制APP能夠看到哪些檔案（即使它要求存取全部檔案）、用Contact Scope限制APP讀取的聯絡人列表 - 截圖與拍照之後，會自動清除任何有關手機硬體的資訊，防止EXIF被用於社會工程 - 搭載自家開發的Vanadium瀏覽器與WebView，預設停用JavaScript JIT，提供擋廣告功能 - 系統去Google化，沒有Google全家桶，需要自行安裝。 - 去除Android系統所有依賴Google伺服器的服務，例如時間同步、GNSS、LTE SUPL、連線能力確認，換成自家的代理伺服器 - 連上Wifi的時候使用隨機MAC位址 - 預設停用掃描附近Wifi裝置（改善定位精確度）的功能。 - 超過18小時不解鎖的話就自動重開機，強制讓裝置進入BFU狀態，更難以被破解 - 定時自動關閉Wifi與藍牙 - 限制連接埠的存取權限，設定充電時只能充電，不可傳輸資料 - Duress PIN，自爆按鈕，在緊急的情況下，輸入特定的密碼後自動清除手機資料其中一個我比較感興趣的是他們對GApps的處理方式。把GApps藏起來好想把你藏起來　藏在胸前的口袋把妳暖暖地融化　妳就再也離不開 https://www.youtube.com/watch?v=hlzRmISZVLY

雖說是degoogle的系統，總還是有用到Google服務的時候。不然我們光靠F-Droid上的開源APP是活不下去的。 GrapheneOS開發團隊在內建的App Store提供名為GMSCompat的技術，隔離GApps服務，將 GMS權限降級成跟一般APP沒兩樣的玩意，Play商店下載APP甚至你變成要手動點選同意。讓GMS在你的系統上成為可有可無的存在。不爽就讓它禁止活動，甚至可以解除安裝。 https://i.meee.com.tw/bHCmX4H.jpg

這是什麼概念呢？要知道，一般LineageOS這類第三方ROM基於授權因素不會內建GApps，要使用者自己用Recovery刷。這個時候是請神容易送神難的。GApps一旦安裝後，就會取得系統許多敏感的權限。你還不能趕它走，除非重刷系統。於是，你就只能在完全不裝GApps與安裝GApps之間做抉擇。 GMSCompat巧妙的緩解了這個問題。它讓你我們能使用GApps，卻不會被申請過多不必要的權限。並且GApps是能夠隨時解除安裝的，你不必被GApps綁架。這樣操作上有點類似華為手機在用的GBox，卻又不用受到專有軟體黑箱掣肘。 --- 為了確保更高安全性，我還會搭配私人空間、工作設定檔(需透過Shelter App觸發)、多重使用者等手段，進一步隔離GApps的存在。 Shelter是一個不錯用的APP雙開軟體。 https://reurl.cc/ORz19A 例如，我可以只在工作設定檔安裝GApps，主設定檔不裝GApps，只使用F-Droid下載的自由軟體。 https://i.meee.com.tw/taP0q2i.jpg

然後不用的時候一鍵將工作設定檔全部「暫停」，完全禁止GApps在背景執行！達成一種半degoogle的狀態。 https://i.meee.com.tw/GxDGq5B.jpg

那麼要如何安裝GrapheneOS 請注意，刷機會清空手機資料。很簡單，你只要在手機開發人員選項開啟允許OEM解鎖。把手機接到電腦。然後用Chrome造訪官網，用他們提供的安裝器，按一按會自動解鎖Bootloader，並刷入系統。 https://grapheneos.org/install/web 反悔的話就下載Google原廠映像檔，用Android Flash Tool刷回去。 https://developers.google.com/android/images?hl=zh-tw -- 原創梗圖系列 https://i.imgur.com/Y10Cw4n.jpg