GrapheneOS: build Android dengan keamanan yang diperkuat

 (lwn.net)
1 poin oleh GN⁺ 2025-07-25 | 2 komentar | Bagikan ke WhatsApp
  • GrapheneOS adalah sistem operasi open-source yang dikembangkan untuk secara signifikan memperkuat keamanan dan privasi Android
  • Hanya mendukung perangkat keras terbatas tertentu seperti perangkat Google Pixel 6~9, serta menyediakan berbagai fitur perlindungan seperti hardening dan kontrol izin pengguna
  • Aplikasi Google Play dapat digunakan dalam bentuk sandbox, dan aplikasi serta fitur yang tidak perlu dihapus secara bawaan
  • Proses instalasi dan pengaturan awal mungkin tidak intuitif atau memakan waktu, tetapi merupakan opsi yang berguna bagi pengguna yang berfokus pada keamanan
  • Namun, beberapa aplikasi dan fitur komersial yang esensial bisa terasa kurang nyaman digunakan, dan ada juga kekhawatiran terhadap transparansi tata kelola komunitas

Gambaran umum dan latar belakang proyek

  • GrapheneOS adalah proyek rebuild Android open-source yang muncul untuk menanggapi persoalan privasi dan ancaman keamanan pada smartphone
  • Proyek ini berangkat dari keterbatasan distribusi Android yang ada yang dianggap tidak cukup mewakili kepentingan pemilik perangkat, lalu berkembang secara independen dari CopperheadOS oleh Daniel Micay
  • Sebuah yayasan berbasis di Kanada yang didirikan pada 2023 mendukung pengembangan, tetapi hampir tidak ada informasi publik mengenai cara organisasi dikelola atau transparansinya

Fitur utama dan strategi hardening

  • Berdasarkan Android Open Source Project (AOSP), diterapkan penghapusan kode dalam jumlah besar dan banyak patch penguatan keamanan
  • Misalnya, dilakukan perubahan penting untuk meningkatkan perlindungan memori dan ketahanan, seperti hardened malloc() library dan Control-Flow Integrity
  • Sebagian besar fitur keamanan dirancang agar hampir tidak terlihat oleh pengguna, sehingga meminimalkan ketidaknyamanan saat menggunakan sistem

Instalasi dan perangkat yang didukung

  • Perangkat yang didukung terbatas pada seri Google Pixel 6~9, dengan Pixel 4/5 didukung sebagai beberapa pengecualian
    • Perangkat Pixel terbaru direkomendasikan karena jaminan pembaruan keamanan selama 7 tahun serta dukungan hardware memory tagging berbasis ARMv9 (fitur keamanan)
    • Fitur memory tagging aktif secara default dan membantu mencegah eksploitasi pada OS serta aplikasi yang kompatibel
  • Ada dua metode instalasi, yaitu instalasi web dan instalasi command line, tetapi secara resmi instalasi web dinilai lebih stabil

Pengalaman penggunaan awal

  • GrapheneOS memiliki keterbatasan pada aplikasi bawaan dan fitur migrasi data, sehingga pengguna harus melakukan sendiri seluruh pengaturan awal dari nol
  • Aplikasi bawaan: hanya menyediakan browser web (Vanadium), aplikasi kamera, penampil PDF, dan app store internal
    • Google Play Store dan aplikasi turunannya tidak disertakan secara bawaan (namun dapat dipasang kemudian dalam bentuk sandbox)
    • App store tersebut hanya memuat total 13 aplikasi
  • Browser Vanadium adalah versi fork dari Chrome, dengan site isolation untuk mobile dan peningkatan keamanan kode
    • Dokumentasi menyarankan untuk menghindari penggunaan Firefox (karena kekhawatiran kelemahan keamanan)
  • Aplikasi kamera menghapus metadata Exif secara default, dan fitur informasi lokasi perlu diaktifkan secara eksplisit

Instalasi aplikasi dan pemanfaatan ekosistem

  • Beberapa aplikasi open-source dapat diinstal dari app store alternatif seperti Accrescent (contoh: Organic Maps, Molly, IronFox, dll.)
  • F-Droid dapat digunakan, tetapi komunitas GrapheneOS bersikap kritis terhadap isu keamanan pada F-Droid
  • Karena sebagian besar pengguna membutuhkan Google Play Store, GrapheneOS menyediakan sandboxed Google Play
    • Versi ini memiliki izin sistem yang dikurangi sehingga berjalan terbatas seperti aplikasi biasa
    • Jika aplikasi memverifikasi keandalan aplikasi melalui Integrity API, beberapa aplikasi mungkin tidak berjalan jika bukan image resmi
    • Dalam penggunaan nyata, sebagian besar berjalan normal, tetapi kompatibilitas aplikasi tetap perlu diuji terlebih dahulu

Fitur keamanan dan privasi tambahan

  • Pemblokiran akses jaringan per aplikasi: Android secara bawaan tidak mendukung ini, tetapi di GrapheneOS kontrol pemblokiran jaringan dapat dilakukan untuk tiap aplikasi
  • Perincian izin sensor: sensor lain seperti akselerometer, sensor orientasi, dan termometer juga dikelola sebagai izin terpisah
  • Storage/Contact Scope: aplikasi tidak dapat mengakses seluruh penyimpanan perangkat dan kontak, hanya file/kontak yang diizinkan yang diekspos secara virtual
  • Menyediakan opsi keamanan lanjutan seperti kunci 30 menit saat pembukaan kunci sidik jari gagal, serta penghapusan data instan saat memasukkan Duress PIN (PIN darurat di bawah tekanan)
  • Mendukung fitur verifikasi integritas yang terhubung dengan perangkat keras melalui aplikasi audit integritas perangkat
  • Menyediakan pembaruan yang rutin dan cepat: pembaruan sudah diterapkan dalam waktu sebulan setelah rilis resmi Android 16
  • Reboot otomatis setelah 18 jam tidak aktif untuk menjaga enkripsi data dan perangkat lunak tetap mutakhir

Operasional proyek dan komunitas

  • Kurangnya transparansi operasional: yayasan resminya memang ada, tetapi cara pengambilan keputusan dan penggunaan dana hampir tidak diketahui publik
  • Struktur komunitas pengembang tidak jelas, dan sebagian besar partisipasi tampak berpusat pada tanya jawab pengguna
  • Pengaruh pengembang utama Daniel Micay masih terlihat sangat dominan, sehingga ada kekhawatiran tertentu terkait keberlanjutan jika terjadi perubahan personel di masa depan

Penilaian akhir dan kesan penggunaan nyata

  • Penyiapan perangkat dan pemulihan lingkungan memakan banyak waktu, tetapi tetap memungkinkan penggunaan yang berfokus pada fungsi inti tanpa fitur yang tidak perlu
  • Cakupan kontrol keamanan dan privasi menjadi lebih luas, dan fitur AI/Google yang tidak perlu dikecualikan, sehingga sesuai dengan tujuan proyek
  • Namun, ada beberapa keterbatasan atau ketidaknyamanan seperti tidak mendukung input keyboard 'swipe', login Google Play yang sulit dihindari, serta pembatasan fungsi saat menggunakan aplikasi proprietari yang esensial
  • GrapheneOS menjadi pilihan yang masuk akal bagi pengguna yang mencari kontrol izin yang berpusat pada pengguna dan keamanan yang diperkuat
  • Namun, jika kemampuan menjalankan aplikasi komersial yang penting dalam kehidupan modern adalah hal utama, masih ada keterbatasan tertentu, dan isu tata kelola komunitas juga perlu dicermati

Bacaan terkait

2 komentar

 
GN⁺ 2025-07-25
Komentar Hacker News

  • Saya sedang memakai GrapheneOS di Pixel baru selama sekitar dua hari, dan rasanya seperti saat pertama kali memasang Linux pada 1999, seperti menemukan harta karun di halaman belakang sendiri. Sulit dipercaya bahwa perangkat lunak sebagus ini benar-benar gratis dalam segala arti. Pekerjaan yang dilakukan sangat besar, dan banyak bagiannya dibuat dengan sangat baik. Pengaturan keamanan dan kegunaannya bisa dikendalikan dengan sangat rinci sesuai keinginan. Saya bukan orang yang biasanya merekomendasikan perangkat mobile, tetapi sejauh ini semuanya berjalan sangat baik. Dalam kasus saya, saya hampir tidak memakai aplikasi pihak ketiga, dan tidak ada aplikasi yang eksklusif Play Store. Kekurangannya ada pada perangkat keras, tetapi bagian itu berada di luar kendali tim Graphene.

    • Saya penasaran apakah ini juga berjalan baik bila Anda perlu mobile banking, seperti mengakses rekening bank.

    • Saya penasaran dari mana aplikasi diunduh dan dipasang, apakah dari App Store milik Google.

    • Saya penasaran apakah Anda pernah memakai sesuatu seperti LineageOS sebelumnya.

    • Memakai GrapheneOS di Pixel? Jangan-jangan Anda penjahat jenis itu ya? /s

  • Saya memakai LineageOS selama beberapa tahun di ponsel lama saya, dan tahun lalu membeli Pixel 4 lalu memakai GrapheneOS. Keduanya berjalan baik dan saya sangat senang. Khususnya, GrapheneOS layak mendapat nilai tambahan karena proses pemasangannya sangat mudah. Sayangnya, Graphene sudah mulai mengakhiri dukungan untuk Pixel 4, jadi sepertinya saya akan kembali ke Lineage dalam waktu dekat. Satu-satunya keterbatasan teknis yang saya alami saat memakai ROM-ROM ini adalah GPS. Lokasi sering hilang dan kadang butuh beberapa menit untuk terkunci lagi, atau kalau sedang sial, mungkin tidak terkunci sama sekali. Sepertinya ini karena tidak memakai layanan lokasi Google. Saya juga sudah menyalakan pengaturan peningkatan akurasi lokasi WiFi/Bluetooth dan mencoba berbagai tips dari internet, tetapi belum berhasil memperbaikinya. Di Graphene, masalahnya malah lebih parah karena lokasi hilang setiap kali aplikasi Maps ditutup. Saya rasa ini masalah pada ponsel atau OS-nya.

    • Di Pixel 8, GPS sangat cepat berkat fitur lokasi jaringan baru dari Graphene. Rasanya benar-benar perubahan besar. Dulu hanya mendukung Wi-Fi, tetapi baru-baru ini lokasi seluler juga ditambahkan. Itu memakai proxy untuk layanan lokasi Apple.

  • Dari kabar terbaru yang saya dengar, Google mengubah kebijakan pengelolaan AOSP dan berhenti merilis device tree serta binary driver untuk perangkat Pixel. Saya penasaran apakah itu benar-benar dihentikan atau hanya tertunda. Saya juga merasa merilis berkas-berkas seperti ini menjadi semacam business case yang menciptakan permintaan pengguna untuk perangkat Pixel. Apakah biayanya memang cukup besar sampai menghapus manfaatnya, atau ini sekadar masalah pemeliharaan, saya benar-benar penasaran. Saya berterima kasih kepada GrapheneOS dan Google karena keduanya telah membantu menghadirkan platform ponsel di mana fungsi-fungsi penting bisa berjalan dengan baik.

    • Di Android 16, AOSP tidak lagi menyediakan device tree untuk Pixel, tetapi memang sejak awal juga tidak menyediakannya untuk perangkat lain. Hanya segelintir OEM yang menyediakan tree dasar untuk versi Android lama. Ini memang berarti hilangnya salah satu dari sedikit keunggulan yang dimiliki Pixel, tetapi hal itu tidak pernah menjadi bagian dari kebutuhan perangkat keras GrapheneOS. Penjelasannya ada di dokumen ini. Bukan karena hal ini Pixel menjadi satu-satunya perangkat yang memenuhi syarat. Mereka sedang bekerja sama dengan satu OEM Android besar, jadi mungkin akan ada perubahan sekitar 2026 atau 2027. Porting GrapheneOS ke major version Android biasanya selesai dalam beberapa hari, dan versi stabil dirilis dalam dua minggu. Android 16 juga dipindahkan beberapa hari setelah rilis, lalu setelah itu mereka harus mengimplementasikan ulang kode dukungan perangkat Pixel pada Android 16. Setelah deployment produksi pertama pada 30 Juni, versi itu mencapai kanal stabil pada 8 Juli. Kali ini memang memakan waktu lebih lama, sehingga mereka juga menjalankan pendekatan yang tidak biasa dengan backport sebagian patch Android 16 dan firmware ke branch Android 15 QPR2. Ke depannya, alur kerja otomatisnya sudah dibangun, jadi porting Android 16 QPR1~QPR3 atau Android 17 kemungkinan bisa dilakukan secepat sebelumnya.

    • Rumor yang saya dengar mengatakan ini karena isu antimonopoli, dan kalau mereka mau menjual lagi bisnis perangkatnya, saya rasa driver juga bisa dikeluarkan dari AOSP.

  • Saya pengguna lama GrapheneOS dan menurut saya ini proyek yang sangat bagus. Saya ingin berbagi daftar aplikasi open source yang bisa dipakai untuk menggantikan aplikasi Google

    • Aurora Store: antarmuka anonim untuk Playstore
    • F-Droid: toko aplikasi open source
    • Obtainium: mengunduh aplikasi dari github dan lain-lain
    • Organic Maps: navigasi open source (tidak setara aplikasi komersial)
    • SherpaTTS: TTS untuk navigasi
    • PDF Doc Scanner: pemindai dokumen open source
    • Binary Eye: pembaca barcode
    • K9 Mail / FairMail: klien email
    • LocalSend: transfer file
    • Syncthing Fork: sinkronisasi file
    • VLC Media Player: pemutar media
    • KOReader: pembaca ebook
    • Voice: pemutar audiobook lokal
    • AudioBookShelf: pemutar audiobook jarak jauh
    • Immich: backup gambar
    • Fossify File Manager: pengelola file
    • Substreamer / DSub: audio streamer untuk Navidrome
    • OpenCamera: aplikasi kamera open source
      Andai saya tahu daftar ini lebih awal, itu akan sangat membantu. Semoga ini bermanfaat bagi seseorang.

  • Fitur paling menyenangkan di GrapheneOS adalah Anda bisa melihat log kapan saja dari halaman App Info untuk aplikasi apa pun.

  • Fitur inti yang benar-benar saya harap ada di GrapheneOS adalah kata sandi darurat yang saat dimasukkan akan membuka "pengguna" lain sepenuhnya, untuk situasi ancaman. Jadi meskipun Anda dipaksa mengungkapkan kata sandi, setidaknya akun asli tetap tidak bisa diakses. Minimal kalau ada fitur profil tersembunyi saja rasanya sudah memberi perlindungan dasar. Sayangnya belum ada. Sebagai gantinya memang ada fitur untuk menghapus perangkat sepenuhnya, tetapi dalam situasi ancaman itu justru bisa berbahaya. Diskusi terkait bisa dilihat di sini.

    • Saya manajer komunitas GrapheneOS. Masalah dengan fitur seperti ini adalah bahwa pada praktiknya hal itu tidak bisa disembunyikan dan akan tetap terungkap hanya dengan memakai alat dasar. Itulah juga alasan fitur Duress PIN/Password tidak sengaja dibuat tersembunyi. Justru keberadaan fitur seperti itu sendiri bisa lebih berbahaya karena membuat penyerang "percaya ada sesuatu yang disembunyikan". Hanya dari adanya fitur itu saja, orang bisa dipaksa membuka kunci perangkat dan diancam untuk menyerahkan informasi tersembunyi juga. Menurut saya ini masalah yang sulit diselesaikan secara realistis. Ini bukan sesuatu yang mudah diatasi hanya dengan usulan seperti itu.

    • Forum diskusi GrapheneOS menampilkan pemberitahuan bahwa "situs ini paling baik dilihat di browser modern dengan JavaScript aktif", dan dari sudut pandang keamanan itu benar-benar bermasalah. Saya juga meminta manajer komunitas agar memperbaiki hal itu dan menyediakan situs .onion.

    • Fitur seperti ini (kata sandi darurat) sudah lama diminta di banyak komunitas modding, dan saya penasaran apakah ini sekadar masalah yang sulit diimplementasikan.

    • Saya rasa ungkapan se-ekstrem itu berlebihan. Jika seseorang harus hidup menyamar sebagai pengguna palsu demi bertahan hidup, maka menurut saya ada masalah mendasar yang jauh lebih serius daripada sekadar tidak adanya fitur di tingkat sistem operasi.

  • Satu-satunya hal yang tidak saya sukai dari Graphene adalah jumlah perangkat yang didukung terlalu sedikit. Saya paham ada alasan seperti persyaratan keamanan, tetapi saya tetap berharap bisa memakai Graphene ketimbang Android bawaan Google, meskipun tingkat hardening keamanannya harus dikurangi.

    • Saya manajer komunitas GrapheneOS. Saat ini hanya perangkat Google yang memenuhi persyaratan dukungan GrapheneOS (tautan), tetapi mereka sedang bekerja sama dengan OEM lain dan berharap dukungan bisa meluas ke produk mereka pada 2026 atau 2027. Belum ada yang pasti, tetapi mereka optimistis.

    • Memang jumlah perangkat yang didukung sedikit, tetapi Pixel sendiri sudah mencakup 4~5 generasi, termasuk seri A, Pro, dan varian kecil/besar, dengan rentang harga yang beragam, jadi menurut saya pada praktiknya hampir semua orang bisa memakainya.

    • Saya justru merasa bagus kalau Graphene fokus pada Pixel. Berbeda dengan Fairphone, Pixel bisa dibeli di banyak negara. Artinya Graphene tidak terbatas hanya untuk negara maju atau Barat. Saya juga rasa alasan tidak ada dukungan untuk merek lain adalah ukuran tim, keragaman Android di tiap OEM yang membuat pengelolaan jadi sulit, serta berbagai faktor seperti kebijakan pembaruan Google.

    • Google tampaknya makin tidak kooperatif terhadap proyek ini, jadi kalau memang banyak orang benar-benar membutuhkannya, mungkin perlu mulai mencoba dukungan perangkat keras baru secara langsung.

    • CalyxOS mendukung perangkat lain juga, dan terasa lebih fokus pada privasi yang sesungguhnya.

  • Graphene adalah sistem operasi yang luar biasa untuk perangkat Pixel. Sederhana, andal, dan penuh fitur keamanan serta privasi yang memberi rasa aman yang menenangkan. Pembaruan sistem berjalan otomatis, dan fungsi dasar seperti panggilan telepon bekerja sempurna. Satu-satunya kekurangan adalah kualitas kamera, dan saya kira itu karena tidak adanya driver proprietary. Signal juga berjalan cukup baik tanpa layanan Google, jadi sangat cocok dipakai sebagai ponsel harian. Terima kasih yang sebesar-besarnya kepada para pengembang.

  • Saya sangat tertarik dengan GrapheneOS, tetapi sayang hanya bisa dipakai di perangkat terbatas seperti Pixel. Saya ingin bisa mencobanya di Galaxy A55 juga.

  • Menarik bahwa satu-satunya perangkat yang memenuhi persyaratan keamanan semuanya adalah produk Google. Saya juga penasaran apakah Google secara internal memakai versi Android yang lebih berfokus pada keamanan. Dari sudut pandang Google, kalau perangkat pribadi para engineer inti diretas itu akan menjadi risiko keamanan besar, jadi mungkin saja ada versi internal yang lebih berorientasi keamanan.