Guide för GrapheneOS säkerhets- och integritetsinställningar
Senaste stabila utgåva: 2026012100 (21 januari 2026)
Senaste beta/alfa-utgåva: 2026012800 (28 januari 2026)
Baserad på Android 16 QPR2
Aktuell versionsinformation:
- Stabil utgåva: 2026012100 (21 januari 2026)
- Beta/alfa-utgåva: 2026012800 (28 januari 2026)
- Förhandstitt på säkerhet: 2026012801 (inkluderar korrigeringar till juni 2026 ASB)
- Android-bas: Android 16 QPR2 (BP4A.251205.006)
- Kärnversioner: 6.1.161 (GKI LTS), 6.6 LTS, 6.12.67 LTS
- Vanadium-webbläsare: 144.0.7559.109.0
1. Översikt
GrapheneOS är ett integritet- och säkerhetsfokuserat mobilt operativsystem baserat på Android Open Source Project (AOSP). Det är utformat för användare som kräver den högsta nivån av mobil säkerhet, inklusive journalister, aktivister, säkerhetsforskare och integritetsfokuserade personer. Edward Snowden har offentligt rekommenderat GrapheneOS som sitt föredragna mobila operativsystem.
Jag har personligen inte verifierat alla detaljer eftersom jag kör en äldre version av GrapheneOS.
Nyheter 2025–2026
Senaste betautgåva (2026012800 - 28 januari 2026):
- FusedLocationProvider: Återställd GNSS-användningspolicy från före 16-QPR1 (använder GNSS för både balanserade och högeffektförfrågningar)
- Sandboxat Google Play: Lade till specialfall för SMS-behörighet för att aktivera SMS-baserad autentisering för appar som använder Google Play-tjänster
- Sandboxat Google Play: Förhindrade Play Butik från att försöka installera onödigt paket “Enhetskonfiguration”
- Förbättrad kompatibilitet för säker appstart med anti-manipuleringskontroller i vissa appar
- Inställningar: Kräver nu omstart av enheten efter ändring av inställning för säker appstart
- Nätverksplats: Döpte om “GrapheneOS-proxy” till “GrapheneOS Apple-proxy” för tydlighet
- Nätverksplats: Lade till serverval “Apple Kina” för Kinas dataefterlevnad
- Pixel 8a, 9:e/10:e gen: Inaktiverade NTP-användning i Samsung gnssd
- Förbättrat gränssnitt för nätverks-/sensorbehörigheter i behörighetshanteraren
- Åtgärdade Material 3 Expressive-styling för gränssnitt för kontakt-/lagringsomfång
- Kärna 6.12 uppdaterad till 6.12.67
- Vanadium uppdaterad till 144.0.7559.109.0
Aktuell stabil utgåva (2026012100 - 21 januari 2026):
- Åtgärdade uppströms oändlig loop-bugg i ProtoFieldFilter.skipBytes() som orsakade systemoanvändbarhet vid tidig uppstart
- libpng: Bakporterade säkerhetskorrigeringar
- Tog bort oanvänd INTERNET-behörighet från Pixel Camera Services
- Kärna 6.1 uppdaterad till 6.1.161, kärna 6.12 uppdaterad till 6.12.66
- Vanadium uppdaterad till version 144.0.7559.90.0
Förhandstitt på säkerhet (2026012801):
- Inkluderar korrigeringar till juni 2026 Android Security Bulletin
- 8 kritiska CVE:er korrigerade (CVE-2026-0039 till CVE-2026-0049)
- 38+ CVE:er med hög allvarlighetsgrad korrigerade innan offentliggörande
- Aktivera via Inställningar > System > Systemuppdatering > Ta emot förhandsutgåvor för säkerhet
Senaste stora funktioner:
- Android 16 QPR2-bas – Senaste säkerhetskorrigeringar och funktioner
- Förhandsutgåvor för säkerhet – Få säkerhetskorrigeringar månader före offentliggörande
- Pixel 10-stöd – Fullt stöd för Pixel 10-familjen (inte längre experimentellt sedan januari 2026)
- Privat utrymme-integrering – Android 15+-funktion fullt stödd som ersättning för arbetsprofiler
- Förbättrad minnes-taggning – Utökat MTE-stöd för minnessäkerhet på hårdvarunivå
- Postkvantkryptografi – Hybridnyckelutbyte i Vanadium-webbläsaren
- Förbättrat VPN-läckageskydd – Omfattande skydd mot alla former av VPN-förbigång
- OEM-partnerskap tillkännagivet – Icke-Pixel-enheter förväntas Q4 2026 eller Q1 2027
- Låsskärmswidgetar – Aktiverat i december 2025-utgåvan
Viktiga skillnader från vanlig Android
| Funktion | Vanlig Android | GrapheneOS |
|---|---|---|
| Google-tjänster | Djupt integrerat med privilegierad åtkomst | Valfritt, helt sandboxat, inga speciella privilegier |
| Nätverksbehörighet | Inte tillgängligt | Per app-växling för att helt blockera nätverk |
| Sensorbehörighet | Begränsat | Per app-växling för accelerometer, gyroskop, etc. |
| Automatisk omstart | Inte tillgängligt | Konfigurerbar 10 min till 72 timmar (standard: 18 timmar) |
| Nöd-PIN | Inte tillgängligt | Raderar omedelbart enheten när den anges |
| USB-skydd | Endast programvara | Hårdvara + programvara, blockerar datalinjer |
| Skydd mot exploatering | Standard | Härdad malloc, kärnhärdning, MTE |
| Uppdateringshastighet | Månatliga korrigeringar | Säkerhetskorrigeringar månader i förväg via förhandsutgåvor |
2. Enheter som stöds
GrapheneOS stöder exklusivt Google Pixel-enheter på grund av deras hårdvarubasäkerhetsfunktioner, inklusive Titan M2-säkerhetschip och hårdvarubackad attestering.
Stöds för närvarande (fullt stöd)
| Enhet | Kodnamn | Stöds till |
|---|---|---|
| Pixel 10 Pro Fold | rango | ~2032 |
| Pixel 10 Pro XL | mustang | ~2032 |
| Pixel 10 Pro | blazer | ~2032 |
| Pixel 10 | frankel | ~2032 |
| Pixel 9a | toki | ~2031 |
| Pixel 9 Pro Fold | comet | ~2031 |
| Pixel 9 Pro XL | komodo | ~2031 |
| Pixel 9 Pro | caiman | ~2031 |
| Pixel 9 | tokay | ~2031 |
| Pixel 8a | akita | ~2031 |
| Pixel 8 Pro | husky | ~2030 |
| Pixel 8 | shiba | ~2030 |
| Pixel Fold | felix | ~2028 |
| Pixel Tablet | tangorpro | ~2028 |
| Pixel 7a | lynx | ~2028 |
| Pixel 7 Pro | cheetah | ~2027 |
| Pixel 7 | panther | ~2027 |
| Pixel 6a | bluejay | ~2027 |
| Pixel 6 Pro | raven | ~2026 |
| Pixel 6 | oriole | ~2026 |
Enhetskrav
- OEM-upplåsbar bootloader – Operatörslåsta enheter (t.ex. Verizon) stöds INTE
- Titan M/M2-säkerhetschip – Krävs för hårdvarubaserade säkerhetsfunktioner
- Google-hårdvara – Endast officiella Pixel-enheter uppfyller säkerhetskraven
Framtida stöd
GrapheneOS tillkännagav i oktober 2025 ett partnerskap med en “stor Android-OEM” för att stödja Snapdragon-drivna flaggskeppsenheter, förväntas Q4 2026 eller Q1 2027.
3. Installation
Förutsättningar
- Upplåst Pixel-enhet (inte operatörslåst)
- Dator med Chrome/Chromium-webbläsare (för webbinstallatören)
- USB-kabel
Webbinstallatör (rekommenderas)
- Gå till https://grapheneos.org/install/web
- Anslut din Pixel via USB
- Följ instruktionerna på skärmen för att:
- Aktivera OEM-upplåsning i Utvecklaralternativ
- Lås upp bootloadern
- Flasha GrapheneOS
- Lås bootloadern (kritiskt för säkerheten)
Viktiga noteringar
- Lås alltid bootloadern efter installation – En olåst bootloader underminerar säkerheten
- Installationen tar cirka 10–15 minuter
- All data kommer att raderas under installationen
- Webbinstallatören förhindrar brickande – det är mycket säkert
4. Första konfiguration
Konfigurationsguidens säkerhetsfunktioner
GrapheneOS konfigurationsguide inkluderar förbättrade säkerhetskontroller:
- Bootloader-varning – Varnar om bootloadern är olåst med alternativ att starta om till fastboot
- Automatisk inaktivering av OEM-upplåsning – Inaktiverar OEM-upplåsning i slutet av konfigurationen (växla för att avstå)
Rekommenderad första konfiguration
Efter att ha slutfört grundläggande konfiguration:
-
Ställ in en stark låsmetod
- Inställningar > Säkerhet och integritet > Enhetslås > Skärmlås
- Använd ett starkt lösenord (16+ tecken) eller säker PIN-kod (6+ siffror)
- Överväg att aktivera Blanda om PIN-inmatningslayout
-
Konfigurera fingeravtryck med 2FA-PIN (valfritt)
- Lägger till krav på att ange kort PIN efter fingeravtryck
- Ger stark lösenfras-säkerhet med fingeravtryckets bekvämlighet
-
Aktivera nöd-PIN/lösenord
- Inställningar > Säkerhet och integritet > Enhetslås > Nödlösenord
- Ställ in BÅDE en nöd-PIN och ett nödlösenord
- Detta kommer att radera enheten omedelbart när det anges
-
Granska standardinställningar för exploateringsskydd
- Inställningar > Säkerhet och integritet > Exploateringsskydd
- Standardinställningarna är säkra; anpassa efter behov
5. Enhetslås och autentisering
Skärmlåsalternativ
Plats: Inställningar > Säkerhet och integritet > Enhetslås > Skärmlås
| Metod | Säkerhetsnivå | Anteckningar |
|---|---|---|
| Lösenord | Högst | Upp till 128 tecken (mot 16 på vanlig Android) |
| PIN | Hög | Använd 6+ slumpmässiga siffror |
| Mönster | Medel | Rekommenderas inte |
| Ingen | Ingen | Använd aldrig |
PIN-blandning
Plats: Inställningar > Säkerhet och integritet > Enhetslås > Blanda om PIN-inmatningslayout
- Slätar om knappsatslayouten varje gång
- Förhindrar axelkikande och fläckattacker
- Rekommenderat: Aktivera
Tvåfaktors-fingeravtrycksupplåsning
Plats: Inställningar > Säkerhet och integritet > Enhetslås
När aktiverat:
- Autentisera med fingeravtryck
- Ange sedan en kort PIN för att slutföra upplåsningen
Fördelar:
- Använd en stark lösenfras som primär upplåsning
- Bekvämligheten med fingeravtryck + kort PIN för daglig användning
- Misslyckade PIN-försök räknas mot utlåsningsgränsen
Nöd-PIN/lösenord
Plats: Inställningar > Säkerhet och integritet > Enhetslås > Nödlösenord
- Både en nöd-PIN och ett lösenord krävs
- När det anges var som helst där inloggningsuppgifter begärs (låsskärm, inställningsdialoger):
- Enheten raderas omedelbart och oåterkalleligt
- Alla installerade eSIM raderas
- Raderingen kan inte avbrytas
- Enheten är INTE brickad – kan ominstallera GrapheneOS
Kritiska regler:
- Om nöd-PIN är samma som din riktiga PIN har den riktiga PIN företräde (ingen radering)
- Kontrollera lokala lagar gällande bevismaterials förstöring innan användning
- Använd INTE enkla sekvenser som 1234 som andra kan gissa
Förbättringar av fingeravtryckssäkerhet
GrapheneOS begränsar fingeravtrycksförsök till 5 totalt (mot 20 på vanlig Android med fördröjningar):
- Gör avsiktlig utlåsning enkel (använd fel finger 5 gånger)
- Minskar betydligt risken för brute-force
6. Exploateringsskydd
Plats: Inställningar > Säkerhet och integritet > Exploateringsskydd
GrapheneOS inkluderar omfattande härdning mot minneskorruption och andra exploateringar.
Automatisk omstart
Syfte: Återställer enheten till “viloläge” och rensar krypteringsnycklar från minnet
| Inställning | Effekt |
|---|---|
| 10 minuter - 72 timmar | Enheten startar om om den inte låses upp inom denna tid |
| Av | Inaktiverat (rekommenderas inte) |
| Standard: 18 timmar | Bra balans för de flesta användare |
Rekommendation: Ställ in på 8–12 timmar för högre säkerhet, eller behåll standard 18 timmar
Så fungerar det:
- Timern startar när enheten låses
- Upplåsning av vilken profil som helst återställer timern
- Efter timeout startar enheten om till Before First Unlock (BFU)-tillstånd
- Alla krypteringsnycklar rensade, data helt i vila
USB-C-port
Se avsnitt 12 för detaljerad konfiguration.
Automatisk av Wi-Fi
Syfte: Inaktiverar Wi-Fi efter frånkoppling för att minska attackytan
- Alternativ: 10 minuter, 30 minuter, 1 timme, 2 timmar, Av
- Rekommendation: 10 minuter
Automatisk av Bluetooth
Syfte: Inaktiverar Bluetooth efter frånkoppling för att minska attackytan
- Alternativ: Samma som Wi-Fi
- Rekommendation: 10 minuter
Säker appstart
Syfte: Varje app får unik slumpmässig minneslayout (ASLR-hemligheter)
- Standard: Aktiverad
- Effekt: Förhindrar läckage av identifierare mellan appar, härdar skydd mot exploatering
- Avvägning: Något långsammare kallstarter, något högre minnesanvändning
- Rekommendation: Behåll aktiverad
Nativ koddebuggning
Syfte: Kontrollerar ptrace-åtkomst för debuggning
- Medpaketerade appar: Alltid blockerade
- Användarappar: Tillåtna som standard (för kompatibilitet)
- Rekommendation: Inaktivera för alla appar om det inte behövs för utveckling
Växlare för dynamisk kodladdning
Kontrollera JIT-kompilering och dynamisk kodladdning:
| Växlare | Standard | Syfte |
|---|---|---|
| Dynamisk kodladdning från minne | Varierar | Blockerar kodexekvering i minnet |
| Dynamisk kodladdning från lagring | Varierar | Blockerar laddning av kod från filer |
| WebView JIT | Aktiverat för användarappar | JavaScript JIT i WebView |
Rekommendation: Inaktivera alla för appar som inte behöver dem
7. Nätverksbehörighet
Plats: Appinfo > Behörigheter > Nätverk (per app)
GrapheneOS lägger till en nätverksbehörighet som inte finns i vanlig Android.
Så fungerar det
- När inaktiverat ser appen nätverket som “nere” (inte nekad behörighet)
- Blockerar både direkt nätverksåtkomst och localhost (förhindrar korsprofilkommunikation)
- Appar hanterar det smidigt eftersom de tror nätverket är otillgängligt
Konfiguration
- Under appinstallation, växla av Nätverk om det inte behövs
- Eller gå till Inställningar > Appar > [App] > Behörigheter > Nätverk
Användningsfall
- Kalkylatorappar: Behöver inte nätverk
- Offlinespel: Behöver inte nätverk
- Dokumentredigerare: Behöver kanske inte nätverk
- Integritetskänsliga appar: Förhindra dataexfiltration
8. Sensorbehörighet
Plats: Inställningar > Appar > [App] > Behörigheter > Sensorer
GrapheneOS lägger till en sensorbehörighet för:
- Accelerometer
- Gyroskop
- Kompass/magnetometer
- Barometer
- Termometer
- Andra enhetssensorer
Så fungerar det
- När nekad får appar nollad sensordata
- Notifiering visas när app försöker åtkomma blockerade sensorer
- Påverkar INTE kamera, mikrofon eller kroppssensorer (separata behörigheter)
Global standard
Plats: Inställningar > Säkerhet och integritet > Mer säkerhet och integritet
Växla: Neka sensorbehörighet som standard för nyinstallerade appar
Rekommendation: Aktivera, bevilja sedan till appar som behöver det
9. Lagringsomfång
Plats: Inställningar > Appar > [App] > Behörigheter > Lagringsomfång
Ett integritetsbevarande alternativ till att bevilja full lagringsåtkomst.
Så fungerar det
- Istället för att bevilja lagringsbehörighet, aktivera Lagringsomfång
- Appen tror att den har full lagråtkomst
- Appen kan endast se filer den skapat
- Lägg valfritt till specifika filer/mappar som “omfång” för appen att komma åt
Konfiguration
- Gå till appens behörigheter
- Istället för att bevilja Filer/Media, aktivera Lagringsomfång
- Lägg till specifika filer/mappar om appen behöver åtkomst till befintliga filer
Begränsningar
- Om appen avinstalleras och ominstalleras förlorar den åtkomst till sina tidigare skapade filer
- Lösning: Bevilja åtkomst via SAF-väljare (Storage Access Framework)
Användningsfall
- Fotoredigerare: Ge endast åtkomst till specifika mappar
- Musikspelare: Åtkomst endast till din musikkatalog
- Dokumentappar: Åtkomst endast till Dokument-mappen
10. Kontaktomfång
Plats: Inställningar > Appar > [App] > Behörigheter > Kontaktomfång
Alternativ till att bevilja full kontaktåtkomst.
Så fungerar det
- Aktivera Kontaktomfång istället för att bevilja Kontakter-behörighet
- Appen tror att den har kontaktåtkomst
- Som standard ser appen en tom kontaktlista
- Lägg selektivt till specifika kontakter eller grupper
Konfiguration
- Gå till appens behörigheter
- Aktivera Kontaktomfång (bevilja inte Kontakter-behörighet)
- Lägg till specifika kontakter som appen ska se
Användningsfall
- Meddelandeappar: Dela endast kontakter du meddelar
- Sociala appar: Dela endast relevanta kontakter
- Affärsappar: Dela endast arbetskontakter
11. Användarprofiler och Privat utrymme
GrapheneOS förbättrar avsevärt Androids profilsystem.
Användarprofiler
Plats: Inställningar > System > Flera användare
GrapheneOS stöder 32 profiler (mot 4 på vanlig Android).
Nyckelfunktioner:
- Varje profil har helt separata appar, data, krypteringsnycklar
- Appar kan inte kommunicera mellan profiler
- Separata VPN-konfigurationer per profil
Skapa en profil
- Inställningar > System > Flera användare
- Tryck på “Lägg till användare”
- Konfigurera profilnamn och inställningar
Avsluta session
Stänger helt av en profil:
- Tar bort krypteringsnycklar från minnet
- Stoppar alla bakgrundsprocesser
- Återställer profilen till “viloläge”
Privat utrymme (Android 15+)
Plats: Inställningar > Säkerhet och integritet > Privat utrymme
En isolerad arbetsyta nestlad inuti valfri användarprofil.
Fördelar jämfört med arbetsprofil:
- Bättre OS-integrering
- Stärkare isolering
- Låsbar med separat autentisering
- Dold från applådan när låst
Konfiguration
- Inställningar > Säkerhet och integritet > Privat utrymme
- Ange aktuell PIN/lösenord
- Konfigurera Privat utrymme-autentisering
Nyckelbeteenden
- När låst: Appar körs inte, inga notifikationer
- Separat VPN-konfiguration möjlig
- Appar visar sköldikon i startprogrammet
- Kan installera appar direkt eller via Google Play (om installerad i Privat utrymme)Kan installera appar direkt eller via Google Play (om installerad i Privat utrymme)
Rekommendation: Använd Privat utrymme istället för arbetsprofiler som hanteras av tredjepartsappar
Notifikationsvidarebefordran
Plats: I varje profils inställningar
Vidarebefordra notifikationer från bakgrundsprofiler till aktiv profil:
- Inaktiverat som standard
- Aktivera per profil där det behövs
12. USB-C-port och Pogo-stiftkontroll
Plats: Inställningar > Säkerhet och integritet > Exploateringsskydd > USB-C-port
Lägen
| Läge | Beskrivning |
|---|---|
| Av | USB helt inaktiverat (inklusive laddning) – maximal säkerhet |
| Endast laddning | Data alltid inaktiverat, endast laddning |
| Endast laddning när låst | Data fungerar när upplåst, endast laddning när låst (STANDARD) |
| Endast laddning när låst, förutom före första upplåsning | Samma som ovan men tillåter data i BFU-tillstånd |
| På | USB alltid aktiverat |
Hur det skiljer sig från standard-Android
| Aspekt | Vanlig Android | GrapheneOS |
|---|---|---|
| Nivå | Endast programvara | Hårdvara + programvara |
| Datalinjer | OS-nivåblockering | Hårdvaruinaktiverad |
| Nya anslutningar | Tillåtet tills omkoppling | Blockeras omedelbart när låst |
| Alternativa lägen (DisplayPort) | Fungerar fortfarande | Inaktiverat när låst |
Rekommendation
- Standard (Endast laddning när låst) – Bra för de flesta användare
- Endast laddning – Om du aldrig använder USB-data
- Av – Maximal säkerhet, ladda endast när avstängd
13. Wi-Fi- och Bluetooth-integritet
Wi-Fi MAC-randomisering
Plats: Inställningar > Nätverk och internet > Wi-Fi > [Nätverk] > Integritet
GrapheneOS använder MAC-randomisering per anslutning som standard:
- Ny slumpmässig MAC för varje anslutning (inte bara per nätverk)
- DHCP-tillstånd rensas innan återanslutning
- Betydligt svårare att spåra över återanslutningar
Automatisk av Wi-Fi
Plats: Inställningar > Säkerhet och integritet > Exploateringsskydd
- Inaktiverar Wi-Fi automatiskt efter frånkoppling
- Minskar attackytan när Wi-Fi inte aktivt används
Bluetooth-integritet
- Sätt enhetsnamn till något generiskt: Inställningar > Bluetooth > Enhetsnamn
- Rekommendation: Sätt till “Enhet” eller liknande
- Aktivera automatisk avstängning av Bluetooth i Exploateringsskydd
Skanningsinställningar
Plats: Inställningar > Plats > Platstjänster
| Inställning | Rekommendation |
|---|---|
| Wi-Fi-skanning | AV |
| Bluetooth-skanning | AV |
Dessa tillåter platsspårning även när Wi-Fi/Bluetooth är “av.”
14. VPN-konfiguration
Alltid-på VPN
Plats: Inställningar > Nätverk och internet > VPN > [Din VPN] > kugghjulsikon
GrapheneOS aktiverar dessa växlar som standard:
- Alltid-på VPN
- Blockera anslutningar utan VPN
Förbättrat läckageskydd
Åtgärdar flera VPN-läckageproblem:
| Läckagetyp | Vanlig Android | GrapheneOS |
|---|---|---|
| DNS innan VPN är uppe | Kan läcka | Åtgärdat |
| DNS till VPN-server utanför tunneln | Kan läcka | Åtgärdat |
| Multicast-paket | Kan förbigå | Blockerad |
| Multicast mellan profiler | Möjligt | Blockerad |
| Gränssnittsförbigång (setsockopt) | Möjligt | Blockerad |
VPN per profil
Varje profil (användarprofil, Privat utrymme) har oberoende VPN-konfiguration:
- Kan använda olika VPN
- Kan ha olika utgångs-IP/länder
- Fullständig isolering
Privat DNS
Plats: Inställningar > Nätverk och internet > Privat DNS
Rekommendation: Använd en integritetsrespekterande DNS-leverantör:
dns.quad9.net(Quad9)- Anpassad NextDNS-konfiguration
- Eller din VPN:s DNS
Internetanslutningskontroller
Plats: Inställningar > Nätverk och internet > Internetanslutningskontroller
Alternativ:
- GrapheneOS-server (standard) – Integritetsskyddande
- Standard (Google) – För att smala in
- Av – Kan orsaka problem med captive portals
15. Sandlåde-Google Play
GrapheneOS tillåter körning av Google Play som en vanlig sandlådeapp utan speciella privilegier.
Nyckelegenskaper
- Google Play körs som vanlig app – ingen systemnivååtkomst
- Kan inte komma åt enhetsidentifierare (IMEI, etc.)
- Alla behörigheter återkallbara
- Endast tillgänglig inom profilen där den är installerad
- Platsförfrågningar omdirigeras till GrapheneOS-implementering som standard
Installation
- Öppna Appar (GrapheneOS appbutik)
- Välj Google Play-tjänster
- Installera (inkluderar automatiskt Play Butik)
- Bevilja undantag från batterioptimering för push-aviseringar
Konfiguration
Plats: Inställningar > Appar > Sandlåde-Google Play
| Inställning | Syfte |
|---|---|
| Omdirigera platsförfrågningar | Använder GrapheneOS plats istället för Googles (standard: på) |
Profilstrategi
Alternativ 1: Ägarprofil – Enklast, alla appar kan använda Play-tjänster
Alternativ 2: Separat profil – Installera Play i sekundär profil för isolering:
- Skapa sekundär användare
- Installera sandlåde-Google Play där
- Installera appar som behöver Play-tjänster där
- Håll huvudprofilen Google-fri
Vad som fungerar
- Appinstallationer och uppdateringar
- Köp i appen
- Push-aviseringar (med batteriundantag)
- Play Games-tjänster
- Play Asset/Feature Delivery
- De flesta appar som kräver Play-tjänster
Återkalla behörigheter
Du kan återkalla VILKEN behörighet som helst från Google Play-tjänster:
- Plats, Kontakter, Kamera, etc.
- Kan bryta specifik funktionalitet men appen kraschar inte
16. GrapheneOS-appar
GrapheneOS inkluderar integritets- och säkerhetsfokuserade alternativ till standardappar.
Appar (Appbutik)
GrapheneOS appförråd:
- Uppdaterar GrapheneOS-appar
- Tillhandahåller sandlåde-Google Play-installation
- Kommer distribuera härdade öppen källkod-appar i framtiden
Vanadium-webbläsare
Härdad Chromium-baserad webbläsare med:
Säkerhetsfunktioner:
- Hårdvaruminnesmtaggning (MTE)
- Typbaserad kontrollflödesintegritet (CFI)
- JavaScript JIT inaktiverat som standard (per-webbplats växling)
- Dynamisk kodkörning blockerad för icke-JIT-processer
- Strikt webbplatsisolering
Integritetsfunktioner:
- Inbyggd annons/spårningsblockering (EasyList + EasyPrivacy)
- Tredjepartskakor inaktiverade som standard
- Förbättrad tillståndspartitionering
- Reducerad user agent / klientledtrådar
- DuckDuckGo som standardsökmotor
Konfiguration:
- JIT: Inaktiverat som standard, aktivera per webbplats via adressfältsmeny
- Innehållsfiltrering: Aktiverat som standard, växla per webbplats
Auditor
Hårdvarubaserad attesteringsapp:
Syfte:
- Verifiera enhetens äkthet och integritet
- Upptäck upplåsning av bootloader eller OS-manipulering
- Övervaka för säkerhetsregressioner
Konfiguration:
- Använd en annan enhet som “Auditor”
- På enheten som ska verifieras, öppna Auditor > Auditee
- Skanna QR-kod med Auditor-enheten
- Konfigurera valfritt fjärrattestering på attestation.app
Säker kamera
Integritetsfokuserad kameraapp:
- EXIF-metadata borttaget som standard
- Platstaggar inaktiverat som standard
- Inga onödiga behörigheter
- Öppen källkod
Säker PDF-visare
Sandlåde-PDF-visare:
- Isolerad rendering
- Skydd mot skadliga PDF:er
- Nyp för att zooma, textmarkering
- Stöd för krypterade PDF:er
17. Säkerhetskopiering och kryptering
Seedvault krypterad säkerhetskopiering
Plats: Inställningar > System > Säkerhetskopiering
GrapheneOS inkluderar Seedvault för krypterade säkerhetskopior.
Funktioner:
- Änd-till-änd-kryptering
- Lokalt säkerhetskopieringsstöd
- Molnlagringsstöd (vilken leverantör som helst med lagringsapp)
Konfiguration:
- Inställningar > System > Säkerhetskopiering
- Välj säkerhetskopieringsplats
- Ställ in krypteringslösenord
- Välj appar att säkerhetskopiera
Full diskkryptering
GrapheneOS använder Androids filbaserade kryptering med förbättringar:
- 32-byte filnamnsutfyllnad (jämfört med 16 bytes)
- Krypteringsnycklar per profil
- Hårdvarustödd nyckellagring (Titan M2)
Data i vila
Före första upplåsning (BFU):
- Mesta data krypterad och otillgänglig
- Endast kritiska funktioner tillgängliga
Efter första upplåsning (AFU):
- Inloggningsuppgiftskrypterad data tillgänglig
- Automatisk omstart återställer enheten till BFU-tillstånd
18. Systemuppdateringar
Automatiska uppdateringar
Plats: Inställningar > System > Systemuppdatering
GrapheneOS tillhandahåller sömlösa automatiska uppdateringar:
- Laddar ner i bakgrunden
- Installerar utan att avbryta användning
- Automatisk återställning om uppdatering misslyckas
- A/B-partitionssystem för säkerhet
Säkerhetsförhandsversioner
Plats: Inställningar > System > Systemuppdatering > Ta emot säkerhetsförhandsversioner
Fördelar:
- Få säkerhetskorrigeringar månader före offentlig publicering
- Inkluderar för närvarande korrigeringar till och med juni 2026 ASB
- Samma stabilitet som vanliga versioner
Så fungerar det:
- GrapheneOS deltar i Androids säkerhetsembargo
- Kan leverera korrigeringar före publicering (till skillnad från standard-OS)
- Förhandsversioner ökar buildnummer med 1
Rekommendation: Aktivera för maximal säkerhet
Uppdateringsfrekvens
- Vanliga versioner: Inom dagar från Android-säkerhetsbuletinen
- Förhandsversioner: Månader före publicering
- Funktionsuppdateringar: Efter utveckling
19. Avancerade inställningar
Anslutningskontroller
Plats: Inställningar > Nätverk och internet > Internetanslutningskontroller
Styr vilken server som verifierar internetanslutning:
- GrapheneOS (standard, privat)
- Standard-Android (Google, för att smala in)
- Inaktiverad
Attesteringsprovisionering
Plats: Inställningar > Säkerhet och integritet > Mer säkerhet och integritet
Styr attesteringsnyckel-provisionering:
- GrapheneOS-proxy (standard, privat)
- Direkt (Google)
GNSS / Plats
Nätverksplats:
- GrapheneOS tillhandahåller opt-in nätverksplats
- Använder proxy till Apples tjänst (eller direkt)
- Bygger egen databas för framtida offline-stöd
SUPL (Assisterad GPS):
- Proxad genom GrapheneOS som standard
- Kan växla till operatörsstandard eller inaktivera
Urklippsintegritet
Plats: Inställningar > Säkerhet och integritet > Integritetskontroller > Visa urklippsåtkomst
Visar avisering när appar kommer åt urklippsinnehåll från andra appar.
Integritetsindikatorer
GrapheneOS aktiverar platsindikator (utöver kamera/mikrofon):
- Grön prick visas när någon app kommer åt plats
- Fungerar för alla plats-API:er (inte bara GNSS)
Varning för tillgänglighet
GE ALDRIG tillgänglighetsbehörighet om det inte är absolut nödvändigt:
- Extremt farlig behörighet
- Kan läsa allt skärminnehåll
- Kan utföra åtgärder på dina vägnar
20. Snabbreferens-checklista
Väsentliga säkerhetsinställningar
- Lås bootloader efter installation
- Starkt lösenord/PIN – 6+ siffrig PIN eller 16+ tecken lösenord
- Aktivera Blanda PIN – Inställningar > Säkerhet och integritet > Enhetslås
- Ange Tvungs-PIN/lösenord – Båda krävs
- Automatisk omstart: 8–18 timmar – Inställningar > Säkerhet och integritet > Exploateringsskydd
- USB-C: Endast laddning när låst (standard)
- Wi-Fi/Bluetooth auto-av: 10 minuter
- Aktivera VPN med låsning – Blockera anslutningar utan VPN
- Aktivera Säkerhetsförhandsversioner – Få korrigeringar tidigt
Integritetsinställningar
- Inaktivera Wi-Fi/Bluetooth-skanning – Inställningar > Plats
- Använd MAC-randomisering per anslutning (standard)
- Sätt generiskt Bluetooth-namn – “Enhet”
- Använd Privat DNS – Quad9 eller liknande
- GrapheneOS anslutningskontroller (standard)
- Granska appars nätverksbehörigheter – Neka där det inte behövs
- Aktivera Sensorer neka som standard – Inställningar > Säkerhet och integritet
Bästa praxis per app
- Neka nätverk för appar som inte behöver internet
- Neka sensorer för appar som inte behöver rörelsedata
- Använd Lagringsomfång istället för full lagråtkomst
- Använd Kontaktomfång istället för full kontaktåtkomst
- Inaktivera nativ felsökning – Inställningar > Säkerhet och integritet > Exploateringsskydd
- Granska alla behörigheter efter installation
Avancerad härdning
- Separat profil för Google Play – Isolera från huvudprofil
- Använd Privat utrymme för känsliga appar
- Aktivera Auditor fjärrattestering – attestation.app
- Inaktivera all dynamisk kodladdning för appar som inte behöver det
- Ställ in automatisk omstart till minimum tolererbar (4–8 timmar för hög säkerhet)
- Överväg USB endast laddning om du aldrig använder dataöverföring
Ytterligare resurser
- Officiell dokumentation: https://grapheneos.org
- Funktionsöversikt: https://grapheneos.org/features
- Användarguide: https://grapheneos.org/usage
- Vanliga frågor: https://grapheneos.org/faq
- Versioner: https://grapheneos.org/releases
- Diskussionsforum: https://discuss.grapheneos.org
- Community:
- Matrix: #community:grapheneos.org
- Discord: discord.com/invite/grapheneos
- Reddit: r/GrapheneOS
- X/Twitter: @GrapheneOS
- Mastodon: @GrapheneOS@grapheneos.social
- Bluesky: @grapheneos.org
Dokumentinformation:
- Guideversion: 1.2
- Senast uppdaterad: 31 januari 2026
- GrapheneOS stabil version: 2026012100 (21 januari 2026)
- GrapheneOS betaversion: 2026012800 (28 januari 2026)
- Android-bas: Android 16 QPR2 (BP4A.251205.006)
- Vanadium-webbläsare: 144.0.7559.109.0
- Enheter som stöds: Pixel 6 till Pixel 10-familjerna
GrapheneOS är under aktiv utveckling. Säkerhetsförhandsversioner tillhandahåller korrigeringar månader före offentlig publicering (för närvarande till och med juni 2026). Kontrollera officiell dokumentation på grapheneos.org för de senaste funktionerna och rekommendationerna.