GrapheneOS 通过 ARM MTE 发现了蓝牙内存破坏

GrapheneOS 安全模型和硬件要求

  • 许多评论者认为 GrapheneOS(GOS)比其他基于 Android 的系统安全得多,主要归功于硬件支持的功能(MTE、PAC、BTI、强认证等)。
  • 目前只有 Pixel 设备满足 GOS 公开的硬件和更新要求;据说其他 Android OEM 缺少关键功能,或对替代操作系统缺乏适当支持。
  • GOS 维护者一再强调,他们的工作主要是通过更强的安全性来提升隐私,而不只是为了“安全本身而安全”。
  • 他们认为,在较弱硬件上移植类似“GrapheneOS Minus”的版本大多只会降低安全性,尤其是在解锁会禁用或永久降级硬件保护的设备上。

支持窗口和延长支持

  • GOS 的支持周期与厂商支持窗口保持一致,并且有时会为生命周期结束(EOL)的 Pixel 提供 1–2 年“延长支持”,但会明确将这些构建标记为不安全,并尽量劝阻长期使用。
  • 一些用户基于电子垃圾和可负担性的考虑支持延长支持;GOS 回应说,为较贫困用户提供不安全设备是一个严重问题,而新款 Pixel 提供 5–7 年支持在未来大体上解决了这个问题。

GrapheneOS 与其他第三方 ROM(CalyxOS、Lineage 等)

  • 若干评论将 GOS 与 CalyxOS 和其他 ROM 进行对比:
    • GOS 被描述为一个经过加固的操作系统,具有大量缓解措施(hardened_malloc、MTE 集成、强 SELinux、严格的 verified boot、应用级权限)。
    • 一些人批评 CalyxOS 增加了攻击面、回退了安全性、补丁更慢,并依赖 microG。
  • GOS 声称通过 Contact/Storage Scopes、按应用网络/传感器切换,以及按连接的 MAC 随机化等功能,能提供比这些 ROM 更好的隐私。

MTE(Memory Tagging Extension)和漏洞缓解

  • 讨论集中在 GOS 在 Pixel 8 设备上使用 ARM MTE 来检测蓝牙内存破坏漏洞。
  • GOS 使用带有更强标记策略和面向用户的崩溃报告的自定义 MTE 支持分配器;它还修复了 Chromium 的 MTE 集成。
  • Pixel 原生系统将 MTE 作为开发者选项提供,但据 GOS 所说,出于性能、内存和兼容性考虑,并未在生产环境中广泛启用。
  • 关于 Google 是否至少应为基础操作系统和 Google 应用启用低开销的“async” MTE 存在争论;GOS 强烈支持这样做,而其他人则强调生态系统和回归风险。

易用性、安装和应用兼容性

  • 许多人表示,使用网页版安装器安装非常简单,只需要受支持的浏览器和 USB 线。
  • 作为日常使用系统,GOS 通常被描述为稳定且“像原生 Android”,尤其是在使用沙盒化 Google Play 时。
  • 主要功能痛点:
    • 由于 Google 不会为非原生系统做认证,Google Pay NFC 支付会被阻止。
    • 一些银行、主题公园和 DRM 应用可能会因为 Play Integrity 检查或应用列表配置错误而失效。
    • 不提供 root;GOS 出于安全原因积极劝阻 root。

iOS、安全性和隐私比较

  • 一些评论指出,搭载原生系统的现代 Pixel 和 iOS 具有相近的高安全性。
  • GOS 通过额外控制旨在在隐私方面超越两者,同时也承认 iOS 在少数领域仍然更好。
  • Apple 的 Lockdown Mode 被描述为主要是在减少 Apple 服务的攻击面,而这些服务在 GOS 设备上大多并不存在。