最近用一张樱花钩吻鲑买到了一支Pixel 6a。
查询新闻才发现用久了电池会爆炸自燃，害得我还得花一笔钱换电池。买二手机我不好意
思去凹官方补偿金。
鉴于Pixel开放的特性，有很多刷机资源可以选择。
其中一个是最近几年出现的特别的ROM：GrapheneOS，中文翻译称作石墨烯
https://i.meee.com.tw/yvt0gz8.jpg
有别于其他Android ROM强调自订性与炫砲界面，GrapheneOS注重的是极端安全性与隐私
保护，让Android成为比iPhone还坚固的系统，让外人难以破解。在外国，GrapheneOS曾
经一度被当成毒贩在用的系统。
我最早是看到好和弦(Wiwi)在使用这个系统，也跟有兴趣了起来。
分享一下我是如何操作这个系统的。
系统外观
先讲比较重要的使用体验，再来讲技术层面的东西。
外观没什么好说的，这不是这系统的强项。
如果你想玩自订系统，那就改刷Evolution X、crDroid、DerpFest这类的，他们还保留了
以前Resurrection Remix时代的自订程度。
GrapheneOS安装后是一片乌趖趖，连玛奇亚米都没办法照顾。界面几乎照搬Pixel，只是
没有了Google服务。
https://i.meee.com.tw/bNhbL6u.jpg
所幸，GrapheneOS还是支援Material Expressive的桌布染色系统的。
https://i.meee.com.tw/mgGEv0x.jpg
由于GrapheneOS追上游更新追得很勤，每周都有更新，使用上与原厂Pixel没有太大分别
，只要不是依赖Google服务（例如画圈搜寻、听声辨曲、快速分享、数位健康）的功能依
然都可以使用，包括最新加入的Linux终端机。
流畅度没有差异，5G发热程度也没有差异（汗）。最近被急了的客服打电话，强迫升级5G
，非常不爽。我大部分时候是自主降级成4G，Tensor就不会烫起来了。
关于刷GraphaeneOS之后，Pixel 6a的续航有没有特别好，我持保留态度。这要看你的使
用习惯，这里我的Pixel 6a可以撑12个小时。若将GMS背景全暂停可以多一点续航力。
https://i.meee.com.tw/9vsvVIM.jpg
给在意Gcam的用户：你还是可以安装Pixel相机，或者试试GrapheneOS的Secure Camera相
机，这是团队自行开发的，使用CameraX extensions提供夜拍模式。不是LineageOS那种
AOSP最原生的相机。
我觉得拍起来不输Pixel原厂相机啦，下面左边GrapheneOS，右边Pixel。当然功能比GCam
少，没有取景提示，也没有天文模式。
https://i.meee.com.tw/HaVlEuh.jpg
GrapheneOS系统需求
鉴于GrapheneOS开发者对系统厂商更新的严格要求，他们“目前”只支援Pixel手机，不
若LineageOS包山包海。未来GrapheneOS团队可能会跟某国际大厂合作出符合他们期望的
手机。有人猜是OnePlus，也有可能是Sony。
支援Pixel 4 ~ Pixel 10的全部型号，能解锁Bootloader的都可以刷。每月都有安全性更
新。只要Google不放弃更新，GrapheneOS就不会放弃！
https://i.meee.com.tw/DPb0rzk.jpg
GrapheneOS比较特别的地方在于，刷机之后Bootloader是可以回锁的，这代表Android
TEE能运作，增加了安全性。GrapheneOS不鼓励使用者Root，甚至挡LSposed的Zygisk执行
，维持系统安全性。
即使如此，Play Intergirty等级方面还是不给过，只有基本的MEETS_DEVICE_INTEGRITY
不能达到最高等级MEET_STRONG_INTEGRITY。这样的话很多行动支付APP会不给使用。
但GrapheneOS明明有实作Android TEE呀？GrapheneOS开发团队直斥Play Integrity是一
个充满谎言的系统。听说开发团队正打算跟欧盟合作，告发Google，逼他们开放第三方的
硬件加密方案参与Play Intergirty的认证工作。
GrapheneOS现在会在APP尝试使用Play Integrity认证的时候，叫你去靠北他们开发者
www 顺带一提，我是真的不知道为什么会有某个B开头的PTT Android客户端要人强制用
Play Integrity才给下载？
https://i.meee.com.tw/6gP3umC.jpg
GrapheneOS特色功能
GrapheneOS官网有详尽解释。很多都是针对系统底层的修改，一般使用者可能较难以察觉
。
我这边讲简略一些。
- 强化Android的权限系统，例如禁止APP内的WebView启用JIT、禁止APP上网、禁止存取
传感器、启用Hardened malloc保护内存、用Storage Scope限制APP能够看到哪些档案
（即使它要求存取全部档案）、用Contact Scope限制APP读取的联络人列表
- 截图与拍照之后，会自动清除任何有关手机硬件的资讯，防止EXIF被用于社会工程
- 搭载自家开发的Vanadium浏览器与WebView，默认停用JavaScript JIT，提供挡广告功
能
- 系统去Google化，没有Google全家桶，需要自行安装。
- 去除Android系统所有依赖Google服务器的服务，例如时间同步、GNSS、LTE SUPL、连
线能力确认，换成自家的代理服务器
- 连上Wifi的时候使用随机MAC位址
- 默认停用扫描附近Wifi装置（改善定位精确度）的功能。
- 超过18小时不解锁的话就自动重开机，强制让装置进入BFU状态，更难以被破解
- 定时自动关闭Wifi与蓝牙
- 限制连接埠的存取权限，设定充电时只能充电，不可传输资料
- Duress PIN，自爆按钮，在紧急的情况下，输入特定的密码后自动清除手机资料
其中一个我比较感兴趣的是他们对GApps的处理方式。
把GApps藏起来
好想把你藏起来　藏在胸前的口袋
把妳暖暖地融化　妳就再也离不开
https://www.youtube.com/watch?v=hlzRmISZVLY
虽说是degoogle的系统，总还是有用到Google服务的时候。
不然我们光靠F-Droid上的开源APP是活不下去的。
GrapheneOS开发团队在内建的App Store提供名为GMSCompat的技术，隔离GApps服务，将
GMS权限降级成跟一般APP没两样的玩意，Play商店下载APP甚至你变成要手动点选同意。
让GMS在你的系统上成为可有可无的存在。不爽就让它禁止活动，甚至可以解除安装。
https://i.meee.com.tw/bHCmX4H.jpg
这是什么概念呢？要知道，一般LineageOS这类第三方ROM基于授权因素不会内建GApps，
要使用者自己用Recovery刷。这个时候是请神容易送神难的。GApps一旦安装后，就会取
得系统许多敏感的权限。你还不能赶它走，除非重刷系统。
于是，你就只能在完全不装GApps与安装GApps之间做抉择。
GMSCompat巧妙的缓解了这个问题。它让你我们能使用GApps，却不会被申请过多不必要的
权限。并且GApps是能够随时解除安装的，你不必被GApps绑架。
这样操作上有点类似华为手机在用的GBox，却又不用受到专有软件黑箱掣肘。

想知道原po网站0.0