看板 MobileComm作者 ivon852 (內容農場殺手)標題 [心得] Pixel手機刷GrapheneOS日用時間 Thu Dec 25 00:44:58 2025
最近用一張櫻花鉤吻鮭買到了一支Pixel 6a。
查詢新聞才發現用久了電池會
爆炸自燃,害得我還得花一筆錢換電池。買二手機我不好意
思去凹官方補償金。
鑑於Pixel開放的特性,有很多刷機資源可以選擇。
其中一個是最近幾年出現的特別的ROM:GrapheneOS,中文翻譯稱作石墨烯
https://i.meee.com.tw/yvt0gz8.jpg
有別於其他Android ROM強調自訂性與炫砲界面,GrapheneOS注重的是極端安全性與隱私
保護,讓Android成為比iPhone還堅固的系統,讓外人難以破解。在外國,GrapheneOS曾
經一度被當成毒販在用的系統。
我最早是看到好和弦(Wiwi)在使用這個系統,也跟有興趣了起來。
分享一下我是如何操作這個系統的。
系統外觀
先講比較重要的使用體驗,再來講技術層面的東西。
外觀沒什麼好說的,這不是這系統的強項。
如果你想玩自訂系統,那就改刷Evolution X、crDroid、DerpFest這類的,他們還保留了
以前Resurrection Remix時代的自訂程度。
GrapheneOS安裝後是一片烏趖趖,連瑪奇亞米都沒辦法照顧。界面幾乎照搬Pixel,只是
沒有了Google服務。
https://i.meee.com.tw/bNhbL6u.jpg
所幸,GrapheneOS還是支援Material Expressive的桌布染色系統的。
https://i.meee.com.tw/mgGEv0x.jpg
由於GrapheneOS追上游更新追得很勤,每週都有更新,使用上與原廠Pixel沒有太大分別
,只要不是依賴Google服務(例如畫圈搜尋、聽聲辨曲、快速分享、數位健康)的功能依
然都可以使用,包括最新加入的Linux終端機。
流暢度沒有差異,5G
發熱程度也沒有差異(汗)。最近被急了的客服打電話,強迫升級5G
,非常不爽。我大部分時候是自主降級成4G,Tensor就不會燙起來了。
關於刷GraphaeneOS之後,Pixel 6a的續航有沒有特別好,我持保留態度。這要看你的使
用習慣,這裡我的Pixel 6a可以撐12個小時。若將GMS背景全暫停可以多一點續航力。
https://i.meee.com.tw/9vsvVIM.jpg
給在意Gcam的用戶:你還是可以安裝Pixel相機,或者試試GrapheneOS的Secure Camera相
機,這是團隊自行開發的,使用CameraX extensions提供夜拍模式。不是LineageOS那種
AOSP最原生的相機。
我覺得拍起來不輸Pixel原廠相機啦,下面左邊GrapheneOS,右邊Pixel。當然功能比GCam
少,沒有取景提示,也沒有天文模式。
https://i.meee.com.tw/HaVlEuh.jpg
GrapheneOS系統需求
鑑於GrapheneOS開發者對系統廠商更新的嚴格要求,他們「目前」只支援Pixel手機,不
若LineageOS包山包海。未來GrapheneOS團隊可能會跟某國際大廠合作出符合他們期望的
手機。有人猜是OnePlus,也有可能是Sony。
支援Pixel 4 ~ Pixel 10的全部型號,能解鎖Bootloader的都可以刷。每月都有安全性更
新。只要Google不放棄更新,GrapheneOS就不會放棄!
https://i.meee.com.tw/DPb0rzk.jpg
GrapheneOS比較特別的地方在於,刷機之後Bootloader是可以回鎖的,這代表Android
TEE能運作,增加了安全性。GrapheneOS不鼓勵使用者Root,甚至擋LSposed的Zygisk執行
,維持系統安全性。
即使如此,Play Intergirty等級方面還是不給過,只有基本的MEETS_DEVICE_INTEGRITY
不能達到最高等級MEET_STRONG_INTEGRITY。這樣的話很多行動支付APP會不給使用。
但GrapheneOS明明有實作Android TEE呀?GrapheneOS開發團隊直斥Play Integrity是一
個充滿謊言的系統。聽說開發團隊正打算跟歐盟合作,告發Google,逼他們開放第三方的
硬體加密方案參與Play Intergirty的認證工作。
GrapheneOS現在會在APP嘗試使用Play Integrity認證的時候,叫你去靠北他們開發者
www 順帶一提,我是真的不知道為什麼會有某個B開頭的PTT Android客戶端要人強制用
Play Integrity才給下載?
https://i.meee.com.tw/6gP3umC.jpg
GrapheneOS特色功能
GrapheneOS官網有詳盡解釋。很多都是針對系統底層的修改,一般使用者可能較難以察覺
。
我這邊講簡略一些。
- 強化Android的權限系統,例如禁止APP內的WebView啟用JIT、禁止APP上網、禁止存取
感測器、啟用Hardened malloc保護記憶體、用Storage Scope限制APP能夠看到哪些檔案
(即使它要求存取全部檔案)、用Contact Scope限制APP讀取的聯絡人列表
- 截圖與拍照之後,會自動清除任何有關手機硬體的資訊,防止EXIF被用於社會工程
- 搭載自家開發的Vanadium瀏覽器與WebView,預設停用JavaScript JIT,提供擋廣告功
能
- 系統去Google化,沒有Google全家桶,需要自行安裝。
- 去除Android系統所有依賴Google伺服器的服務,例如時間同步、GNSS、LTE SUPL、連
線能力確認,換成自家的代理伺服器
- 連上Wifi的時候使用隨機MAC位址
- 預設停用掃描附近Wifi裝置(改善定位精確度)的功能。
- 超過18小時不解鎖的話就自動重開機,強制讓裝置進入BFU狀態,更難以被破解
- 定時自動關閉Wifi與藍牙
- 限制連接埠的存取權限,設定充電時只能充電,不可傳輸資料
- Duress PIN,
自爆按鈕,在緊急的情況下,輸入特定的密碼後自動清除手機資料
其中一個我比較感興趣的是他們對GApps的處理方式。
把GApps藏起來
好想把你藏起來 藏在胸前的口袋
把妳暖暖地融化 妳就再也離不開
https://www.youtube.com/watch?v=hlzRmISZVLY
雖說是degoogle的系統,總還是有用到Google服務的時候。
不然我們光靠F-Droid上的開源APP是活不下去的。
GrapheneOS開發團隊在內建的App Store提供名為GMSCompat的技術,隔離GApps服務,將
GMS權限降級成跟一般APP沒兩樣的玩意,Play商店下載APP甚至你變成要手動點選同意。
讓GMS在你的系統上成為可有可無的存在。不爽就讓它禁止活動,甚至可以解除安裝。
https://i.meee.com.tw/bHCmX4H.jpg
這是什麼概念呢?要知道,一般LineageOS這類第三方ROM基於授權因素不會內建GApps,
要使用者自己用Recovery刷。這個時候是請神容易送神難的。GApps一旦安裝後,就會取
得系統許多敏感的權限。你還不能趕它走,除非重刷系統。
於是,你就只能在完全不裝GApps與安裝GApps之間做抉擇。
GMSCompat巧妙的緩解了這個問題。它讓你我們能使用GApps,卻不會被申請過多不必要的
權限。並且GApps是能夠隨時解除安裝的,你不必被GApps綁架。
這樣操作上有點類似華為手機在用的GBox,卻又不用受到專有軟體黑箱掣肘。
---
為了確保更高安全性,我還會搭配私人空間、工作設定檔(需透過Shelter App觸發)、多
重使用者等手段,進一步隔離GApps的存在。
Shelter是一個不錯用的APP雙開軟體。
https://reurl.cc/ORz19A
例如,我可以只在工作設定檔安裝GApps,主設定檔不裝GApps,只使用F-Droid下載的自
由軟體。
https://i.meee.com.tw/taP0q2i.jpg
然後不用的時候一鍵將工作設定檔全部「暫停」,完全禁止GApps在背景執行!達成一種
半degoogle的狀態。
https://i.meee.com.tw/GxDGq5B.jpg
那麼要如何安裝GrapheneOS
請注意,刷機會清空手機資料。
很簡單,你只要在手機開發人員選項開啟允許OEM解鎖。
把手機接到電腦。
然後用Chrome造訪官網,用他們提供的安裝器,按一按會自動解鎖Bootloader,並刷入系
統。
https://grapheneos.org/install/web
反悔的話就下載Google原廠映像檔,用Android Flash Tool刷回去。
https://developers.google.com/android/images?hl=zh-tw
--
原創梗圖系列
https://i.imgur.com/Y10Cw4n.jpg https://i.imgur.com/FqRAWTs.jpg
https://i.imgur.com/Y1pYVqm.png https://i.imgur.com/UKvi40X.png
https://i.imgur.com/55uARuQ.jpg https://i.imgur.com/QGYgykj.jpg
https://i.imgur.com/4eKxMDt.jpg https://i.meee.com.tw/bbtvaYW.jpg
https://i.meee.com.tw/B4G0d5s.jpg
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.39.81.214 (臺灣)
※ 作者: ivon852 2025-12-25 00:44:58
※ 文章代碼(AID): #1fJ1YTn7 (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1766594717.A.C47.html
推 ziggs8308: 之前有研究過想玩 後來還是覺得google服務太好用
已經變成google的形狀了放棄抵抗 反正他蒐集頂多賣我廣告 至少不是蒐集我思想.言論想把我抓去警局1F 12/25 01:01
少了GMS統一推送機制,又亂裝APP的話,就會變成中國機那樣群魔亂舞
推 aotom: 居然不支援Pixel 3嗎?QQ10F 12/25 03:27
也許有舊build,但沒更新了
推 jansan: 感謝分享 希望之後中國手機也能安裝13F 12/25 08:16
推 xoy: 等新備機決定了,想過把舊備機Pixel 4拿來玩這個14F 12/25 08:26
推 hsupeter92: 它是不支持 root 不過你講得沒說服力
Magisk 在上面 XD15F 12/25 09:30
推 APC: 有趣的系統17F 12/25 09:31
推 HtFarSeer: 請問有試著使用NFC付款嗎?像Google pay之類的18F 12/25 10:06
Google Pay有通過MEET_STRONG依然很難給你通過
推 RieX: 8樓的無邏輯式精神勝利法真是令人羡慕19F 12/25 10:10
推 suifong: 沒有估狗服務,行動支付不用真的很不方便,不然想跳回安卓了21F 12/25 10:51
推 lolicat: 有趣 不過不能行動支付等於平常沒用 拿來當冷錢包好像很好 難怪會被拿去做交易w25F 12/25 11:23
推 higger: google服務才是至少值5000...27F 12/25 11:27
其實很多Pixel Drop的功能都被PixelOS這類第三方ROM幹走了
→ tomsawyer: 有實作TEE不代表你的環境是安全的
基本上你google pay是用不了29F 12/25 11:47
對,這就是完全Google說了算的問題所在。應該要有其他同等安全機制的後端可以選用。
推 cliff2001: 推原PO,我在他的網站學了很多linux XD32F 12/25 13:55
※ 編輯: ivon852 (114.39.81.214 臺灣), 12/25/2025 15:47:03
推 EPika: 優文推34F 12/25 15:57
→ empingao: 私人空間, 2th profile(不與存取 sim), 或 island, Shelter 在現今太多侷限性. 先不論 nfc 交易,
尤其 bank app, 會過度調用倚存 Google.36F 12/25 17:23
推 ziggs8308: 32樓講才發現 玩linux後原po網站常常在逛XD39F 12/25 17:35
推 psion: 推個! 不過不是可以走RMA換新的嗎?41F 12/25 19:50
→ pttSouthjin: p6p裝過,p8p回原廠root解開Android auto車機功能,ETH更新Fusaka後跟手機安全晶片相容,可能試當冷錢包44F 12/25 23:15
推 john371911: 在方便跟隱私權衡下,我目前還是比較偏方便。支持他們告估狗,之後如果能過完整性驗證,比較好用可能就能刷了☺48F 12/26 09:50
→ nekoares: 之前看一篇新聞 在國外Pixel+GrapheneOS就會直接被懷疑是毒販了XD 有沒有這麼誇張51F 12/26 09:59
--