Al llarg d'aquest article veureu com funciona el sandbox de Google Play a GrapheneOS, com organitzar perfils d'usuari, quines configuracions usen altres usuaris avançats, com verificar APK en diversos perfils i fins a quin punt té sentit parlar de privadesa si segueixes usant aplicacions molt dependents de Google i Meta. També en trobaràs una guia completa per entendre i utilitzar GrapheneOS amb un enfocament prà ctic i sense perdre de vista els detalls tècnics importants.
Què és GrapheneOS i per què importa de cara a la seguretat
GrapheneOS és un sistema operatiu basat en AOSP (l'Android lliure de Google) dissenyat per reforçar al mà xim la seguretat i la privadesa als mòbils Pixel. No és simplement «Android sense Google»: incorpora mitigacions a nivell de kernel, memòria i sistema que compliquen moltÃssim l‟explotació de vulnerabilitats il‟obtenció d‟accés persistent al dispositiu; a més, permet aplicar controls i consideracions sobre blobs binaris que afecten el nivell més baix del sistema.
El projecte se centra a oferir un entorn dur de rosegar per a atacants: arrencada verificada amb el xip Titan M, assignador de memòria endurit, sandbox d'apps reforçat, controls avançats de permisos, còpies de seguretat xifrades i bloqueig agressiu de vectors datac com NFC o Bluetooth quan la pantalla està apagada. Tot això se suma a un disseny minimalista: només les apps imprescindibles vénen de fà brica, sense bloatware, sense serveis de Google i amb una interfÃcie prà cticament idèntica a AOSP.
Com és utilitzar GrapheneOS en el dia a dia?
En encendre per primera vegada un Pixel amb GrapheneOS et trobes amb una experiència molt neta i gairebé espartana. La ROM inclou únicament unes poques aplicacions bà siques: Ajustaments, Arxius, Auditor, Calculadora, Calendari, Cambra, Contactes, Galeria, Missatges, Lector PDF, Rellotge, Telèfon i el navegador Vanadium, que és un Chromium reforçat a nivell de privadesa i seguretat.
La interfÃcie és bà sicament la de AOSP sense adorns ni capes extra: launcher senzill, sense fons de pantalla cridaners (per defecte, fons negre), sense ginys de tercers ni assistents ni suggeriments per iniciar sessió a Google. Aquesta absència no és casual, sinó parteix de la filosofia del projecte: tu decideixes què instal·les i quins permisos concedeixes, i és aconsellable revisar els ajustaments de privacitat des de la primera arrencada.
Instal·lar GrapheneOS en un Pixel: menys complicat del que sembla
Contrà riament al que molta gent pensa, instal·lar GrapheneOS en un Pixel compatible no exigeix ​​ser un expert flaixant ROMs. El projecte ofereix un instal·lador web oficial que sexecuta en un navegador modern i guia el procés pas a pas.
El flux està ndard consisteix en desbloquejar el bootloader del Pixel, connectar el telèfon a l'ordinador per USB i utilitzar l'instal·lador web, que s'encarrega d'enviar les imatges i les ordres necessà ries. Un cop acaba, es bloqueja de nou el bootloader per mantenir l'arrencada verificada. En uns 15-30 minuts pots tenir un Pixel recent (des de la sèrie Pixel 5 en endavant) funcionant amb GrapheneOS, aprofitant el xip de seguretat Titan M sense dependre del microprogramari oficial de Google.
Viure sense serveis de Google: botigues alternatives i ecosistema d'apps
De fà brica, GrapheneOS no inclou Play Store ni Serveis de Google Play. Si vols utilitzar només programari lliure i minimitzar el rastreig, pots estirar repositoris com F-Droid per instal·lar apps open source: Signal per a missatgeria, Bitwarden per a contrasenyes, Organic Maps per a mapes sense tracking, Nextcloud com a núvol privat, etc. També hi ha alternatives de codi obert a les apps de Google que cobreixen moltes necessitats comunes.
Per accedir a apps que només són a Google Play, molts usuaris recorren a Botiga Aurora, un client alternatiu que descarrega APK directament de Play Store, sense iniciar sessió amb el teu compte de Google. Aurora pot fer servir comptes anònims generats pel servei, encara que no sempre és tan estable ni tan còmode com la botiga oficial, i algunes aplicacions (especialment les de pagament o amb DRM exigent) poden donar problemes.
Sandbox de Google Play a GrapheneOS: què és exactament
L'enfocament distintiu de GrapheneOS és que ofereix l'opció de fer servir Google Play en mode sandbox, sense integrar-lo com a part privilegiada del sistema. En un Android convencional, Play Services i companyia s'executen com apps de sistema amb permisos especials, signades amb certificats de la pròpia plataforma i amb accés a APIs internes molt potents.
A GrapheneOS, en canvi, Google Play Services, Google Play Store i Google Services Framework s'instal·len com a apps d'usuari normals, amb el seu propi UID al rang d'aplicacions, sense signatura de sistema i sotmeses al mateix model de permisos i sandbox estricte que la resta d'apps. No tenen UID 0 (root) ni UID 1000 (sistema), i per tant no gaudeixen de privilegis de sistema ni accés directe a recursos interns.
Com funciona internament l'aïllament de Google Play
Quan instal·les els components de Google des de la App Store de GrapheneOS, cadascun obté una identitat numèrica pròpia (UID). Google Play Services i Google Services Framework comparteixen un UID d'app dins del rang d'usuari (per exemple, 10xxx), cosa que els permet comunicar-se entre si sense trencar l'aïllament general.
La Play Store té el seu propi UID independent, també dins del rang de apps normals, i està signada amb els certificats de Google, no amb els del sistema GrapheneOS. Això garanteix que, encara que siguin oficials de Google, no es puguin fer passar per components del sistema. A més, en termes de SELinux, no s'executen amb contextos privilegiats com a «platform:privapp», sinó amb contextos està ndard d'aplicació (per exemple, «default:targetSdkVersion=34:complet»), cosa que reforça la idea que només són apps més dins del sandbox.
Capa de compatibilitat: que tot funcioni sense donar superpoders
Perquè les apps que depenen de Google Play funcionin correctament, GrapheneOS inclou una capa de compatibilitat especÃfica. Aquesta capa no concedeix permisos extra als serveis de Google, sinó que adapta el sistema perquè Google Play pugui operar dins de les restriccions normals una app sense privilegis.
Grà cies a aquesta compatibilitat, la majoria d'aplicacions que esperen trobar Play Services (banca, missatgeria, xarxes socials, apps de pagament amb DRM) funcionen com si estiguessin en un Android clà ssic, encara que en realitat els serveis de Google estiguin fortament limitats. Continuen sense tenir UID ni signatura de sistema, però les API que necessiten s'exposen de manera controlada per no trencar l'experiència d'usuari.
Dilema prà ctic: té sentit utilitzar GrapheneOS si seguiré amb Gmail i WhatsApp?
Un dubte molt habitual és si utilitzar GrapheneOS perd sentit quan les teves apps principals són Gmail, WhatsApp, Instagram, etc.. És veritat que aquestes aplicacions suposen una exposició considerable de dades cap a Google i Meta, però això no vol dir que instal·lar GrapheneOS sigui inútil en aquest context, i convé valorar si val la pena instal·lar GrapheneOS al mòbil segons les prioritats.
El que canvia és la superfÃcie d'atac i el nivell de control sobre el dispositiu. Fins i tot si uses Gmail i WhatsApp en un entorn GrapheneOS, la resta del sistema segueix reforçat: millors mitigacions contra exploits, permisos molt més afinats, arrencada verificada, aïllament entre perfils, possibilitat de denegar accés a sensors, bloqueig de xarxa a certes apps, etc. No elimines la telemetria d'aquestes apps, però sà que limites moltÃssim el que poden veure i fer de portes endins.
Perfils d'usuari: la peça clau per compartir la teva vida digital
Una de les funcions més potents de GrapheneOS és l'ús de perfils d'usuari completament aïllats. Cada perfil té un espai propi d'apps i dades, de manera que una app instal·lada en un perfil no existeix ni veu res als altres. Això és vital quan vols tancar Google i apps poc fiables en el seu propi corral; a més, és una forma efectiva de fer servir el mòbil sense compte de Google al perfil principal.
Una configuració tÃpica recomanada per usuaris avançats seria com: perfil principal (Owner) net, sense Google, amb les teves apps més sensibles (banca, missatgeria principal, treball); un perfil secundari «Google» amb els Serveis de Google Play a sandbox i les apps que en depenen; i, opcionalment, perfils extra per a usos molt concrets (proves, apps experimentals, etc.). Aquesta estructura redueix la possibilitat de barrejar dades sensibles amb aplicacions molt agressives quant a rastreig.
Configuracions reals d'usuaris de GrapheneOS
Alguns usuaris comparteixen setups molt detallats que il·lustren com treure partit al sistema. Un esquema força extrem, però molt instructiu, inclou utilitzar el perfil Owner com a «perfil d'administració» i perfils secundaris per a ús diari.
En aquest enfocament, el perfil de propietari encamina tot el trà nsit a través d'Orbot (Tor), té instal·lada la Google Play Store amb una compte anònim creat sense número de telèfon, utilitza botigues alternatives com Obtainium i Accrescent per obtenir apps directament dels desenvolupadors, verifica totes les aplicacions amb eines tipus App Verifier i, un cop instal·lades i revisades, les deshabilita a l'Owner i les empeny a altres perfils d'usuari per al seu ús quotidià .
Després es creen perfils separats segons el nivell de confiança a les apps: un dedicat a programari de codi obert i respectuós amb la privadesa, amb el trà nsit tunelitzat per MullvadVPN, i un altre perfil per a aplicacions menys fiables (banca, WhatsApp, etc.), també sota VPN. Lobjectiu daquesta compartimentació agressiva és que una app problemà tica en un perfil no pugui accedir a dades ni apps d'un altre, una estratègia útil per mitigar amenaces com el spyware que apunta a Android.
És perillós tenir WhatsApp al costat del gestor de contrasenyes i el correu?
Una de les preguntes que sorgeixen amb aquest tipus de configuracions és si convé tenir WhatsApp al mateix perfil que el gestor de contrasenyes o el correu electrònic. Des del punt de vista de seguretat dura, seria ideal separar-los: com a mÃnim comparteixin espai, millor. No obstant això, el sistema de permisos i sandbox de GrapheneOS limita força el que WhatsApp pot fer si gestiones bé els permisos.
El risc principal no és que WhatsApp llegeixi directament la teva base de dades de contrasenyes (no pot), sinó tot el que comparteixes amb aquesta app i les metadades associades: contactes, patrons d'ús, còpia de seguretat al núvol (que a més a GrapheneOS perd la integració amb Google Drive), etc. Tot i aixÃ, compartir perfil amb un password manager o una app de correu no implica un desastre automà tic; simplement, si vols un nivell d'aïllament mà xim, el més prudent és fer servir perfils separats per a missatgeria generalista i per a tasques molt sensibles.
Telèfon i SMS en perfils «no fiables»: què cal tenir en compte
Un altre punt delicat és activar trucades i SMS en perfils considerats menys fiables, com el que acull apps de banca i WhatsApp. Mentre tinguis el control de permisos i mantinguis el sistema al dia, no és un forat catastròfic, però sà que amplia superfÃcie d'atac: un SMS maliciós, phishing per trucada o enllaços rebuts via missatgeria es gestionen des d'aquest perfil.
Si el vostre model d'amenaça és alt (per exemple, maneig d'informació molt sensible o riscos d'espionatge dirigits), podeu optar per restringir SMS i telefonia a un perfil dús restringit i minimitzar el que instal·les allà . Per a la majoria d'usuaris avançats, només cal utilitzar el sentit comú, revisar permisos i evitar instal·lar escombraries al perfil on reps comunicacions crÃtiques.
Verificació d'APK i apps quan hi ha diversos usuaris
GrapheneOS ofereix mecanismes per verificar la integritat del sistema i de les apps, però quan empres diversos perfils sorgeix la qüestió de com auditar-ho tot. És important entendre que cada usuari té la seva pròpia instà ncia de les aplicacions: si instal·les la mateixa app en dos perfils, internament es consideren instal·lacions separades, cadascuna amb les seves dades i configuració.
Per verificar què hi ha instal·lat i la seva legitimitat, pots fer servir el gestor d'aplicacions de cada perfil, revisant permisos i detalls. Usuaris més tècnics recorren a eines com App Manager (en entorns d'anà lisi amb root temporal, per exemple KernelSU) per a inspeccionar firmes, UIDs i contextos SELinux de totes les apps. En anà lisis reals s'ha comprovat que les apps de Google a sandbox estan signades per Google Inc. amb els seus certificats habituals, i que els certificats de sistema de GrapheneOS són independents, ratificant que Google Play no s'executa com a component de sistema.
Instal·lar i configurar el sandbox de Google Play pas a pas
Si necessites Play Store per les apps de banca, feina o certes compres de pagament, pots instal·lar el sandbox de Google Play en un perfil especÃfic seguint una seqüència raonable per evitar problemes.
1. Crear un perfil d'usuari dedicat a Google
Des de Parà metres > Sistema > Múltiples usuaris, pots afegir un nou usuari amb nom descriptiu, per exemple Google o Play. En arrencar-lo per primer cop passaràs per un petit assistent de configuració. La recomanació és que mantinguis aquest perfil el més minimalista possible: només les apps que de debò requereixen Play Services, sense replicar tot el teu ecosistema del perfil principal.
2. Instal·lar els components de Google des de l'App Store de GrapheneOS
En aquest perfil, obre la App Store integrada de GrapheneOS i localitza els components: Google Play Services, Google Services Framework i Google Play Store. El més assenyat és instal·lar-los en aquest ordre per evitar errors de dependències internes. Després de cada instal·lació, revisa amb calma els permisos sol·licitats i decideix què concediràs i què denegaràs des del primer moment.
3. Ajustar permisos, sensors i activitat en segon pla
Un dels avantatges del sandbox és que pots ser força dur amb els permisos: negar accés permanent a la ubicació i concedir-ho només quan una app concreta ho necessiti, revocar accés a contactes si no és imprescindible, bloquejar micròfon i cà mera quan no es fan servir, etc. A més, GrapheneOS permet controlar l'activitat en segon pla i accedir a la xarxa app per app, cosa que redueix tant telemetria innecessà ria com consum de bateria.
4. Triar o crear el compte de Google que utilitzarà s
Si la teva prioritat és la privadesa, molts usuaris recomanen utilitzar un compte de Google separat i poc vinculat a la teva identitat principal. Una prà ctica habitual és crear-la sota VPN, amb un número de telèfon secundari (quan cal) i, si es faran compres, targetes virtuals o prepagament segons ho permetin les condicions de cada proveïdor. Per això és útil saber com quan sigui possible.
Un cop tinguis el compte, inicia sessió a Play Store només dins del perfil «Google». Totes les compres, subscripcions i llicències quedaran associades a aquest compte ia aquest perfil concret. La resta de perfils ni tan sols sabrà que aquest compte existeix, cosa que contribueix a contenir l'exposició de dades.
Ús real del sandbox: apps de pagament, notificacions i compatibilitat
A la prà ctica, molts usuaris de GrapheneOS només necessiten Google Play per a unes poques apps de pagament o molt concretes que no troben a F-Droid o com a APK directes. Parlem, per exemple, de reproductors multimèdia molt polits, clients especÃfics per a Jellyfin, apps professionals amb llicenciament de Play, etc.
El flux tÃpic és arrencar el perfil Google només quan s'instal·laran o s'actualitzaran apps, mantenir aquà exclusivament les aplicacions que depenen de Play Services i configurar les actualitzacions automà tiques amb compte. D'aquesta manera, es redueix al mÃnim el temps durant el qual els serveis de Google estan actius al dispositiu, i es controla millor quins canvis de versió entren en joc.
Pel que fa a compatibilitat, la majoria d'apps que usen Firebase Cloud Messaging (FCM) per a notificacions push segueixen funcionant correctament dins del sandbox, grà cies a la capa de compatibilitat de GrapheneOS. Això sÃ, si ets massa agressiu tallant permisos, bloquejant xarxa o matant processos en segon pla, és possible que algunes notificacions arribin amb retard o fallin en casos extrems.
Comparativa amb altres ROMs centrades en privadesa
Dins el panorama de ROMs Android, GrapheneOS se situa a l'extrem de mà xima seguretat i enduriment. Altres alternatives, com CalyxOS, LineageOS o /e/OS, ofereixen diferents equilibris entre privadesa, compatibilitat de dispositius i facilitat d'ús.
CalyxOS també se centra en la privadesa, funciona a Pixel i alguns dispositius addicionals i sol incloure microG per emular part dels serveis de Google amb menys exposició. LineageOS, per la seva banda, és molt més flexible en compatibilitat de maquinari, però no arriba al nivell d'enduriment de GrapheneOS. /e/OS aposta pel seu propi ecosistema de serveis al núvol i una experiència més amigable per a l'usuari final, sacrificant algunes capes de seguretat avançades a favor de comoditat; una altra alternativa amb enfocament en la intimitat és Volla US.
Limitacions, friccions i tipus d'usuari a qui va dirigit
No tot són avantatges: GrapheneOS només suporta oficialment dispositius Pixel, aixà que si el teu equip utilitza altres marques hauràs de plantejar migrar o buscar una altra ROM. A més, algunes apps amb DRM o validacions d'integritat molt estrictes (certes apps bancà ries, serveis de streaming en HD, eines corporatives) poden no funcionar, encara que la compatibilitat millora amb el temps.
També hi ha una curva de l'aprenentatge inicial: entendre perfils, gestionar permisos al detall, acostumar-te a botigues alternatives i assumir que l'experiència no és tan «endollar i llest» com a Android stock o iOS. El suport es basa principalment en la comunitat, documentació i fòrums tècnics, cosa que pot ser un handicap per a qui no estigui disposat a trastejar una mica.
Al final, GrapheneOS encaixa millor amb usuaris i equips que valoren la privadesa i la seguretat com a prioritat estratègica, que volen controlar de debò què fa el seu mòbil i que estan disposats a acceptar alguna fricció i certes renúncies. Fins i tot si segueixes usant Gmail, WhatsApp o Instagram, poder encapsular-los en un sandbox amb permisos retallats, separat en perfils i recolzat en un sistema endurit, marca una diferència real davant d'un Android està ndard o un iOS configurat per defecte. Comparteix la informació perquè més usuaris coneguin del tema.