Ogni telefono Android che esce dalla fabbrica contiene un componente che non è un’app come le altre. Si chiama Google Play Services e, a differenza di qualsiasi applicazione scaricata dall’utente, opera a livello di sistema con privilegi che lo rendono invisibile al normale modello di permessi.
Può raccogliere l’IMEI, il codice numerico che identifica in modo univoco ogni telefono, riattivare autonomamente permessi che l’utente ha disattivato, e catalogare informazioni di posizione anche a GPS spento, trasmettendole ai server di Google non appena la connessione viene ristabilita. Tutto confluisce nell’infrastruttura pubblicitaria di Google, che utilizza quei dati per costruire profili comportamentali dettagliati su cui si regge il suo intero modello di business.
GrapheneOS nasce dalla constatazione che un problema radicato nel sistema operativo non si risolve aggiungendo strati sopra quel sistema. Non basta una VPN o un browser alternativo se le fondamenta stesse lavorano contro di te. GrapheneOS è un sistema operativo per smartphone costruito sulla stessa base di codice aperto su cui Google costruisce la versione commerciale di Android, ma con un principio opposto: invece di raccogliere dati per conto del produttore, impedisce strutturalmente che quella raccolta avvenga.
Indice degli argomenti
Il paradosso dei Pixel
GrapheneOS funziona su una sola famiglia di dispositivi, i Google Pixel, la linea di smartphone che Google progetta internamente controllando sia il software sia l’hardware. Un sistema operativo che vuole eliminare la dipendenza da Google e gira esclusivamente sui telefoni fabbricati da Google stessa? La domanda è legittima.
La risposta sta nella sicurezza hardware. Ogni volta che accendi un telefono, il primo componente che si attiva è il bootloader, un software di basso livello il cui unico compito è caricare il sistema operativo e avviarlo. Nella maggior parte degli smartphone il bootloader carica qualsiasi sistema trovi installato senza porsi domande, il che significa che se qualcuno sostituisse il sistema operativo con una versione compromessa, il telefono la avvierebbe senza che l’utente possa accorgersene. I Pixel funzionano diversamente perché implementano il Verified Boot: prima di avviare il sistema, il bootloader ne verifica crittograficamente l’integrità controllando che ogni singolo componente corrisponda a quello atteso. Se anche un solo byte è stato alterato, il telefono lo rileva e rifiuta di avviarsi. Soprattutto, i Pixel sono gli unici dispositivi che permettono questa verifica anche con un sistema operativo diverso da quello di Google, ed è esattamente ciò che rende possibile installare GrapheneOS mantenendo lo stesso livello di protezione.
Il paradosso quindi si dissolve. GrapheneOS non usa i Pixel nonostante siano di Google ma precisamente perché Google ha costruito l’hardware di sicurezza più completo disponibile sul mercato. L’hardware diventa quindi un alleato e il software proprietario viene eliminato.
Il sandbox: usare Google senza farsi usare
La scelta più radicale di GrapheneOS non è eliminare i servizi Google ma neutralizzarli. Il problema che abbiamo descritto, i Play Services che operano con privilegi di sistema raccogliendo dati senza controllo reale da parte dell’utente, genera una domanda immediata: è possibile mantenere le funzionalità che quei servizi offrono (le notifiche, l’accesso al catalogo app, il funzionamento delle applicazioni bancarie) senza concedere loro quel livello di accesso? GrapheneOS dimostra che è possibile attraverso quello che tecnicamente si chiama compatibility layer, uno strato di compatibilità che permette di installare i Play Services come normali applicazioni utente invece che come componenti privilegiati del sistema.
Il cambiamento sembra sottile, ma le conseguenze sono strutturali. Quando i Play Services girano come parte del sistema operativo possono fare ciò che vogliono, dato che il sistema stesso li tratta come parte di sé. Ridotti ad applicazioni ordinarie, perdono ogni privilegio speciale: non possono più accedere all’IMEI, non possono riattivare permessi revocati, e se l’utente nega un accesso quella decisione rimane tale senza che nessun componente possa scavalcarla silenziosamente.
L’approccio si spinge fino a un punto che pochi si aspettano. Le notifiche push, la funzionalità per cui la maggior parte delle persone pensa di aver bisogno dei servizi Google, funzionano all’interno del sandbox senza che sia necessario fare login con un account Google. Il telefono riceve le notifiche di WhatsApp, della banca o di qualsiasi altra app senza che Google sappia chi le sta ricevendo. Chi preferisce non avere alcun contatto con i servizi Google può scegliere di non installarli affatto, utilizzando UnifiedPush, un protocollo open source che mantiene attive le connessioni necessarie per le notifiche senza passare dai server di Google.
Scopes: il controllo granulare
Il sandbox dei servizi Google è solo il primo livello, perché GrapheneOS introduce un concetto che non ha equivalenti in nessun altro sistema operativo mobile, ovvero un sistema che mente deliberatamente alle applicazioni per proteggere l’utente.
Su Android standard, quando un’app chiede di accedere ai file del dispositivo, l’utente ha solo due opzioni: concedere l’accesso completo all’intera memoria oppure negarlo e rinunciare alla funzionalità. Nella pratica quasi tutti concedono tutto perché l’alternativa è non poter usare l’app. GrapheneOS rompe questa logica binaria attraverso gli Storage Scopes, un meccanismo che permette di concedere a un’app l’accesso solo a cartelle o file specifici scelti dall’utente. La parte ingegnosa è che l’app non percepisce alcuna limitazione: il sistema operativo le presenta un filesystem virtuale che contiene solo gli elementi selezionati, e l’app crede di avere il permesso completo. Non crasha, non segnala errori, semplicemente non vede ciò che non deve vedere.
Lo stesso principio si applica ai contatti attraverso i Contact Scopes. Invece di dare a WhatsApp accesso all’intera rubrica, cosa che succede su qualsiasi telefono Android o iPhone quando concedi il permesso, puoi selezionare esattamente quali contatti condividere. L’app funziona normalmente con quelli che le hai mostrato, completamente ignara dell’esistenza degli altri, perché il sistema operativo le racconta che la rubrica contiene solo quei nomi.
Gli Scopes trasformano un’autorizzazione che era sempre stata binaria in un controllo granulare dove l’utente non deve più scegliere tra funzionalità e privacy, e lo fanno nel modo più elegante possibile: facendo credere alle app che nulla sia cambiato.
Il tracciamento invisibile e le contromisure
Non servono le app per tracciare un telefono. Il dispositivo stesso, attraverso le sue radio Wi-Fi e Bluetooth, annuncia costantemente la propria presenza a chiunque sia in ascolto.
Per capire cosa significa concretamente, pensa a cosa succede quando entri in un centro commerciale con il Wi-Fi attivo. Il tuo dispositivo trasmette continuamente segnali alla ricerca di reti conosciute, e ogni segnale contiene il MAC address, un identificatore univoco dell’interfaccia di rete che funziona come un’impronta digitale del dispositivo. I negozi utilizzano access point Wi-Fi e beacon Bluetooth per ricevere questi segnali, triangolare la posizione del telefono e ricostruire i percorsi di movimento all’interno dello spazio commerciale. Non hai installato nulla, non hai accettato nessun permesso, eppure ogni tuo spostamento viene registrato, semplicemente perché il telefono che hai in tasca sta gridando la propria identità a chiunque abbia l’infrastruttura per ascoltarlo.
GrapheneOS affronta il problema alla radice con una randomizzazione del MAC address che va oltre quella dei sistemi operativi standard. Android e iOS randomizzano il MAC una volta per dispositivo; GrapheneOS lo randomizza per ogni singola connessione. Ogni volta che il telefono si connette a una rete, anche alla stessa rete dopo una disconnessione, presenta un identificatore completamente diverso. A questo si aggiunge il flush automatico del DHCP, la cancellazione di tutte le informazioni di rete accumulate nella sessione precedente. Il risultato è che agli occhi dell’infrastruttura di rete ogni connessione proviene da un dispositivo mai visto prima, rendendo impossibile correlare le sessioni e ricostruire un profilo di movimento nel tempo.
Ma il tracciamento non avviene solo attraverso le radio. Anche senza app Google installate, Android nella sua configurazione standard contatta i server di Google per funzioni di base che la maggior parte degli utenti non sa esistere: la sincronizzazione dell’orario, i controlli di connettività che verificano se il telefono è collegato a Internet, il GPS assistito che accelera il calcolo della posizione. Ciascuna di queste connessioni rivela l’indirizzo IP ai server di Google, e poiché l’indirizzo IP è associabile a una posizione geografica approssimativa, il risultato è un flusso costante di dati di localizzazione indipendente da qualsiasi scelta dell’utente su app o permessi. GrapheneOS instrada tutte queste connessioni attraverso propri server proxy, in modo che il server di destinazione veda solo l’indirizzo del proxy e non quello dell’utente, interrompendo un canale di tracciamento che opera a un livello così profondo del sistema che la maggior parte delle persone non sospetta che esista.
Protezione contro attacchi fisici e forensi
Tutto ciò che abbiamo visto finora riguarda la protezione durante l’uso quotidiano, ma c’è uno scenario diverso che va affrontato, ovvero cosa succede quando il telefono finisce fisicamente nelle mani di qualcun altro, che sia per un furto, un sequestro o qualsiasi altra circostanza. Ed è su questo terreno che GrapheneOS si distingue da qualsiasi altro sistema operativo mobile, al punto da essere riconosciuto dalle principali ditte di analisi forense come il dispositivo più difficile da violare.
Quando riavvii un telefono, nel momento prima che inserisci il PIN per sbloccarlo, il dispositivo si trova in uno stato chiamato Before First Unlock: tutti i dati dell’utente sono crittografati e le chiavi per decifrarli non esistono ancora in memoria. Finché non inserisci la password, quelle chiavi non vengono generate, e chiunque abbia in mano il telefono ha un oggetto che contiene fisicamente tutti i tuoi dati ma non può leggerne un byte, perché senza la chiave il contenuto è indistinguibile da rumore casuale. GrapheneOS sfrutta questo principio permettendo all’utente di configurare un riavvio automatico dopo un periodo di inattività, da dieci minuti a settantadue ore. Se il dispositivo viene sottratto, dopo il tempo configurato si riavvia e torna in quello stato crittografato dove i dati sono inaccessibili. Il telefono si protegge da solo anche quando il proprietario non può farlo.
Un secondo livello riguarda il dispositivo in uso attivo. Uno dei metodi più comuni per prendere il controllo di un telefono da remoto è sfruttare un errore nel modo in cui le applicazioni gestiscono la memoria: l’attaccante invia dati costruiti appositamente, e quei dati finiscono per sovrascrivere parti di memoria che non dovrebbero toccare, dirottando il comportamento del programma. GrapheneOS neutralizza questa categoria di attacchi attivando la Memory Tagging Extension, una funzionalità dei processori ARM che assegna un’etichetta a ogni blocco di memoria. Se un programma tenta di accedere a un blocco con un’etichetta diversa dalla propria, l’accesso viene bloccato immediatamente, prima che l’attacco produca effetto.
L’ultimo livello riguarda la protezione del PIN di sblocco. Su molti telefoni il PIN è gestito dal software del sistema operativo, e un attaccante con accesso fisico e strumenti sofisticati potrebbe tentare di aggirare i limiti sui tentativi provando migliaia di combinazioni. Su un Pixel con GrapheneOS il PIN è gestito direttamente dal chip di sicurezza Titan M2, un componente hardware fisicamente separato dal resto del telefono che impone intervalli crescenti tra un tentativo fallito e l’altro e non può essere aggirato via software. A questo si aggiunge un dettaglio apparentemente minore ma significativo: la tastiera numerica di sblocco rimescola la posizione dei numeri a ogni tentativo, impedendo a chiunque osservi di ricostruire il codice guardando i movimenti delle dita.
I miti che resistono
Il mito più diffuso è che le app bancarie non funzionino. La realtà è che la stragrande maggioranza funziona senza problemi. Esiste una piccola percentuale di app che richiede controlli particolarmente invasivi attraverso la Play Integrity API, un meccanismo che verifica se il telefono è conforme agli standard che Google considera “normali”, e alcune rifiutano di avviarsi se il controllo fallisce. Per questi casi GrapheneOS offre una modalità di compatibilità attivabile per la singola app, che disabilita selettivamente alcune protezioni avanzate della memoria solo per quell’applicazione specifica permettendole di superare il controllo, senza che la sicurezza del resto del sistema ne risenta.
Il secondo mito è che le notifiche non arrivino. Come abbiamo visto, le notifiche push funzionano attraverso i Play Services sandboxati senza bisogno di fare login con un account Google, e per chi non vuole nemmeno quelli esiste UnifiedPush.
Il terzo mito riguarda la fotocamera, e per chi possiede un Pixel è forse il più sentito. L’idea è che installando un sistema operativo alternativo si perda tutta la qualità fotografica per cui i Pixel sono conosciuti, in particolare l’elaborazione computazionale che sfrutta l’intelligenza artificiale. GrapheneOS include una propria app fotocamera che produce risultati di buona qualità, ma chi vuole la stessa esperienza fotografica di Android standard può installare l’app Google Camera originale. Grazie al compatibility layer, l’app accede normalmente all’hardware dedicato del Pixel, incluso il processore Tensor che gestisce l’elaborazione AI delle immagini, e funziona esattamente come su un Pixel con Android standard, con l’unica differenza che lo fa all’interno del sandbox e quindi senza il tracciamento associato.
Oltre il Pixel: le direzioni future
Il vincolo più evidente resta la dipendenza dall’hardware Pixel. Sul fronte della continuità, il supporto per il Pixel 10 è confermato nonostante Google abbia recentemente rimosso dal repository AOSP le informazioni tecniche specifiche dei propri dispositivi, una mossa che avrebbe potuto rendere molto più difficile il lavoro di chi costruisce sistemi operativi alternativi per quell’hardware. Il team di GrapheneOS ha risposto sviluppando sistemi di automazione che estraggono le informazioni necessarie direttamente dalle immagini di fabbrica dei Pixel, trasformando un potenziale ostacolo bloccante in un inconveniente gestibile.
La novità più significativa riguarda ciò che succede oltre i Pixel. È in corso una collaborazione con un produttore di dispositivi di primo piano per portare gli standard hardware che GrapheneOS richiede, il Verified Boot con chiavi personalizzate e un chip di sicurezza adeguato, su smartphone non fabbricati da Google. Il lancio è previsto tra la fine del 2026 e il 2027, e se si concretizzasse eliminerebbe l’obiezione più frequente e aprirebbe il progetto a un bacino di utenti enormemente più ampio.
C’è poi un aspetto che sfida le aspettative di chi associa un sistema operativo alternativo a qualcosa di meno aggiornato rispetto alla versione ufficiale. Grazie ad accordi con partner che garantiscono al team l’accesso anticipato alle patch di sicurezza, gli aggiornamenti vengono pubblicati spesso più velocemente di quanto faccia Google stessa per i propri Pixel, ribaltando l’assunzione che usare un sistema non ufficiale significhi accettare un ritardo nella protezione del dispositivo.
Conclusioni
GrapheneOS non è semplicemente Android senza Google, è un ripensamento di cosa significhi possedere un dispositivo che trasporta la tua intera vita digitale. Per anni abbiamo accettato che il prezzo implicito della tecnologia mobile fosse la cessione sistematica dei nostri dati, come se fosse un vincolo tecnico inevitabile, qualcosa di inseparabile dal fatto stesso di possedere uno smartphone. GrapheneOS dimostra che non lo è, che quella cessione non è un requisito tecnico ma una scelta architetturale, e che un’architettura diversa è possibile, funzionale e già oggi sufficientemente matura per essere utilizzata quotidianamente senza rinunciare a nulla di ciò che ci si aspetta da un telefono moderno.
Il filo che attraversa tutto ciò che abbiamo visto è un’inversione che una volta compresa diventa difficile da ignorare. Per anni i sistemi operativi mobili hanno mentito agli utenti presentando il tracciamento come esperienza personalizzata e la sorveglianza come servizio, costruendo un’asimmetria informativa in cui il sistema sapeva tutto dell’utente e l’utente non sapeva quasi nulla di ciò che il sistema faceva con i suoi dati. GrapheneOS prende quella stessa asimmetria e la rovescia, perché qui è il sistema che mente alle app, che nasconde i file, che randomizza le identità di rete, che si riavvia da solo per proteggere i dati, e lo fa nell’unica direzione in cui quell’asimmetria ha senso, a favore di chi tiene il telefono in mano.
