У березні 2026 року команда GrapheneOS оприлюднила заяву, яка одночасно є принциповою позицією і прямим викликом глобальному тренду на верифікацію онлайн-користувачів: операційна система залишатиметься доступною без будь-яких облікових записів або перевірки особи — незалежно від того, що вимагає законодавство тієї чи іншої країни. Якщо місцеві норми унеможливлюють продаж пристроїв із GrapheneOS — проєкт просто піде з цього ринку. Не адаптується. Не піде на поступки.
На тлі того, як більшість технологічних компаній мовчки підлаштовуються під регуляторні вимоги, а уряди різних держав посилюють контроль над цифровою ідентичністю, ця позиція виглядає майже анахронічно. Але за нею стоїть не упертість, а послідовна архітектурна логіка — система побудована так, що будь-яка ідентифікація користувача зруйнує її фундамент.
Що таке GrapheneOS і звідки він узявся
GrapheneOS — некомерційний проєкт з відкритим вихідним кодом, заснований у 2014 році. До 2018 року він існував під назвою CopperheadOS, поки внутрішній конфлікт у команді не призвів до перейменування і фактичного перезапуску. Сьогодні це, мабуть, найбільш технічно серйозна спроба побудувати мобільну операційну систему, в якій конфіденційність і безпека є не маркетинговим гаслом, а архітектурним принципом.
В основі GrapheneOS лежить Android Open Source Project (AOSP) — той самий фундамент, на якому побудовано звичайний Android. Але від нього GrapheneOS відрізняється так само, як бронеавтомобіль від серійного позашляховика: зовні схоже, всередині — принципово інше.
Фінансується проєкт виключно за рахунок пожертв. На сьогодні їх вистачає для підтримки штатної команди розробників — що дає проєкту незалежність від корпоративних або регуляторних інтересів і, відповідно, свободу дотримуватися власних принципів навіть під тиском.
Технічна архітектура захисту
Безпека GrapheneOS будується на кількох рівнях, кожен із яких закриває окремий клас атак.
Перший і найбільш фундаментальний — захист пам’яті. GrapheneOS використовує hardened_malloc — посилений алокатор памʼяті, який унеможливлює цілий клас уразливостей типу use-after-free. Саме ці вразливості лежать в основі більшості реальних мобільних експлойтів. Ядро системи додатково захищене патчами безпеки пам’яті, яких немає у стандартному Android. Показово, що GrapheneOS регулярно випереджає виробника на кілька місяців у застосуванні виправлень ядра — через особливість підходу Google до оновлень LTS-гілок. Крім того, команда самостійно знаходить уразливості і передає їх у відкриті проєкти.
Другий рівень — ізоляція застосунків. Кожен додаток у GrapheneOS запускається у суворій «пісочниці». Функція Storage Scopes дозволяє додаткам бачити лише ті файли, до яких користувач явно надав доступ — замість стандартної Android-моделі, де надання дозволу на сховище відкриває доступ до значно ширшого набору даних.
Третій рівень — верифікований завантаження (Verified Boot). GrapheneOS використовує апаратний чіп безпеки Titan M у пристроях Google Pixel для перевірки цілісності ОС при кожному запуску. Якщо система була змінена — через шкідливе ПЗ, атаку на ланцюжок постачання або фізичний доступ до пристрою — він відмовить у завантаженні.
Четвертий рівень — мережева безпека. GrapheneOS надає додаткам мережевий дозвіл як окремий параметр, який можна вимкнути. Додаток без мережевого доступу фізично не може передавати дані назовні — навіть якщо захоче. Додатково реалізований автоматичний перезапуск пристрою через задані проміжки часу (зазвичай 18–24 години) і автоматичне відключення Wi-Fi після визначеного часу простою — це мінімізує вікно атаки для шкідливого ПЗ, яке може очікувати на підключення до мережі.
Нарешті, дозволи на сенсори (камера, мікрофон, акселерометр, гіроскоп та ін.) у GrapheneOS виведені в окрему групу керування. Якщо додаток намагається отримати дані від сенсора, доступ до якого закрито, він отримує нульові значення — без повідомлення про відмову, яке могло б змінити поведінку програми. Порт USB-C за замовчуванням у заблокованому стані працює лише в режимі заряджання.
Власні застосунки: мінімалізм замість набору
GrapheneOS не просто обмежує можливості чужих програм — він постачається з власним набором інструментів, побудованих за тими ж принципами.
Vanadium — це посилена версія браузера Chromium, спеціально зібрана для GrapheneOS. Вона відрізняється від стандартного Chrome посиленою ізоляцією сайтів, суворішим sandboxing і принциповою позицією щодо розширень: команда вважає, що більшість «захисних» розширень насправді погіршують конфіденційність, збільшуючи цифровий відбиток браузера. Замість цього Vanadium зосереджений на структурних рішеннях — партиціонуванні стану та приховуванні IP через VPN або Tor.
Auditor — застосунок для апаратної верифікації пристрою, який дозволяє підтвердити цілісність системи як локально, так і віддалено. PDF Viewer — мінімалістичний переглядач PDF, позбавлений зайвої функціональності. Камера GrapheneOS не записує до знімків EXIF-метадані з часом, датою та часовим поясом — ця функція вимкнена за замовчуванням. Seedvault забезпечує зашифроване резервне копіювання без прив’язки до хмарних сервісів.
Google Play без Google Play
Одне з найчастіших заперечень проти GrapheneOS — несумісність із застосунками Google Play Store. GrapheneOS вирішив цю суперечність нестандартно: він дозволяє встановити Play Services у режимі «пісочниці» — як звичайний додаток без системних привілеїв.
Це означає, що Google Play Store працює, більшість застосунків встановлюються та оновлюються в стандартному режимі — але Google Play Services при цьому не має особливого доступу до системи. Його можна встановити і видалити будь-коли, як будь-який інший додаток. Виняток становлять програми, що перевіряють Play Integrity API — механізм Google, який підтверджує використання стандартного Android. Деякі банківські додатки і сервіси з DRM використовують цю перевірку і можуть відмовити у роботі. Список таких додатків поступово скорочується — GrapheneOS активно вдосконалює сумісність, — але проблема залишається реальною.
Без верифікації: позиція, яка дорого коштує
20 березня 2026 року GrapheneOS підтвердив те, що фактично є наріжним каменем проєкту: система залишатиметься повністю доступною без облікового запису або перевірки особи — для будь-якого користувача у будь-якій точці світу.
«GrapheneOS залишатиметься доступною для будь-кого у всьому світі без необхідності надавати особисті дані, посвідчення особи або створювати обліковий запис. GrapheneOS та наші сервіси залишатимуться доступними на міжнародному рівні. Якщо пристрої з GrapheneOS не можна буде продавати в якомусь регіоні через місцеве законодавство — нехай так і буде.» — GrapheneOS, 20 березня 2026 року
Ця позиція є прямим наслідком архітектурних принципів системи. GrapheneOS побудований так, щоб мінімізувати будь-яке збирання даних — включно з централізованими обліковими записами, які могли б прив’язати активність до конкретної особи. Додати обов’язкову верифікацію особи означало б зруйнувати цю модель на фундаментальному рівні. Замість того щоб підлаштовуватися під кожен ринок окремо, проєкт зберігає єдиний глобальний стандарт — і приймає ризик зникнення з тих ринків, де цей стандарт суперечить законодавству.
Ця позиція виникла не вчора. Але саме зараз, коли уряди різних країн активно впроваджують системи верифікації онлайн-користувачів, а платформи одна за одною адаптуються під ці вимоги, вона набуває нового значення — і нової виразності.
Motorola і вихід за межі Pixel
До початку 2026 року GrapheneOS підтримував виключно смартфони Google Pixel — лінійку від Pixel 6 до Pixel 9. Це було принциповим рішенням: лише Pixel-пристрої відповідали жорстким вимогам проєкту до апаратної безпеки, включно з чіпом Titan M і гарантованими оновленнями безпеки.
На MWC 2026 у Барселоні стався прецедент: компанія Motorola (підрозділ Lenovo) оголосила про довгострокове партнерство з GrapheneOS Foundation. Угода передбачає розробку майбутніх смартфонів Motorola, сумісних із GrapheneOS, — перші з них очікуються у 2027 році. Йдеться про флагмани нового покоління (на зразок Motorola Signature, Razr Fold та Razr Ultra), які мають відповідати технічним вимогам проєкту, включаючи підтримку апаратного тегування пам’яті.
Партнерство є важливим одразу з кількох причин. По-перше, GrapheneOS уперше вийде за межі апаратної монополії Google — це знімає стратегічний ризик для проєкту. По-друге, Motorola інтегрує окремі концепції GrapheneOS у свою стандартну оболонку Android, що потенційно розширює аудиторію захищених рішень. По-третє, партнерство цілком вписується у бізнес-логіку: Motorola активно розширює корпоративний напрямок під брендом ThinkShield (Lenovo), і GrapheneOS дає їй те, чого не може Samsung із Knox, — де-гугліфікований смартфон для підприємств, де телеметрія Google є регуляторною проблемою.
Компроміси, про які варто знати
GrapheneOS — не рішення для всіх. Система свідомо обирає безпеку і конфіденційність на противагу зручності й сумісності, і ці обміни є цілком реальними.
Апаратна підтримка навмисно вузька: лише пристрої, що відповідають суворим вимогам безпеки. Широкий діапазон сумісності свідомо відкидається, бо він неминуче знижує рівень захисту. Певна частина банківських і платіжних додатків може не працювати через перевірку Play Integrity. Корпоративні системи керування пристроями (MDM), зокрема Microsoft Intune, здебільшого несумісні. Міграція вимагає ручного перенесення даних і 2FA-ідентифікаторів — автоматичних інструментів немає.
Натомість користувач отримує мобільну ОС, яка у 2026 році є найбільш технічно захищеним рішенням на споживчому ринку: швидше завантаження, нижче споживання пам’яті, краща автономність — через відсутність фонових сервісів Google — і системну архітектуру, яка не прив’язує активність до особи користувача.
Висновок
GrapheneOS існує у специфічній ніші: це проєкт, який свідомо відмовляється від масштабу заради принципу. Він не намагається стати наступним Android для мільярда людей. Він намагається бути тим, чим Android міг би бути, якби конфіденційність ніколи не була жертвою зручності.
Нова заява про відмову від будь-якої верифікації особи — не окрема новина, а логічний прояв цієї позиції. Партнерство з Motorola — перший сигнал того, що ця позиція починає знаходити відгук серед виробників обладнання. Чи стане це початком ширшого руху, покаже 2027 рік.
