Google Android, maar dan veilig(er)

Jaren terug installeerde ik al andere besturingssystemen op mijn HTC telefoons mbv XDA (CyanogenMod!). Dat was toen vooral omdat ik daarmee allerlei nieuwe functionaliteiten tot mijn beschikking kreeg. En het had ook een gehalte van ‘omdat het kan’ en ‘kijken of het lukt’. Precies de reden dat ik vroeger ook mijn console liet ‘ombouwen’ zodat ik gekopieerde spellen kon spelen. Bij dit alles accepteerde je impliciet dat niet alles altijd direct werkt of blijft werken. Door de jaren heen kreeg Android alsnog (bijna) alle functionaliteiten waarmee de aanleiding tot een alternatief besturingssysteem op mijn mobiele telefoon verdween. En ik had ook geen zin er tijd in te steken als een update weer eens alles overhoop trok. En ik kreeg om wat meer geld te besteden zodat een spel voor een console gewoon in de winkel te kopen was.

De aanleiding om nu opnieuw te kijken naar andere implementaties van het Android Open Source Project is nu dus gelegen in security & privacy. Let wel: AOSP is de basis van een Android besturingssysteem (Operating System = OS) maar op zichzelf niet compleet genoeg om als zodanig te kunnen functioneren. AOSP is, zoals de naam al doet vermoeden, open-source al overziet Google het hele ‘project’ wel nadrukkelijk. Iedereen kan een besturingssysteem bouwen op basis van AOSP en dat gebeurt dan ook veelvuldig: Android ziet er op een Samsung telefoon anders uit dan op een OnePlus of Motorola. En zo is GrapheneOS ook een implementatie van AOSP al zijn de wijzigingen en toevoegingen aan AOSP veel ingrijpender in dit geval.

In 4 stappen klaar (+ een 5e voor de weg terug)

Toegeven, het is even spannend om een splinternieuwe telefoon vanuit de doos direct aan je laptop te hangen en te voorzien van een compleet nieuw OS. Daar moet je even overheen. Ik kan je verzekeren dat GrapheneOS feilloos werkt op een Pixel telefoon. Ze hebben juist gekozen voor ondersteuning op Pixel telefoons omdat de hard- en software zo optimaal samenwerkt. Google maakt de Pixels telefoons immers zelf. In Nederland zijn ze doorgaans het best geprijsd bij Belsimpel. Een stappenplan voor installatie vind je op de GrapheneOS website en een wat uitgebreidere variant vind je hier. Het komt eigenlijk hier op neer:

1. Om een alternatief besturingssysteem te kunnen installeren met je de bootloader ontgrendelen. Die is standaard vergrendelt om te voorkomen dat dit zomaar kan – gelukkig maar. Het ontgrendelen van een bootloader heeft automatisch tot gevolg dat de gehele telefoon wordt gewist (nogmaals: gelukkig maar). Dat maakt bij een nieuwe telefoon niet uit: je had er immers nog niets op geïnstalleerd. Dit unlocken werkt super eenvoudig vanuit een webbrowser (zolang je maar geen Firefox gebruikt, o ironie).
2. Nu de bootloader ontgrendeld is, kan je een alternatief OS installeren (‘flashen’). Kies de gemakkelijke route via de ‘web installer’ die automatisch de juiste versie vindt op basis van je via USB aangesloten Pixel telefoon of kijk hier. Je kan het zien als je telefoon volledig terugbrengen naar de fabrieksinstellingen en weer te beginnen bij ‘start’. Onder stap 1 was je telefoon immers al geheel gewist. De bootloader merkt weliswaar nog op dat je een ander OS probeert te starten, maar staat dat wel toe. Tijdens de installatie van GrapheneOS zal de telefoon meerdere keren opnieuw opstarten omdat het OS in meerdere stappen wordt geïnstalleerd.
3. Nadat GrapheneOS geïnstalleerd is moet je eerst weer de bootloader vergrendelen. Ook GrapheneOS wil zeker weten dat er niet wordt geknoeid met het apparaat en zal dus anders niet werken. Indien je niet bent opgegroeid met MS-DOS ziet het er allemaal wat spannend uit. Je weet wel: onbegrijpelijke commando’s in witte letters tegen een zwarte achtergrond. Maar weet dat je hier eigenlijk niets bijzonders doet, als in: dit is gewoon ondersteunde functionaliteit die onderdeel uitmaakt van AOSP.
4. Hierna is je telefoon gereed voor gebruik en zal die opstarten alsof het een nieuwe telefoon is. Je doet er goed aan de mogelijkheid tot het unlocken van de bootloader weer dicht te zetten. Om er zeker van te zijn dat alles goed is gegaan doe je er ook goed aan de hashes te controleren. Je vindt ze op deze pagina (en op het scherm van je telefoon). Je kan nog een stap verder gaan door de hele telefoon door de ‘Auditor’ app heen te trekken m.b.v. een andere telefoon. Waarom je dat zou doen en hoe dat werkt lees je hier.
5. Wees gerust: op dezelfde manier vervang je GrapheneOS weer voor de standaard versie van Android die erop stond toen je de telefoon kocht. Wel zo handig wanneer je de telefoon weer verkoopt. Zo download je Android 14 gewoon hier rechtstreeks bij Google. Kwestie van bootloader unlock weer inschakelen > bootloader ontgrendelen > standaard Android installeren (ook wel: ‘flashen’) > bootloader vergrendelen > bootloader unlock weer uitschakelen. Je gebruikt hiervoor alleen niet de GrapheneOS web installer, maar de Android Flash Tool.

Nu kan ik het nog zo ‘makkelijk’ proberen te verkopen, maar in de praktijk is het belang van onze telefoon vaak te groot. Wat als het niet lukt? Dan heb ik (even) helemaal geen telefoon meer. Of ik ‘brick‘ mijn telefoon. Ik koos dus voor een relatief goedkope Pixel 6A om vertrouwen te krijgen in mijn eigen vaardigheden, GrapheneOS en een Pixel telefoon. Vooral in de combinatie van die drie. Mocht je nu juist erg thuis zijn in de Command Line Interface (CLI) dan kan je ook deze guide volgen. Het mag duidelijk zijn dat de uitkomst van mijn experiment positief was 🙂