手机已经成为日常生活的一部分，储存了大量敏感信息，但我们如何确保手机安全可靠？Google 的 Android 系统提供了开源版本 AOSP，而 Android 本身并未以安全为重心设计的，但基于开源系统，社区发行版如 GrapheneOS 对 Android 进行了加固。GrapheneOS 始于 CopperheadOS 项目，它的两位创始人因分歧而分道扬镳，其中之一的 Daniel Micay 创建了独立的项目 GrapheneOS。它旨在加强安全，并没有优先考虑支持更多设备，它支持的设备类型非常有限，仅限于 Google Pixel 6 到 Pixel 9，新的 Pixel 设备使用了新的 ARMv9 CPU 核心，支持如硬件内存标记（memory tagging）等安全功能。GrapheneOS 默认使用硬件内存标记保护操作系统和用户安装的兼容应用免遭攻击。它没有预装原版 Android 提供的大量开箱即用的应用，没有 Google Play store，而是提供了自己的浏览器、相机应用、PDF 阅读器以及总共只有 13 款应用的应用商店。浏览器是 Chromium 分支 Vanadium，启用了严格的网站隔离，它并不推荐 Firefox，认为它容易受到攻击，用户可选择安装的一个浏览器是 IronFox——Firefox 加固版。

lwn.net/Articles/1030004/