GrapheneOS – หลุดพ้นจาก Google และ Apple

 (blog.tomaszdunia.pl)
6 คะแนน โดย GN⁺ 2026-02-18 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • GrapheneOS คือ ระบบปฏิบัติการโอเพนซอร์สที่ใช้ Android เป็นต้นแบบ ซึ่งออกแบบโดยให้ ความเป็นส่วนตัวและความปลอดภัย มาเป็นอันดับแรก และตัดการผสานรวมบริการของ Google ออกเพื่อป้องกันการเก็บข้อมูลโดยบริษัท
  • ปรับแต่งมาโดยเฉพาะสำหรับ Google Pixel series และใช้ ชิปความปลอดภัย Titan M กับฟีเจอร์ Verified Boot เพื่อรับประกันความสมบูรณ์ของระบบ
  • ผู้ใช้สามารถรัน Google Play services ใน สภาพแวดล้อม sandbox แบบแยกส่วน ได้ ทำให้ยังใช้แอปที่จำเป็นได้โดยจำกัดสิทธิ์การเข้าถึงระบบ
  • ติดตั้งแอปโอเพนซอร์สและแอปที่ไม่ใช้ GMS ผ่าน Obtainium และ Aurora Store พร้อมทั้ง ควบคุมสิทธิ์ของแอปได้อย่างละเอียด และแยกข้อมูลสำคัญด้วย Private space
  • ระบบนี้ถูกมองว่าเป็นทางเลือกที่ใช้งานได้จริงสำหรับ ผู้ใช้ที่ต้องการลดการพึ่งพา ecosystem ของ Google และ Apple

ภาพรวมของ GrapheneOS

  • GrapheneOS เป็นระบบปฏิบัติการแบบ ปรับแต่งเสริมความปลอดภัย (custom) ที่พัฒนาบนพื้นฐานของ Android Open Source Project (AOSP)
    • ตัด การผสานรวมบริการ Google ออกในระดับระบบ เพื่อป้องกันการติดตามและการเก็บข้อมูล
    • ลดช่องโหว่ต่อการโจมตีแฮ็กด้วย การ hardening เคอร์เนลและองค์ประกอบหลักของระบบ
  • สามารถรัน Google Play Services ได้ใน สภาพแวดล้อม sandbox แบบแยกส่วน
    • ผู้ใช้จึงยังใช้แอปยอดนิยมได้พร้อมจำกัดสิทธิ์การเข้าถึงระบบ
  • ปัจจุบันรองรับอย่างเป็นทางการเฉพาะ Google Pixel series
    • ใช้ ชิปความปลอดภัย Titan M เพื่อเสริมการปกป้องข้อมูล

อุปกรณ์ที่รองรับและการเลือกใช้งาน

  • รายชื่ออุปกรณ์ที่รองรับ ณ เดือนกุมภาพันธ์ 2026 รวมถึง Pixel 6~10 series และ Pixel Tablet เป็นต้น
    • มีการแนะนำอุปกรณ์อย่าง Pixel 9a, 9 Pro, 10 Pro เป็นต้น
  • ผู้เขียนเลือก Pixel 9a และซื้อมาในราคาประมาณ 1600 PLN (ราว 450 ดอลลาร์)
    • จุดเด่นคือ ระยะเวลาซัพพอร์ต 7 ปี และราคาที่สมเหตุสมผล
    • พึงพอใจกับ อายุการใช้งานแบตเตอรี่และประสิทธิภาพ และตั้งใจจะใช้งานระยะยาว
    • ข้อเสียคือ คุณภาพกล้อง ยังด้อยกว่า iPhone 15 Pro หรือ Galaxy Z Fold 6

ขั้นตอนการติดตั้ง GrapheneOS

  • สิ่งที่ต้องเตรียมสำหรับการติดตั้ง: สมาร์ทโฟน Pixel, สายเคเบิลที่ถ่ายโอนข้อมูลได้, พีซีที่ติดตั้งเบราว์เซอร์สาย Chromium (แนะนำ Windows 10/11)
  • สรุปขั้นตอนการติดตั้ง
    • ปลดล็อกบูตโหลดเดอร์ → ดาวน์โหลดและแฟลช system image → ล็อกบูตโหลดเดอร์กลับ → คืนค่า OEM lock
    • เปิดใช้ฟีเจอร์ Verified Boot เพื่อ ตรวจสอบความสมบูรณ์ของระบบ
    • หลังติดตั้งให้ ปิด Developer options และรีบูต เพื่อคืนค่าความปลอดภัย

วิธีใช้งาน GrapheneOS

  • GrapheneOS มี โครงสร้างแบบประนีประนอมระหว่างความสะดวกและความเป็นส่วนตัว
    • ผู้ใช้สามารถปรับตั้งค่าได้อย่างอิสระตามระดับความปลอดภัยที่ต้องการ
  • ใช้ฟีเจอร์ โปรไฟล์ผู้ใช้หลายบัญชี แยกเป็นสองโปรไฟล์คือ ‘Owner’ และ ‘Tommy’
    • ในโปรไฟล์ Owner ติดตั้ง Google Play services และแอปธนาคาร (mBank, T-Mobile)
    • ในโปรไฟล์ Tommy เก็บข้อมูลส่วนตัวและแอปหลัก
    • เมื่อต้องการสามารถ ลบโปรไฟล์เสริมเพื่อกำจัดข้อมูลส่วนตัวได้อย่างรวดเร็ว
  • ใช้ฟีเจอร์ Private space เพื่อแยกแอปการเงินและแอปที่มีข้อมูลอ่อนไหวไว้ต่างหาก
    • ตัวอย่าง: Google Drive, mBank, Revolut, Santander เป็นต้น
    • ฟังก์ชันชำระเงินผ่าน NFC บางส่วนไม่ทำงานภายใน Private space

การใช้งานแอปโอเพนซอร์สและแอปที่ไม่ใช้ GMS

  • ผ่าน Obtainium สามารถจัดการ การติดตั้งไฟล์ .apk และการอัปเดตอัตโนมัติ ของแอปโอเพนซอร์ส
    • แอปที่ใช้หลัก ๆ ได้แก่ AntennaPod, Bitwarden, Brave, DAVx2, Signal, Organic Maps, Thunderbird เป็นต้น
  • Aurora Store คือ ไคลเอนต์โอเพนซอร์สของ Google Play ที่ ดาวน์โหลดแอปได้โดยไม่ต้องมีบัญชี Google
    • การใช้บัญชีแบบไม่ระบุตัวตนช่วยเพิ่มความเป็นส่วนตัว แต่ก็มี ความเสี่ยงที่บัญชีจะถูกบล็อก
    • ผู้ใช้ต้องพิจารณาเองว่าจะเชื่อถือความเป็นไปได้ของ การโจมตีแบบ Man-in-the-Middle หรือไม่
  • แอปที่ยืนยันแล้วว่าใช้งานได้ตามปกติโดยไม่ต้องมี GMS: Apple Music, Bolt, Discord, Duolingo, GitHub, Lidl Plus, Messenger, Reddit, Zepp เป็นต้น

การควบคุมสิทธิ์แอปและการจัดการความปลอดภัย

  • GrapheneOS สามารถ ควบคุมสิทธิ์การเข้าถึงเครือข่ายและเซนเซอร์ของแต่ละแอปได้อย่างละเอียด
    • ตัวอย่างเช่น FUTO Voice Input, FairScan, Librera ไม่จำเป็นต้องเข้าถึงอินเทอร์เน็ต
    • แอปส่วนใหญ่ ไม่จำเป็นต้องมีสิทธิ์เข้าถึงเซนเซอร์ แต่กลับถูกอนุญาตไว้เป็นค่าเริ่มต้น
  • เส้นทางจัดการสิทธิ์: กดค้างที่ไอคอนแอป → App info → Permissions
    • แบ่งเป็น อนุญาต / ถามทุกครั้ง / ไม่อนุญาต
  • สามารถดูภาพรวมสิทธิ์ทั้งหมดและความถี่การใช้งานได้ผ่าน Permission manager และ Privacy dashboard

การสนับสนุนโครงการ

  • ทีมพัฒนา GrapheneOS ทำงานโดยมีเป้าหมายเพื่อสร้าง ecosystem โอเพนซอร์สที่เน้นความปลอดภัย
    • หน้าสนับสนุนอย่างเป็นทางการ: grapheneos.org/donate
  • ผู้เขียนประเมินว่า GrapheneOS เป็นทางเลือกที่ใช้งานได้จริงสำหรับการลดการพึ่งพา Google และ Apple และ แนะนำให้สนับสนุนนักพัฒนา

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-18
ความคิดเห็นจาก Hacker News

  • ใช้ OS นี้บน p9 pro มาได้ราว 1 ปีแล้ว โดยรวมทำงานได้ดี
    เคยได้ยินว่า Google Tap to Pay ใช้ไม่ได้ แต่ Tap to Pay ของ Vipps ใช้งานได้ดี ส่วน BankID ใช้ได้ แต่ การล็อกอินด้วยไบโอเมตริกซ์ ใช้ไม่ได้ แอปส่วนบุคคลของ DnB ใช้ได้ แต่แอปสำหรับธุรกิจถูกบล็อกไว้
    การบล็อกแอปแบบนี้มันน่าหงุดหงิดจริง ๆ ทั้งที่เข้าผ่านเว็บไซต์ได้หมด ธนาคารบนเว็บก็ใช้บน Linux ได้ แต่กลับดูเหมือนเชื่อถือ Linux มากกว่า Windows ซึ่งก็ตลกดี
    ไม่แนะนำให้แยกหลายโปรไฟล์ผู้ใช้ แทบไม่มีความหมายด้านความปลอดภัยและกลับเพิ่มความยุ่งยาก แต่โดยรวมก็ยังพอใจมาก

    • เคยได้ยินจากเพื่อนร่วมงานที่เคยโดน การตรวจสอบความปลอดภัย จากธนาคารออนไลน์รายใหญ่ว่า ในรายการตรวจสอบจะมีข้อ "แอปรันบนโทรศัพท์ที่รูตแล้วได้!" ถูกชี้เป็นภัยคุกคามอันดับต้น ๆ ตลอด ทั้งที่ฝั่งนักพัฒนาก็ทำ QA บนเครื่องรูตกันเอง เป็น ละครความปลอดภัย ชัด ๆ
    • ที่สเปนสถานการณ์ต่างออกไป เข้าหน้าเว็บธนาคารได้ก็จริง แต่จะทำธุรกรรมจริง ๆ ไม่ได้ถ้าไม่มีแอป แม้แต่การล็อกอินเว็บก็ยังต้องให้แอป ยืนยันตัวตน เลยต้องโหลดแอปจาก Aurora Store และทำธุรกรรมธนาคารบน Vollaphone เท่านั้น
    • แนะนำให้ค่อย ๆ ย้ายมาใช้ GrapheneOS สิ่งสำคัญคือทำความเข้าใจ ขอบเขตความปลอดภัย ของแต่ละแอป Tap to Pay ใช้ไม่ได้และมีแนวโน้มว่าจะไม่ได้ต่อไป แอปธนาคารก็แตกต่างกันมาก ผมเลยจ่ายด้วยบัตรไปเลย แล้วทำธุรกรรมธนาคารผ่านเว็บ ส่วนโปรไฟล์ก็แยกงาน/ส่วนตัว/ชมรม ทำให้การแจ้งเตือนไม่ปนกันและมีสมาธิดี
    • ผมใช้เว็บธนาคารบน Ubuntu/Debian มาตั้งแต่ปี 2009 แต่ละธนาคารก็มีวิธียืนยันตัวตนไม่เหมือนกัน บางแห่งใช้ อุปกรณ์ TOTP ที่แบตเตอรี่อยู่มา 20 ปีแล้วยังไม่ยอมเปลี่ยนให้ บางแห่งต้องใช้แอป+ลายนิ้วมือหรือ SMS สุดท้ายก็เลี่ยงการพึ่ง Google หรือ Apple ได้ยาก GrapheneOS เองก็รองรับแค่ Pixel เลยยังหนีการพึ่ง Google ไม่พ้น
    • แอป BankID เคยพังไปเลยช่วงเดือนมิถุนายน ผมส่งอีเมลไปหานักพัฒนาแล้วได้รับคำตอบว่าไม่ได้ตั้งใจบล็อก GrapheneOS ตรงกันข้ามคือนักพัฒนายังเป็นแฟน GrapheneOS ด้วยซ้ำ แต่ในเวอร์ชันล่าสุด WebView ไม่ใช่ Chrome เลยทำให้ไบโอเมตริกซ์ใช้ไม่ได้ น่าจะเป็นแค่ความผิดพลาดธรรมดา เลยกะจะส่งเมลไปอีกครั้ง

  • ผมติดตั้ง GrapheneOS บน Pixel 8 แล้วแยก iPhone เครื่องเก่าที่เปิดใช้แค่ในบ้านไว้สำหรับการจ่ายเงินหรือเรื่องประกัน ถึงจะไม่สะดวก แต่ก็ยังใช้แอปทางการที่จำเป็นได้พร้อมรักษา ความเป็นส่วนตัว ให้ได้มากที่สุด
    แอปหลักใช้ F-Droid เสริมด้วย Aurora และใช้ Obtainium เป็นทางเลือกสุดท้าย ในบรรดาแอป Google ที่จำเป็นจริง ๆ มีแค่กล้องเท่านั้น และก็แยกไว้ใน sandbox โดยไม่ให้สิทธิ์เครือข่าย
    การสำรองข้อมูลใช้ร่วมกันระหว่าง Seedvault ของ GrapheneOS, immich และ MyPhoneExplorer ด้านล่างคือรายชื่อแอปโอเพนซอร์สที่ผมใช้บ่อย: Newpipe, Organic Maps, Wireguard, Signal, KOReader เป็นต้น

    • ขอแชร์แอป FOSS ที่ผมใช้ทุกวันด้วย: Aegis (2FA), Breezy Weather, OnlyOffice Documents, Aves, Termux, Unexpected Keyboard เป็นต้น ติดตั้งง่ายผ่าน Obtainium
    • ผมชอบ Organic Maps เพราะไม่มี โฆษณาหรือฟีดโซเชียล เลยดูสะอาดดี เดสก์ท็อปไคลเอนต์สำหรับ Linux ก็มีประโยชน์
    • ช่วงหลังย้ายไปใช้ CoMaps แล้ว เพราะการรวมการแก้ไข OpenStreetMap ทำได้ดี จนได้ลองมีส่วนร่วมครั้งแรก
    • รายชื่อแอปแบบนี้ช่วยคนที่เพิ่งเริ่มใช้แพลตฟอร์มใหม่ได้มากจริง ๆ อยากให้ฝั่ง Linux desktop มี เว็บคัดสรรแอป แบบนี้ด้วย
    • สงสัยว่าถ้า sandbox แอปอย่าง Google Maps แล้วจะออกมาเป็นแบบไหน และถ้าไม่ล็อกอินจะยังระบุตัวตนอุปกรณ์ได้ไหม

  • บอกว่า “เลิกพึ่ง Google” แต่กลับต้องซื้อ Pixel ก็ดูย้อนแย้ง ทว่าในทางปฏิบัติมันคือ โทรศัพท์ Android ที่เปิดกว้างที่สุด ปลดล็อกบูตโหลดเดอร์ก็ง่าย กู้คืนก็ไม่ยุ่งยาก

    • มีข่าวว่า GrapheneOS กำลังเตรียม ความร่วมมือกับ OEM รายใหม่ ที่จะช่วยให้ใช้งานได้โดยไม่ต้องพึ่ง Google (บทความ Android Authority)
    • Pixel เป็นอุปกรณ์ที่ประกอบมาดีจริง ๆ ต่อให้ตั้งใจทำให้พังก็แทบเป็นไปไม่ได้ มีคนลองแบบในวิดีโอนี้แล้ว ถ้าซื้อเครื่อง refurbished มือสองก็ไม่ต้องจ่ายเงินให้ Google ได้
    • ผมใช้ GrapheneOS บน Pixel 6a แต่เพราะมีการเรียกคืนแบตเตอรี่เลยต้องกู้กลับไปเป็น Android รุ่นโรงงาน ขั้นตอนสำรองและกู้คืนค่อนข้างยุ่ง
    • ทุกวันนี้ การติดตามตำแหน่งระดับฮาร์ดแวร์ ละเอียดมากจนความไม่ระบุตัวตนแบบสมบูรณ์แทบเป็นไปไม่ได้ เลยคิดว่าการใช้ชีวิตแบบ ‘เกรย์แมน’ ที่ไม่เด่นน่าจะดีกว่า
    • ลองไม่ได้เพราะ Pixel 5 พังจากปัญหาหน้าจอและเมนบอร์ด

  • ถ้าใช้ GrapheneOS ก็สามารถหนีจากระบบนิเวศสมาร์ตวอทช์ได้ด้วย GadgetBridge (gadgetbridge.org)
    ชุด Thinkpad(NixOS) + Pixel 9(GrapheneOS) + Amazfit ทำงานได้สมบูรณ์ KDE Connect กับ GadgetBridge ทำงานร่วมกันได้ ทำให้ ซิงก์ได้ครบโดยไม่ต้องพึ่งคลาวด์

    • แต่ตอนนี้ GadgetBridge ยังซิงก์ ข้อมูลกิจกรรม (.fit, .gpx) อัตโนมัติไม่ได้ ผมเลยใช้ ActivityLog2(ลิงก์) สำรองด้วยมือไปก่อน ถ้าวันหลัง GadgetBridge รองรับการซิงก์โฟลเดอร์ในเครื่องก็คงกลับไปใช้
    • นาฬิกา Garmin ค่อนข้างเปิดกว้างดี สามารถส่งข้อมูลเข้า InfluxDB แล้วทำภาพบนแดชบอร์ด Grafana ได้
    • อีกทางเลือกคือ PineTime ด้วย สามารถเลือก OS เองได้
    • แต่ผ่านไปไม่กี่เดือน แอปธนาคาร แอปรัฐบาล และแอปงานอีเวนต์ก็จะตรวจเจอว่า ปลดล็อกบูตโหลดเดอร์ แล้วปฏิเสธการทำงาน เรื่องนี้ขึ้นอยู่กับภูมิภาคแต่ก็เป็นข้อจำกัดที่ต้องเจอจริง

  • ตอนนี้ใช้ GrapheneOS บน Pixel 9 แล้วพอใจมาก โดยเฉพาะฟีเจอร์ต่อไปนี้

    1. แอปกล้อง Pixel ทำงานได้สมบูรณ์
    2. ใช้ GPhotosShim ดูพรีวิวได้แม้ไม่มี Google Photos
    3. Android Auto, QuickShare, NFC, Yubikey, Screencast ใช้งานได้หมด
    4. สามารถ บล็อกการเข้าถึงเซนเซอร์และอินเทอร์เน็ต แยกเป็นรายแอปได้
    • SSD ภายนอกก็ตรวจพบได้สมบูรณ์ ทดสอบแล้วถึง exFAT 2TB
    • มีคนถามว่า Android Auto ต้องติดตั้ง Google Play หรือไม่ (เอกสารทางการ)
    • มีความเห็นว่า Open Camera ก็ดี แต่สงสัยว่า Pixel camera มีข้อดีกว่าตรงไหน
    • มีคำถามว่า QuickShare ใช้ได้ไหมหากไม่มีบัญชี Google และข้อมูลจะถูกส่งไปที่ Google หรือไม่
    • บางคนเสียดายที่ Yubikey ใช้กับ Bitwarden ไม่ได้

  • ผมใช้ GrapheneOS มาตั้งแต่ Pixel 3a จนถึง 10 Pro แล้ว คิดว่าคงกลับไปใช้ OS อื่นไม่ได้
    แต่ก็ยังมีจุดที่น่าเสียดายคือ

    • ไม่สามารถตั้งขอบเขตการเข้าถึงรายชื่อผู้ติดต่อแบบละเอียด ตามป้ายกำกับ ได้
    • ติดตั้ง ส่วนขยาย ในเบราว์เซอร์ Vanadium ไม่ได้
    • ใช้ VPN หลายตัวพร้อมกันไม่ได้ (เช่น Tailscale + บล็อกโฆษณา + จำกัดการใช้งานเพื่อเพิ่มประสิทธิภาพ)
      มีการขอฟีเจอร์นี้ไว้ใน Rethink app issue แต่ถ้ารองรับในระดับ OS ได้ก็คงดี
    • ถ้ามีสิทธิ์รูต ก็ใช้ AdAway จาก F-Droid บล็อกโฆษณาแบบอิง /etc/hosts ได้ ผมใส่ Reddit กับ HN ไว้ในรายการบล็อกด้วย
    • ถ้าใช้เบราว์เซอร์ IronFox ก็สามารถติดตั้งส่วนขยาย Firefox ได้ (มีให้ใน Accrescent store)
    • ถ้าแยกโปรไฟล์ ก็สามารถเปิด VPN พร้อมกันได้ 2-3 ตัว
    • ฟีเจอร์ป้ายกำกับรายชื่อช่วยควบคุมขอบเขตได้บางส่วน
    • ทำให้อยากไปหา Pixel 10 Pro มือสองเลย

  • ไม่นานมานี้บน HN มีการคุยกันเรื่อง สปายแวร์ ที่แฮ็ก WhatsApp, Telegram, Signal ในระดับ OS เลย ทำให้สงสัยว่า GrapheneOS ปลอดภัยแค่ไหน (โพสต์ที่เกี่ยวข้อง)

    • GrapheneOS แพตช์ช่องโหว่สำคัญนี้ไปแล้ว ก่อนกลางปี 2026 (release note) เร็วกว่าผู้ขายรายใหญ่มาก
    • แน่นอนว่าอาจป้องกันการโจมตีระดับรัฐไม่ได้ทั้งหมด แต่สำหรับผู้ใช้ทั่วไปก็ปลอดภัยเพียงพอ แค่ดูจากเหตุผลที่รัฐบาลยุโรปพยายามจะแบน GrapheneOS ก็พอรู้
    • ด้วย hardened_malloc การโจมตีช่องโหว่หน่วยความจำทำได้ยากขึ้นมาก แต่ Android ก็ยังคงมี พื้นผิวการโจมตีที่กว้าง
    • ถึงอย่างนั้นก็ยังมีเฟิร์มแวร์และฮาร์ดแวร์ blob จำนวนมาก จึงไม่มีทางปลอดภัยสมบูรณ์ สุดท้ายก็ควรมองว่าเป็นอุปกรณ์ที่เชื่อถือได้ไม่เต็มที่
    • บางคนก็บอกว่า “สุดท้ายมันก็แค่ Android fork เลยคงเปราะบางพอ ๆ กัน”

  • ตอนทำงานที่ Microsoft ผมใช้ FreeBSD และเคยต้องใช้โน้ตบุ๊ก Windows เพื่อลง custom ROM เพราะ adb จุกจิกมาก ตอนนี้ใช้ Fedora แล้วสะดวกกว่ามากเพราะมี ไดรเวอร์ Android ติดมาให้เลย กลับกันบน Windows ปัญหาไดรเวอร์กลับเยอะกว่า

    • ผมก็มีประสบการณ์เหมือนกัน AirPods บน Linux เชื่อมต่อได้ทันที แต่บน Windows กลับหลุดบ่อยเพราะปัญหาไดรเวอร์

  • ผมใช้ GrapheneOS มา 3 ปีแล้ว แอปธนาคาร ส่วนใหญ่ก็ไม่มีปัญหา และติดตั้ง Google Play แบบ sandbox ใช้งานอยู่ในสองโปรไฟล์
    แต่เคยมีครั้งหนึ่งที่บัญชีในแอป Uber ถูก ระงับโดยไม่มีเหตุผล แค่สมัครบัญชีและจองรถก็โดนบอกว่าละเมิดข้อกำหนดการใช้งาน ถูกบล็อกไปเลย ต้องเถียงกับฝ่ายบริการลูกค้าอยู่หลายวันกว่าจะกู้คืนได้ ทำให้ลังเลเพราะมีความเสี่ยงแบบนี้

    • ผมใช้ Uber บน GrapheneOS ได้ปกติดี เรื่องนี้น่าจะเป็นปัญหาฝั่ง Uber มากกว่า
    • ผมกลับคิดว่าใช้ Uber ไม่ได้ก็ไม่เลวนัก เพราะแท็กซี่เงินสด มีจริยธรรมและปลอดภัยกว่า
    • ผมก็เลิกใช้ Uber แล้วใช้แต่แท็กซี่ ราคาถูกกว่าด้วย
    • ผมใช้ Uber บน GrapheneOS ได้ดี ไม่มีปัญหา
    • ก็ยังสงสัยอยู่ว่านี่เป็นเพราะ GrapheneOS จริงหรือเปล่า