The GrapheneOS experiment: tesoro mi si è de-googlato il telefono
Posted Updated 26 minutes read (About 3835 words)

The GrapheneOS experiment: tesoro mi si è de-googlato il telefono

Qualche tempo fa ho perso mio padre, che era l’unica persona con cui usavo il telefono, quindi ho pensato: “visto che ora non mi serve più, chissenefrega, lascio a casa questa specie di spia di Matrix e se a qualcuno serve mi chiama la sera”. Poi, pensandoci meglio, mi sono detto: “vabbè ma se succede un urgenza mentre sto per strada, tipo che mi si ferma la macchina (che ormai ha i suoi 13 anni), sarebbe un casino chiamare il carro attrezzi, per non parlare del car sharing quando serve”, quindi, ora che la mia reperibilità telefonica è sacrificabile, ho deciso di fare un esperimento che rimando da troppo tempo: eradicare Google dal telefono.

Ho già parlato di come si potrebbe vivere senza Google e, essendo l’articolo un po’ vecchio, ora le alternative si sono moltiplicate. “Perché togliere Google? Google fa tutto! Mail, calendari, contatti, note, mappe etc…” ed è appunto questo il motivo. Attualmente Google ha su di noi molte più informazioni dell’Agenzia delle Entrate, l’Agenzia del Catasto, l’INPS, Ministero della Difesa e Ministero dell’Interno messi insieme. Chi opera in finanza ha un detto: “mai mettere tutte le uova nello stesso paniere”, quindi usare tutti i servizi della stessa azienda non è cosa saggia.

Così, spinto dal fediverso, ho cominciato a vedere come sarebbe possibile avere un telefono senza vendere l’anima (per non dire un altra parte del corpo) al gigante di Mountain View. Ovviamente l’unica possibilità risiede in un telefono a base Android con un sistema Android modificato. Dopo un po’ di ravanamenti, la scelta vergeva su:

  • LineageOS
  • e/OS/
  • CalyxOS
  • GrapheneOS

Purtroppo estraniarsi al 100% da Google non è possibile, perché tante app hanno bisogno dei Google Play Services e, i navigatori, dei servizi Text-To-Speech di Google, che trasformano le indicazioni in parlato (ce ne sono anche di open, ma dire che fanno schifo è fargli un complimento). Quindi abbiamo due approcci:

MicroG: LineageOS, e/OS/, CalyxOS

MicroG è un software open source che replica i servizi Google per fornirli alle app. Sostanzialmente, le app richiedono informazioni ai servizi Google e MicroG, “mascherato” da servizi Google tramite una tecnica chiamata signature spoofing, richiede a Google le informazioni di cui le app necessitano. Ovviamente MicroG non manda in continuazione i dati del telefono a Google come fanno i veri servizi Google.

Sandboxed Google Play: GrapheneOS

GrapheneOS ha scelto un approccio un po’ diverso. GrapheneOS ha il suo “app store” dove in realtà troviamo solamente le applicazioni essenziali, tipo telefono, sms, browser etc… e la possibilità di installare i veri servizi Google. Questi servizi, tuttavia, gireranno in una sandbox, che sarebbe un contenitore che non gli permette di fare nulla se non le operazioni strettamente necessarie per il funzionamento delle varie app o le operazioni autorizzate da noi. In un sistema Android standard, le app di Google sono installate con dei permessi detti privileged_apps, ovvero hanno pieni poteri sul sistema, girano in background, hanno accesso a tutti i dati del telefono e possono comunicare con la rete come gli pare. Su GrapheneOS, i servizi Google vengono installati con dei permessi detti unprivileged_apps, che sono gli stessi permessi che hanno le app che installiamo dal Play Store, quindi hanno permessi molto limitati e, comunque sia, il sistema blocca qualsiasi loro tentativo di richiedere i dati del telefono e di mandarli in giro per la rete. Essendo normali app, addirittura potete limitargli permessi tipo connessione alla rete, geo-localizzazione etc…

Siccome MicroG l’ho usato per parecchio tempo (ho avuto per anni LineageOS installato sul One Plus 5), ho deciso di optare per GrapheneOS, dato che non sarebbe un danno se rimanessi senza telefono per via di qualche problema e anche per via del fatto che GrapheneOS è disponibile solo per i telefoni Pixel di Google ed io ho un Pixel 6. Comunque sia avevo un Samsung Galaxy Note 10 per le emergenze.

L’installazione

Mi ricordo che quando installai LineageOS sul One Plus 5 ottenni 3 scomuniche e la revoca di tutti i sacramenti. Ma la tecnologia va avanti e gli hacker non stanno con le mani in mano, quindi GrapheneOS mette a disposizione una comodissima installazione web.

Non mi perdo nel dettaglio, però sostanzialmente i passi sono:

  • Attivare la modalità sviluppatore disintegrando di tap la voce “Numero build” sotto le Info del telefono
  • Andare nelle opzioni sviluppatori e abilitare il selettore della voce “Sblocco OEM”
  • Spegnere il telefono e riavviarlo tenendo premuto volume giù per fermare la partenza al bootloader
  • Connettere il telefono al pc, se avete windows dovete scaricare i driver fastboot dal link nella guida di GrapheneOS.
  • Cliccare sul bottone “Unlock bootloader”
  • Cliccare sul bottone “Download release”, questo scaricherà l’immagine del sistema operativo GrapheneOS in locale attraverso il browser, non dovete salvarlo da nessuna parte.
  • Cliccare sul bottone “Flash release”
  • Cliccare su “Lock bootloader”
  • Riattivare le opzioni sviluppatore come sopra e disattivare l’opzione “Sblocco OEM”.

⚠️ATTENZIONE!!!⚠️ Per motivi di sicurezza, se doveste abilitare di nuovo l’opzione “Sblocco OEM”, il sistema, al riavvio, farà il wipe di tutti i dati del telefono. Questo serve per evitare possibili compromissioni del sistema operativo.

Ok, una volta installato, ho avuto a che fare con la bestia. E visto che i toni di GrapheneOS sono noire, così vi racconterò come è andata.

Operazioni preliminari

Era un giorno caldo, di quelli in cui anche il ventilatore ti volta le spalle. Appena avviato lo smartphone, quello che mi trovai davanti fu: una mazza.

Non c’era niente se non l’app del telefono, sms, un browser fork di chromium chiamato Vanadium, l’app Auditor per controllare la genuinità del sistema appena installato usando un altro smartphone, la camera, la galleria, un lettore PDF, il file manager, i settings, i contatti, l’orologio, la calcolatrice (per calcolare le bestemmie al minuto di media), i contatti e l’applicazione Apps, che avrei usato immediatamente.

Visto che questa storia della sandbox mi incuriosiva parecchio, aprii Apps e installai:

Google Services Framework
Google Play services
Google Play Store
Il Google Play Store, in realtà, fu totalmente inutile in quanto utilizzabile solo con un account Google, cosa che volli evitare.

Comunque sia, in qualche modo, le app andavano installate, perciò installai due app store:

  • F-Droid: uno store alternativo contenente solo app open source. Basta connettersi al sito di F-Droid e scaricare l’apk direttamente dalla pagina.

  • Aurora Store: scaricabile da F-Droid. Non ha app al suo interno ma funziona da front end per il Google Play Store. Praticamente, quando vogliamo scaricare un app, si presenta al Google Play Store come se fosse un dispositivo Android con un account fittizio e ci permette di scaricare l’app desiderata. Possiamo scegliere se fare login, usare un account anonimo o un account anonimo (insicuro). Qual è la differenza tra anonimo e anonimo (insicuro)? Boh, non l’ho capito, ho capito solamente che con l’anonimo (insicuro), per qualche motivo, risulterà che siamo in Francia. Fare login è tutto un cacchio, quindi uso l’anonimo normale.

Una volta installato il necessario, seguii una guida per configurare al meglio la nuova installazione, tra cui le cose che uno da per scontato, tipo la luminosità adattiva e la rotazione automatica. Non seguii quella guida passo passo perché tante opzioni che lui abilitava a me non servivano, però fu un buon punto di partenza. Quindi arrivò il momento di installare le app che usavo di frequente.

I password manager

La cosa fondamentale fu installare i password manager che utilizzo dato che tutte le app avrebbero avuto bisogno delle credenziali di login. Io uso due password manager: Bitwarden e 1Password.

Tuttavia, queste due app, sono configurate per richiedere un autenticazione a due fattori, quindi scaricai Authy. Authy mi permette di importare tutte le autenticazioni usando il numero di telefono e dando conferma tramite codice SMS. La cosa è molto comoda, ma il fatto che le mie autenticazioni sono nel “cloud” non mi piace, quindi decisi che l’avrei rimpiazzato con Aegis. Authy è presente solo sul Google Play Store, quindi usai Aurora Store per scaricarlo. Tirai giù tutte le autenticazioni e le decriptai con la password di cifratura, ero pronto per proseguire.

Bitwarden si trova su F-Droid, lo scaricai, feci login e inserii il codice di autenticazione. In quel momento mi arrivò la mail che mi notificava il pagamento dei 10$ annuali proprio a Bitwarden, lo vidi come un obolo dovuto per il mio password manager preferito. Decisi comunque che, in futuro, lo avrei installato sul mio server a casa, ma avrei comunque continuato a finanziare il progetto.

Venne il momento di 1Password, sapevo che non sarebbe stato disponibile su F-Droid quindi aprii direttamente Aurora Store e lo scaricai da lì. La configurazione di 1Password è leggermente più complessa perché va inserita anche la chiave, che sarebbe una stringa separata da trattini che somiglia molto alla licenza di Windows. Tuttavia riuscii a fare il setup tramite codice QR. 1Password accedette senza problemi alla camera per la scansione del codice e tutto andò per il meglio.

Le chat

Scelsi di installare per prime le app di messaggistica, non volevo rimanere isolato dai miei contatti per troppo tempo. Così installai subito Telegram e Whatsapp. Ovviamente nessuna delle due era reperibile su F-Droid quindi dovetti usare Aurora Store. Rimasi sorpreso dalla gradevole interfaccia grafica, anche se i tempi morti tra la fine del download e l’inizio dell’installazione e tra l’inizio dell’installazione e la fine di essa sono tra quelle cose che ti fanno chiedere se tutto stia andando come previsto.

Ero preparato all’idea di non ricevere le notifiche, per lo meno da parte di Whatsapp perché sapevo utilizzasse il GCM (Google Cloud Messaging) non presente sul mio telefono, mentre Telegram sapevo utilizzasse un suo sistema di notifiche. Invece, con mia sorpresa, notai che ricevevo normalmente le notifiche da entrambe le app, probabilmente il GCM viene acceduto dai Google Play Services o dal Google Services Framework, ma questo non lo saprò mai, dannato software proprietario!

Venne il momento dei due messenger che apprezzo di più ma che non uso mai per via del fatto che, dei miei pochi contatti, nessuno li usa: Element e Signal.

Aprii F-Droid ed una sensazione di schifo e disprezzo mi colse: Signal non è presente su F-Droid ma solo su Google Play Store, decisione che sarebbe deludente anche per il suo più celebre sostenitore, Edward Snowden. Decisi quindi di non installarlo e mi rivolsi al secondo.

Element si trova su F-Droid, insieme a tanti altri messenger che supportano il protocollo Matrix. Lo avviai e cominciai la configurazione. Una volta inserite le credenziali su Element, la configurazione va fatta da un altro dispositivo. Quindi aprii Element sul pc desktop e trovai la notifica che indicava il tentativo di accesso del nuovo dispositivo, cliccai su “Accetta” ed il messaggio sullo schermo mi disse che aspettava un segnale dal dispositivo in questione. Il telefono non si accorse che il messenger su computer aveva dato l’ok per il primo step, dovetti quindi relegare sul metodo alternativo. Dopo un po’ di tira e molla, dovuti più che altro ai problemi di refresh di Gnome su PoP_OS, riuscii ad attivare l’account anche sullo smartphone.

Multimedia

Vivo praticamente attaccato a Spotify quindi decisi di installarlo. Ovviamente non si trova su F-Droid quindi dovetti ricorrere sempre ad Aurora Store. L’installazione filò liscia, senza problemi, l’app funziona alla perfezione, anche la funzionalità che permette di controllare la riproduzione su altri dispositivi. Credo che Spotify usi PWA (Progressive Web Apps) e che quindi possa potenzialmente funzionare ovunque.

Non volli installare l’app di YouTube, visto che non la uso mai, quindi optai per NewPipe. NewPipe è un frontend leggero per YouTube che si trova su F-Droid. Ovviamente lo scaricai senza problemi. L’unica cosa strana è che, aprendo un video, rimane in loading all’infinito. Ma non me ne preoccupai perché, da quando lo uso, NewPipe ha sempre avuto di questi problemi.

Le email

Piano piano sto migrando tutti i miei accout da Gmail a Protonmail, quindi decisi di non installare Gmail. Cercai Protonmail su F-Droid e, come mi aspettavo, non lo trovai. Trovai però Proton VPN. Quindi aprii di nuovo Aurora Store e installai Protonmail. Il login filò liscio. Lo stesso con Tutanota.

Ho anche altri due indirizzi email, quello del mio sito e quello di iCloud. Decisi di accederli via IMAP/SMTP quindi scaricai il client di posta che conosco meglio: K9-Mail. K9 si trova su F-Droid, lo scaricai e lo configurai per i due indirizzi, ovviamente iCloud mi fece penare più del dovuto ma niente che uno scafato smanettatore non possa superare.

I calendari

Per i calendari decisi di usare Proton Calendar. Scaricai l’app da Aurora Store ed il login filò liscio. Non sono ancora convinto di questa scelta ma ho tempo per decidere diversamente, tutto sommato i calendari sono una cosa effimera, una volta passato l’evento non c’è bisogno di tenere un archivio.

I social

Mi assale un forte senso di nausea solamente a sentire nominare tutti i prodotti di Meta o Twitter, quindi da tempo mi sono rivolto ai social decentralizzati.

Cominciai da Mastodon, di solito usavo il client ufficiale ma, non essendo presente su F-Droid, ho preferito usare un alternativa presente su quello store. Scaricai Husky, ma il fatto che rimaneva costantemente in ascolto per i nuovi messaggi e nella sezione delle notifiche mi alterava non poco, quindi decisi per Tusky. La grafica è praticamente uguale per tutti, quindi cambiare da uno all’altro non è un problema.

Per quanto riguarda Pixelfed non esiste un app ufficiale, sta per essere rilasciata, ma ho sempre utilizzato PixelDroid, presente su F-Droid. Installai quindi PixelDroid che funzionò senza colpo ferire.

Car sharing

Di questi servizi ne uso parecchi. Decisi di andare a ritroso relativamente agli ultimi usati, quindi cominciai con Acciona. Ovviamente, di questi servizi, nessuno è su F-Droid, quindi li scaricai tutti da Aurora Store. Installai Acciona ed il messaggio che mi diede il benvenuto fu l’impossibilità di trovare la posizione. Resistetti all’impulso di dare un pugno alla scrivania, anche perché è quella dell’Ikea quindi l’avrei spezzata in due e maledissi la mia stupidità.

Per quanto riguarda la posizione, un sistema Android, fa affidamento principalmente su un servizio chiamato Google Location Accuracy, facente parte dei Google Play Services. Questo servizio, in un modo Orwellianamente inquietante, possiede l’indice di tutte le reti WiFi con la loro relativa posizione geografica. Avete mai fatto caso al fatto che, se avete la WiFi spenta e aprite Google Maps, vi chiede di accendere la WiFi per migliorare la posizione? Cosa c’entra il WiFi con la posizione? Proprio perché, in base alle reti WiFi presenti intorno a voi ed alla loro relativa potenza, il sistema riesce a capire bene dove vi trovate, anche se il segnale GPS dovesse essere debole o assente. Questo è uno dei motivi per evitare i servizi Google e per spegnere sempre tutte le antenne quando non servono.

GrapheneOS rigira tutte le richieste di posizione al GPS interno del telefono, anche quelle indirizzate al Google Location Accuracy, ergo, quando si è dentro casa il GPS non prende e queste app sono inconfigurabili.

Con la scusa di andare a gettare l’immondizia, mi misi in macchina e configurai queste app. Acciona prese la posizione e riuscii a fare login. Stessa cosa per Cooltra, Enjoy e Share N Go. Devo ancora configurare Zig Zag Share ma sono confidente che si comporterà come i suoi colleghi.

A dire la verità, andando su System e poi Apps, è possibile configurare Google Play Services per utilizzare Google Location Accuracy. Personalmente non ho notato differenze, però magari conviene abilitarlo solo in situazioni particolari, tipo se dobbiamo lasciare una macchina in un parcheggio chiuso e il GPS non prende bene.

Le banche

Anche queste app si trovano solo su Aurora Store. Cominciai con il mio conto principale, Widiba, l’app si installò e funzionò al primo colpo, anche se, per qualche motivo, non scriveva le etichette dei bottoni ma solo il loro id, ad esempio, non scriveva una cosa tipo “Bonifico” ma una cosa tipo app.label.bonifico, comunque sia comprensibile, le funzionalità c’erano tutte.

La seconda app fu Bancoposta. Devo dire che Poste Italiane ha intrapreso un percorso di innovazione per niente malvagio e, ad ogni operazione con loro, mi sorprende sempre di più (lato finanziario ovviamente), al contrario di Widiba che era partita con l’essere la banca del futuro per ritrovarsi impantanata nell’800. L’app si installò senza problemi. Provai ad accedere al conto da pc usando l’app come autorizzatore e funzionò a meraviglia.

N26 seguì lo stesso percorso, nessun problema di sorta.

I navigatori

Sapevo che questo sarebbe stato il punto più spinoso. Google Maps è regina incontrastata delle app di navigazione e non sapevo se avrei trovato un degno sostituto. Settimane prima del passaggio a GrapheneOS scaricai molte app di navigazione e riuscii a farmi un idea su dove avrei potuto orientarmi. Il responso è stato il seguente:

  • Here We Go: delusione totale, non trova la rotta corretta e non segna tutti i velox. Ha problemi con il traffico. Tuttavia ha una funzionalità secondo me geniale, quando si deve girare a destra dà l’indicazione nell’auricolare destro e viceversa per la sinistra, così se non si è sentita bene l’indicazione, in base all’auricolare da cui proveniva il suono, si sa dove girare.

  • Organic Maps: Punto d’onore perché è disponibile su F-Droid, pensata per la navigazione a piedi ed in bicicletta, manca del traffico e dei mezzi. Non segna i velox. La navigazione in auto è sperimentale quindi spesso fa fare manovre illegali. Non mi aspettavo molto ma tuttavia, devo dire, che ha potenzialità.

  • OsmAnd: Anche lei disponibile su F-Droid. È fatta molto meglio di Organic Maps, supporta la navigazione in auto. Indica i velox ma non tutti, il tutor vicino casa mia l’ha ignorato bellamente. Non ha indicazioni del traffico quindi potrebbe dare la rotta più trafficata. Tuttavia ha l’integrazione con Wikipedia per avere informazioni sui posti in cui passiamo, molto utile a scopo turistico.

  • Magic Earth: Piacevole e insolita sorpresa. L’interfaccia è abbastanza spartana ma la navigazione è buona, tra le top, sembra capire bene il traffico. Supporta i velox ma non tutti, più o meno uguale ad OsmAnd, credo attingano dalle stesse fonti. La funzionalità veramente interessante di Magic Earth è quella della Dashcam. Se teniamo il telefono orientato verso il parabrezza, possiamo usufruire del telefono come se fosse una dashcam, registrerà quello che succede davanti a noi ma salverà i secondi di filmato solo su nostra indicazione, come una dashcam vera.

  • Petal Maps: App di navigazione che rimpiazza Google Maps nei telefoni Huawei vittime del ban di Trump. Nata dal rancore e la rabbia degli ingegneri di Shenzhen, pensavo fosse la migliore ed in effetti ci si è avvicinata molto. Praticamente identica a Tom Tom (di cui parlerò subito sotto) supporta bene traffico e velox. Praticamente perfetta se non fosse per le direzioni, sembra non capire sempre la direzione ottimale, le rotte sono comunque buone, ma non così “intelligenti” come su Tom Tom e Google Maps

  • Tom Tom AmiGO: È l’unica senza le mappe offline in quanto, per quelle, bisogna scaricare ed abbonarsi alla sorella Tom Tom Go all’”esorbitante” prezzo di 20€ l’anno. È l’app che rimpiazza in tutto e per tutto Google Maps. È una versione più intelligente di Petal Maps, addirittura indica quando comincia un tratto Tutor e quanto è la velocità massima consentita in quel tratto, arrivati alla fine indica la fine del tratto Tutor dicendoci anche la media tenuta nel tratto. Nei miei test su Android Google stock è risultata la scelta definitiva. Tuttavia, su GrapheneOS, è stata esclusa dalle app di navigazione per un solo motivo, tuttavia irrinunciabile: le indicazioni vocali. Infatti, quando vado per scaricare la voce nelle impostazioni di Tom Tom AmiGo, restituisce un errore e quindi la voce durante la navigazione non sarà disponibile. Purtroppo mi è impossibile guidare senza le indicazioni vocali quindi l’ho esclusa a priori.

Alla luce dei miei test, decisi di lasciare Petal Maps e Magic Earth. Scaricai da Aurora Store anche Google Maps, per i casi di emergenza.

Cena da consegna

Le app che utilizzo sono due: Uber Eats e Just Eat. Preferisco Uber Eats per via del fatto che è possibile lasciare la mancia al rider, anche se Just Eat ha una selezione più vasta. Anche Glovo funziona senza problemi.

Le scaricai e configurai l’account su entrambe; pensavo avrei avuto problemi con il GPS, ma invece la cosa comoda di queste app è il fatto che l’indirizzo di consegna può essere inserito a mano.

Conclusioni

Dopo una settimana di utilizzo devo dire che non ho avuto problemi. Capisco e concordo col fatto che non è un esperienza per inesperti di tecnologia, l’utente medio del sito di Aranzulla potrebbe maledire varie divinità se dovesse imbattersi in questa impresa.

Penso sia una scelta consapevole. Quello che spinge a passare ad un sistema de-googlizzato non è la curiosità di provare ma un esigenza specifica di separarsi dai servizi di Google e di riappropriarsi del proprio dispositivo senza dover per forza avere una sonda che invia i propri dati ad una big tech. Togliersi il fastidio di vedere i propri dati mandati ad un azienda americana.

La de-googlizzazione non vuol dire solamente cambiare il sistema operativo del proprio telefono, è una scelta che inizia dal non utilizzare i servizi Google in primis. Una volta rimpiazzati i servizi Google con le loro valide alternative, togliere Google dal proprio telefono è un operazione necessaria.

Il mio consiglio è: se siete appassionati di tecnologia e avete un vecchio telefono supportato o avete la possibilità di prenderlo a poco prezzo, provate ad installare uno dei sistemi operativi citati ad inizio articolo. Magari non abbandonerete Google ma avrete una buona conoscenza di come funziona il sistema operativo Android.

The GrapheneOS experiment: tesoro mi si è de-googlato il telefono

https://www.danieleargento.net/2022/08/30/The-GrapheneOS-experiment-tesoro-mi-si-e-de-googlato-il-telefono/

Author

Daniele Argento

Posted on

2022-08-30

Updated on

2023-04-19

Licensed under

#

Like this article? Support the author with

Comments

Follow

Links

Recents

Archives

Tags

FOMO1
IBM Websphere Portal 8.5 ed i rule based group1
LoRaWAN1
abbonamento1
access1
access base group1
adsl1
alternative1
android1
anonymous1
apple1
base1
calyxos1
cambiare la data di creazione ad un file word1
carrier1
connessione1
content creator1
creator1
cybersecurity3
de-google1
dropbox1
ecommerce1
facebook1
fibra1
file transfer1
free wifi1
ftp1
game1
google2
group1
hacker2
hackers2
hacking5
hangout1
i am legend1
ibm1
icloud1
imap1
influencer1
instagram1
internet1
lineageos1
mail3
microg1
movie1
movie stuff io sono leggenda1
netcat1
netflix1
nextcloud1
office1
pentesting1
phishing2
privacy1
product placement1
protonmail1
raspberry1
raspberrypi1
ricatto2
rule1
scam2
secops1
security1
serie tv1
server1
service1
signal1
smartphone1
smtp1
social1
social network2
social networks1
ssh1
streaming1
stuff1
telefono1
telegram1
tiktok1
tor1
truffa2
twitch2
ubisoft1
videogame1
watch dogs1
watch dogs legion1
websphere1
whatsapp1
wickr1
wifi1
word1
wordpress1
youtube1
×