Проект GrapheneOS опубликовал в социальной сети X развёрнутое заявление об аппаратной аттестации устройств у Google и Apple. По формулировке проекта, обе компании постепенно расширяют её применение и убеждают сторонние сервисы её внедрять. Под аттестацию подведены Play Integrity API, Apple App Attest, Privacy Pass и обновлённая мобильная проверка reCAPTCHA. Все эти механизмы преподносятся как функции безопасности, но в действительности отсекают альтернативные операционные системы и устройства без сертификации Google или Apple. В качестве показательного примера в проекте приводят запрет на работу банковских и платёжных приложений в GrapheneOS, хотя эта сборка соответствует стандартной модели безопасности Android и усиливает её.
GrapheneOS — свободная мобильная операционная система с открытым исходным кодом на базе Android Open Source Project (AOSP), ориентированная на приватность и безопасность. Работает на смартфонах Google Pixel; в марте 2026 года объявлено о партнёрстве с Motorola Mobility для подготовки моделей с официальной поддержкой проекта.
Что заявляет GrapheneOS
В публикации на странице проекта в X говорится, что Google Play Integrity API и Apple App Attest API устроены сходно и оба опираются на аппаратную аттестацию устройства. Apple перенесла этот подход на веб через Privacy Pass — о таких же планах Google говорит публично.
Чем шире такие проверки распространяются среди сервисов, тем сложнее пользоваться альтернативными ОС и устройствами без сертификации Google или Apple. По мере роста охвата конкурирующее аппаратное и программное обеспечение будет вытеснено с рынка.
В долгосрочной перспективе это будет всё сильнее блокировать конкуренцию на уровне устройств и операционных систем.
— заявление проекта GrapheneOS
Уровни Play Integrity API и переход на аппаратную проверку
Google Play Integrity API поддерживает несколько уровней проверки целостности. Для самого строгого — strong integrity — аппаратная аттестация требуется уже сейчас. По данным GrapheneOS, Google постепенно вводит такое же требование и для более распространённого уровня device integrity, на который опирается большинство приложений, включая банковские. У Apple в App Attest аппаратная аттестация обязательна изначально.
Аппаратная аттестация — криптографическая проверка устройства с использованием ключей, привязанных к защищённому модулю процессора. Сервер получает подтверждение, что приложение работает на оригинальном устройстве с заблокированным загрузчиком и сертифицированной ОС. Извлечь ключи даже на устройстве с root-доступом крайне сложно, поэтому программный обход такой проверки на практике почти не встречается.
Банковские приложения часто полагаются именно на Play Integrity API, чтобы заблокировать запуск на устройствах с разблокированным загрузчиком или модифицированной версией Android. GrapheneOS подпадает под этот фильтр, несмотря на полностью включённую проверенную загрузку (verified boot) и заблокированный загрузчик.
Play Integrity API запрещает использование GrapheneOS, хотя проект значительно безопаснее всего, что Google разрешает.
— заявление проекта GrapheneOS
В руководстве для разработчиков приложений проект просит использовать стандартный Android Hardware Attestation API вместо Play Integrity. Этот интерфейс позволяет добавлять ключи альтернативных ОС в число доверенных и не зависит от серверов Google.
Privacy Pass и Private Access Tokens на вебе
Apple включила Privacy Pass в iOS 16, iPadOS 16 и macOS Ventura. По стандарту браузер на iPhone или Mac получает от Apple подписанный токен (Private Access Token), подтверждающий, что запрос исходит с настоящего устройства с действующим Apple ID. Cloudflare и hCaptcha используют такие токены, чтобы не показывать пользователю CAPTCHA на защищённых их инфраструктурой сайтах.
Privacy Pass — протокол IETF (RFC 9577, RFC 9578) для выдачи и проверки анонимных криптографических токенов. Сайт получает подтверждение, что запрос пришёл с проверенного устройства, но не может связать токен с конкретным пользователем.
По прогнозу GrapheneOS, Google готовит аналогичную схему для своей экосистемы. В таком сценарии аппаратная аттестация выйдет с приложений на веб, а часть сайтов окажется доступна только посетителям с устройств Apple или сертифицированных Android-смартфонов.
Сканирование QR-кода в reCAPTCHA на десктопе
Отдельный блок заявления посвящён обновлённой мобильной проверке Google reCAPTCHA. Согласно справке Google, для прохождения проверки нужен совместимый смартфон или планшет: на Android — Google Play Services версии 25.41.30 или новее, на iOS и iPadOS — версия 15.0 или новее для сканирования QR-кода, либо 16.4 и новее для кнопки Click to Verify.
Если система сочла поведение посетителя подозрительным, вместо привычной задачи с картинками появляется QR-код. Чтобы пройти проверку, его нужно отсканировать смартфоном с сертифицированной сборкой Android или устройством на iOS. При работе с Windows, Linux или BSD такой сценарий требует наличия одобренного мобильного телефона под рукой.
Контроль над reCAPTCHA даёт Google возможность требовать наличие iOS или сертифицированного Android-устройства для доступа к огромной части веба.
— заявление проекта GrapheneOS
На устройствах без сервисов Google Play, в том числе на GrapheneOS, мобильный этап проверки по умолчанию завершается отказом. Альтернативного способа подтвердить запрос система не предусматривает.
Государственные сервисы и банки
В заявлении отдельно отмечено, что государства и финансовые организации всё активнее включают аппаратную аттестацию в платёжные приложения, цифровые удостоверения личности и сервисы возрастной проверки. По формулировке проекта, вместо того чтобы ограничивать антиконкурентные практики Apple и Google, регуляторы сами встраивают их механизмы в обязательные публичные сервисы.
Apple и Google публично на заявление GrapheneOS не отреагировали.
Что такое GrapheneOS и кому она интересна
Проект ведёт некоммерческая организация GrapheneOS Foundation, зарегистрированная в Канаде в марте 2023 года. Основной разработчик — Дэниел Микей (Daniel Micay), один из создателей CopperheadOS. После увольнения из Copperhead Limited в 2018 году из-за разногласий о лицензировании Микей продолжил работу над собственным проектом Android Hardening, который в апреле 2019 года был переименован в GrapheneOS и представлен публично.
Технически GrapheneOS — форк Android Open Source Project с акцентом на устранение целых классов уязвимостей: усиленная изоляция приложений, переработанная модель разрешений, отдельные переключатели сетевого доступа и доступа к датчикам для каждого приложения, рандомизация MAC-адреса при каждом подключении к Wi-Fi, автоматическая перезагрузка устройства при простое для возврата в состояние до первой разблокировки (BFU, Before First Unlock). По умолчанию сервисы Google в системе отсутствуют, но при необходимости их можно установить из встроенного магазина приложений в режиме песочницы без системных привилегий.
Поддерживаются смартфоны Google Pixel — они обеспечивают полноценную проверенную загрузку и хранение ключей в защищённом аппаратном модуле, что недоступно на большинстве серийных устройств с Android. По состоянию на апрель 2026 года число активных пользователей оценивается примерно в 400 тысяч — цифра приблизительная, поскольку в самой системе нет телеметрии и оценка делается по логам серверов обновлений.
Целевая аудитория проекта — журналисты, исследователи, корпоративные пользователи с высокими требованиями к приватности, а также все, кто хочет использовать Pixel без сервисов Google. Ограничения совместимости касаются именно тех приложений, что используют Play Integrity API: часть банковских клиентов, бесконтактные платежи, отдельные корпоративные сервисы и игры с защитой от модификаций.
Заключение
Тема, которую поднимает GrapheneOS, обсуждается среди разработчиков альтернативных Android-сборок уже несколько лет. Связка из Play Integrity API, App Attest, Privacy Pass и обновлённой мобильной проверки reCAPTCHA постепенно превращает аппаратную сертификацию у Google или Apple в условие доступа к части приложений и интернета. Для владельцев сертифицированных смартфонов изменений почти не видно. Для всех остальных — альтернативные ОС, ПК без смартфона рядом — список доступных сервисов будет постепенно сокращаться. Каким способом и какой ценой компенсировать это, решают теперь разработчики банковских приложений, регуляторы и владельцы сайтов с reCAPTCHA.