Die Installation von GrapheneOS ist auf einem Pixel-Gerät ohne Hacks und komische Handgriffe möglich. Von der komplizierten Anleitung sollte man sich nicht abschrecken lassen. Geht man sie Schritt für Schritt durch, kann man eigentlich keine Fehler machen. Eine Rückkehr zum Ursprungszustand ist immer möglich.
Es gibt einen Webinstaller und die Installation ist hervorragend bei GrapheneOS dokumentiert. Weil auf meinem Desktop kein Chromium bzw. ein Chromium-Fork installiert ist und Firefox nicht offiziell supportet wird, habe ich mich für die Installation auf der Kommandozeile entschieden. Für die Vollständigkeit der Serie möchte ich das hier kurz darstellen, empfehle aber bei entsprechenden Englischkenntnissen die GrapheneOS-Dokumentation.
Installation von GrapheneOS auf dem Pixel 6
OEM aktivieren
Zuerst muss man im Google Stock ROM die OEM Option aktivieren. Das war tatsächlich das erste und einzige Mal, das ich das originale Google-Betriebssystem des Pixel 6 starten musste – vom ersten Funktionstest direkt nach dem Kauf einmal abgesehen.
Das erfolgt in zwei Schritten:
- Einstellungen –> Über das Telefon –> Mehrfach die BuildNummer tippen bis die Entwickleroptionen freigeschaltet werden.
- Einstellungen –> System –> Entwickleroptionen –> Schalter bei OEM-Entsperrung umlegen
Danach kann man das Gerät erst mal wieder abschalten.
Image herunterladen und prüfen
Nun bezieht man die notwendigen Images von GrapheneOS und prüft diese mit signify. Das haben alle Distributionen in den Paketquellen. Bei Debian und allen Derivaten aufpassen, dass man das richtige Paket signify-openbsd nimmt und nicht das nutzlose und nicht gewartete signify.
Zuerst lädt man den öffentlichen Schlüssel von GrapheneOS herunter. Das kann man z. B. mit curl erledigen.
$ curl -O https://releases.grapheneos.org/factory.pub
Code-Sprache: JavaScript (javascript)
Anschließend folgen das sogenannte Factory Image und die entsprechende Sig-Datei. Die URL ist das experimentelle Release vom 11.12.2021 und folglich den aktuellen Gegebenheiten anzupassen:
$ curl -O https://releases.grapheneos.org/oriole-factory-2021121117.zip
$ curl -O https://releases.grapheneos.org/oriole-factory-2021121117.zip.sig
Code-Sprache: JavaScript (javascript)
Nun erfolgt die Prüfung, ob die Downloads korrekt sind. Auch hier sind die Dateinamen zukünftig anzupassen.
$ signify -Cqp factory.pub -x oriole-factory-2021121117.zip.sig && echo verified
verified
Code-Sprache: PHP (php)
Das heruntergeladene Image kann man mit z. B. bsdtar entpacken.
$ bsdtar xvf oriole-factory-2021121117.zip
Fastboot installieren
Für die folgenden Schritte benötigt man fastboot und die android-udev Regeln. Viele Distributionen haben die Android-Tools in den Paketquellen. Nicht bei allen sind sie in den entsprechend aktuellen Versionen vorhanden. Die entsprechenden Warnhinweise bei GrapheneOS sollte man ernst nehmen und deshalb vorab prüfen, welche Version man installiert hat.
$ fastboot --version
fastboot version 31.0.3-android-tools
Installed as /usr/bin/fastboot
Code-Sprache: JavaScript (javascript)
Zum Zeitpunkt des Verfassens dieses Beitrags 31.0.3 zulässig. Die in openSUSE Tumbleweed enthaltene Version reichte also aus. Ansonsten sind bei GrapheneOS Hinweise zu finden, wie man die offiziellen Android-Tools beziehen kann.
Bootloader öffnen und GrapheneOS installieren
Nun startet man das Smartphone mit gedrückter Lautstärke-runter Taste. Das Smartphone startet dadurch in die Bootloader-Oberfläche.
Nun verbindet man das Smartphone mittels Kabel mit dem PC und entsperrt den Bootloader mit folgendem Befehl:
$ fastboot flashing unlock
Nun wechselt man in das Verzeichnis mit dem Image:
$ cd oriole-factory-2021121117
Danach kann man die Installation beginnen
$ ./flash-all.sh
Die Installation läuft nun durch. Das Smartphone startet derweil mehrfach neu und wechselt unter anderem ins Bootloader Interface und Recovery-System. Hier sieht es teilweise so aus, als ob man als Anwender etwas machen könnte oder sollte. Einfach nichts tun und warten! Irgendwann endet der Prozess im Bootloader-Interface.
Hier nun den Bootloader wieder sperren, um den verifizierten Start wieder herzustellen und weitere Manipulationen am Gerät zu unterbinden.
$ fastboot flashing lock
Einrichtung nach der Installation
Nun kann man das Smartphone initial starten. Beim Start kommt ein Hinweis auf das alternative Betriebssystem. Hiervon nicht irritieren lassen, das ist normal und erscheint nur beim Stock Android von Google nicht. Anschließend wird man vom GrapheneOS Startscreen begrüßt. Nach dem ersten Start kommt die obligatorische Einrichtungsroutine von Android. Auf diese wird hier nicht näher eingegangen.
Zuerst sollte man die Erlaubnis zur OEM-Entsperrung in den Entwickleroptionen widerrufen. Dazu einfach wie oben die entsprechenden Einstellungen aufrufen und dort die Option deaktivieren.
Wie bereits in einem anderen Teil der Serie thematisiert, ist GrapheneOS sehr reduziert im Umfang. Wer hier mehr Komfort haben möchte, kann ggf. einen Blick auf CalxyOS werfen.
Standardmäßig sieht ein GrapheneOS-System so aus:
Selbst absolut puristische Anwender werden nicht umhin kommen einige Apps aus F-Droid zu beziehen.
Dazu in Einstellungen –> Apps –> Spezieller Zugriff –> Installieren unbekannter Apps für Vanadium erlauben. Dann mittels eben jenes Vanadium die Webseite von F-Droid aufrufen und den Store herunterladen und installieren.
Danach in jedem Fall die Berechtigung für Vanadium rückgängig machen und entsprechend für F-Droid erteilen.
Updates kommen nun für die nächsten Jahre einfach Over-The-Air (OTA).
So hat jeder Nutzer die Apps seiner Wahl zu installieren; wem würde nützen, wenn welche vorinstalliert wären, die er gar nicht will/nutzt etc.
Wer “seine” App nicht bei F-Droid findet, kann von dort den “Aurora Store” installieren. Das ist ein Frontend für den original Google Play Store, mit dem man anonym dessen Apps installieren kann.
Ist GrapheneOS nicht so eine Google-only-Geschichte? Das gibt’s doch nur für Pixel-Smartphones, oder?
Ja, hat mich auch immer abgeschreckt, aber hat zwei simple Ursachen:
Bei anderer Hardware ist meist offiziell die Installation anderer Betriebssysteme verboten und/oder es fehlt an notwendigen Hardware-seitigen Sicherheitsfeatures.
Hinzu kommt noch ein praktischer Grund. Die Treiber für die Pixel-Geräte werden direkt in AOSP übernommen, wodurch die Unterstützung aller Bestandteile von Firmware, über Kernel bis AOSP relativ einfach ist. Das ist bei anderen Geräten nicht so einfach oder gar nicht möglich.
Ich hab auf meinem neuen Pixel 4a GrapheneOS mit meinem alten Pixel 3 (mit GrapheneOS) installiert.
Erstmal vielen Dank für die vielen Tips.
Ich habe mich für die Webinstall-Methode entschieden. Auf der Seite von GrapheneOS heißt es dazu:
(…)
Officially supported browsers for the web install method:
Chromium (outside Ubuntu, since they ship a broken Snap package without working WebUSB)
Bromite
Vanadium (GrapheneOS)
Google Chrome
Microsoft Edge
Brave
(…)
Ich kann keinen dieser Browser auf meinem MacBook installieren. Geht das auch mit dem Safari Browser?
Da er nicht gelistet ist, würde ich mal vom Gegenteil ausgehen. Warum nicht dafür Google Chrome installieren? Das lässt sich doch auch für macOS installieren?
Der heißt jetzt “Microsoft Edge (Chromium Basis)”. Ob der wohl funktioniert?
Danke Gerrit, hat geklappt!
Hallo. Kann die Installation denn auch wieder rückgängig gemacht werden, so dass das originale Google System wiederhergestellt wird?
Ja geht, siehe hier ganz am Schluss: https://grapheneos.org/install/cli#replacing-grapheneos-with-the-stock-os
Hallo. Habe seit ein paar Tagen GrapheneOS auf meinem Pixel 4a installiert. Hatte davor LineageOS, was auch nicht schlecht ist, aber Graphene gefällt mir besser. Nur eins check ich nicht. Wie bekomme ich die Apps/Verknüpfungen aus dem Ordner Apps auf den Homescreen?
Lange drauf drücken und ziehen?! Wie bei jedem anderen Android eben auch.
Nach dem Einschalten kommt der Hinweis auf ein anderes OS, soweit ok. Dann erscheint das Googl Logo noch vor dem Start von GrapheneOS. Habe ich etwas verkehrt gemacht?
Nein, wieso? Das ist das Logo des Bootloaders und das Gerät ist ja nach wie vor von Google.
Wo kommen die Farben auf den Abbildungen her, meine Icons sind alle schwarzweiß.
Die Screenshots sind schon älter.
Hallo Curius,
vielen Dank fast alles hat geklappt. System läuft. Aber der Bootloader wurde nicht wieder gesperrt, trotz Webinstaller Befehl. Wie sperrt man den nachträglich , ohne das ganze System neu zu flashen?
Man kann nachträglich über die Konsole sperren. Steht auch in der kommandozeilenbasierten Installationsanleitung: https://grapheneos.org/install/cli#locking-the-bootloader