I’d like to tell you separately about the duress feature.

What do you do if someone “politely” asks for your phone? (I recently witnessed a scene: people in black masks — naturally they didn’t identify themselves — just grabbed the phone from my friend’s hands and started digging through it. Then they also “asked” him to unlock it after it locked.) If you refuse — they’ll just press your finger to the phone, and Face Unlock doesn’t even require physical contact.

Now to the point. Pixel 9 has face unlock through the regular camera. GrapheneOS removed it. Fingerprint remains, but you can (and should) set a master password or PIN on top of it. You can configure whether PIN is required every time or only after reboot. And most interesting — you can set an automatic reboot timer, for example once per hour. Simple scenario: you go to a “dangerous” place, you get detained, the phone is no longer in your hands, an hour passes — it reboots, and fingerprint unlock no longer works.

It gets more interesting. You can set a duress PIN, which when entered opens a pre-selected profile and deletes all others along with their data.

Another thing people rarely think about. Several years ago there was research showing that a PIN could be recovered from side-angle footage (by finger movements) or even from fingerprints on the screen. GrapheneOS has a special feature against this — the numeric keypad is scrambled on every entry. Yes, it’s slightly slower for unlocking, but it’s cool that they thought of this too.

I understand that some of these features may seem excessive. But surveillance from governments and corporations is really high, and if there’s an opportunity to add even a little autonomy — why not take advantage.

Fun fact: Pixel 9 Pro has 16 GB of RAM. Sounds hefty, but 3–4 GB are occupied by AI Core, which constantly runs in the background for Gemini AI features. In GrapheneOS all of this is removed, so the phone holds charge noticeably longer — I can’t give exact numbers, but this is a widespread user observation.

Why only Pixel? Essentially because of the hardware. First, the dedicated security chip Titan M2. During manufacturing, each chip generates a unique set of cryptographic keys right inside the chip, and these keys never leave its isolated environment. It handles firmware verification (Verified Boot), rollback protection, and cryptography. Second, Memory Tagging (MTE) in ARMv9 (Pixel 8–10): each memory region and pointer gets a tag, and if they don’t match — the process crashes. This kills entire classes of bugs like use-after-free and significantly complicates vulnerability exploitation.

Отдельно хотел бы рассказать про функцию двойного дна.

Что делать, если сами знаете кто вежливо попросит (или не очень вежливо) ваш телефон? (Я, кстати, сравнительно недавно наблюдал такую картину: люди в чёрных масках, естественно не представились — просто вырвали телефон из рук моего друга и начали в нём шариться. Потом ещё «попросили» разблокировать после блокировки) Если вы откажетесь — ваш палец просто приложат к телефону, а для Face Unlock даже физический контакт не нужен.

Теперь к сути. В Pixel 9 есть разблокировка по лицу через обычную камеру. В GrapheneOS её убрали. Остаётся отпечаток, но поверх него можно (и нужно) поставить мастер-пароль или PIN. Причём можно настроить, чтобы PIN требовался либо каждый раз, либо только после перезагрузки. И самое интересное — можно задать таймер автоматической перезагрузки, например раз в час. Сценарий простой: идёте вы в «опасное» место, вас принимают, телефон уже не у вас, проходит час — он перезагружается, и разблокировать его отпечатком уже нельзя.

Дальше интереснее. Можно задать фейковый PIN-код, при вводе которого открывается заранее выбранный профиль, а остальные удаляются естественно со всеми данными.

Ещё момент, о котором редко думают. Несколько лет назад выходило исследование, где PIN можно было восстановить по съёмке сбоку (по движениям пальцев) или даже по отпечаткам на экране. В GrapheneOS против этого есть специальная функция – цифровая клавиатура перемешивается при каждом вводе. Да, это чуть медленнее при разблокировке, но в целом круто, что и это учли.

Я понимаю, что часть этих функций может показаться избыточной. Но контроль со стороны государств и корпораций реально высокий, и если есть возможность добавить себе хоть немного автономности — почему бы не воспользоваться.

Из забавного: в Pixel 9 Pro целых 16 ГБ RAM. Звучит жирно, но 3–4 ГБ из них заняты под AI Core, который постоянно крутится в фоне ради Ai фич по тиму gemini. В GrapheneOS всё это выпилено, поэтому телефон держит заряд заметно дольше — точных цифр не дам, но это массовое наблюдение пользователей.

Почему вообще только Pixel? По сути из-за железа. Во-первых, отдельный чип для безопасности Titan M2. При изготовлении каждый такой чип генерирует уникальный набор криптографических ключей прямо внутри чипа, и эти ключи никогда не покидают его изолированной среды. Он отвечает за проверку прошивки (Verified Boot), защиту от отката на уязвимые версии и криптографию. Во-вторых, Memory Tagging (MTE) в ARMv9 (Pixel 8–10): каждому участку памяти и указателю даётся тег, и если они не совпадают — процесс падает. Это убивает целые классы багов вроде use-after-free и сильно усложняет эксплуатацию уязвимостей.