RaazNet

رازنتبتا

دانشنامه
در این صفحه

سخت‌افزار امن و سیستم‌عامل‌های سفارشی

راهنمای جامع انتخاب سخت‌افزار موبایل امن و نصب سیستم‌عامل‌های متمرکز بر حریم خصوصی مانند GrapheneOS، متناسب با فضای تهدیدات سایبری در ایران.

Time15 minutes

سخت‌افزار امن و سیستم‌عامل‌های سفارشی

گوشی‌های هوشمند تجاری معمول، اغلب در ارائه محافظت کافی ناکام می‌مانند. سازندگانی مانند سامسونگ، شیائومی و اپل، دستگاه‌های خود را برای راحتی کاربر و جمع‌آوری داده‌ها طراحی می‌کنند، نه برای مقاومت در برابر استخراج جرم‌شناسی (Forensic) یا جاسوسی‌های هدفمند.

این راهنما بر مقاوم‌سازی لایه فیزیکی امنیت موبایل شما از طریق انتخاب سخت‌افزار مناسب و جایگزینی سیستم‌عامل پیش‌فرض با یک جایگزین امن و حامی حریم خصوصی تمرکز دارد.

۱. انتخاب سخت‌افزار: زیربنای امنیت

امنیت نرم‌افزار کاملاً به یکپارچگی سخت‌افزار وابسته است. اگر سخت‌افزار ناامن باشد یا تحت نفوذ قرار گرفته باشد، هیچ سیستم‌عاملی نمی‌تواند به‌طور کامل از شما محافظت کند.

دستگاه پیشنهادی: گوگل پیکسل (Google Pixel)

با وجود طعنه‌آمیز بودن پیشنهاد محصولی از گوگل برای حفظ حریم خصوصی، گوشی‌های گوگل پیکسل (به‌طور خاص پیکسل ۶ و مدل‌های جدیدتر) در حال حاضر تنها دستگاه‌هایی هستند که الزامات سخت‌گیرانه سخت‌افزاری را برای یک پیکربندی واقعاً امن برآورده می‌کنند.

  • تراشه امنیتی Titan M2: یک قطعه سخت‌افزاری اختصاصی که مدیریت کلیدهای رمزگذاری و "بوت تأیید شده" (Verified Boot) را بر عهده دارد. این تراشه حساس‌ترین داده‌های شما (مانند رمز عبور) را از پردازنده اصلی ایزوله می‌کند و کار ابزارهای جرم‌شناسی (مانند Cellebrite که توسط نهادهای امنیتی استفاده می‌شود) را برای شکستن رمز عبور بسیار دشوار می‌سازد.
  • بوت تأیید شده با کلیدهای سفارشی: برخلاف سایر برندها، پیکسل‌ها به شما اجازه می‌دهند بوت‌لودر (Bootloader) را با کلیدهای رمزنگاری سفارشی قفل کنید. این ویژگی تضمین می‌کند که تنها سیستم‌عامل مورد اعتماد شما (مثلاً GrapheneOS) روی دستگاه اجرا شود. اگر مهاجمی سعی کند سیستم‌عامل را دستکاری کند، گوشی روشن نخواهد شد.
  • قطع‌کن‌های سخت‌افزاری میکروفون/دوربین: هرچند کلید فیزیکی نیستند، اما دکمه‌های نرم‌افزاری سطح پایین در اندروید ۱۲ به بالا (که در GrapheneOS تقویت شده‌اند) به شما اجازه می‌دهند جریان برق سنسورها را کاملاً قطع کنید.

سخت‌افزارهایی که باید از آن‌ها اجتناب کرد

  • سامسونگ/شیائومی/هواوی: این سازندگان اغلب قفل مجدد بوت‌لودر را پس از نصب سیستم‌عامل سفارشی دشوار یا غیرممکن می‌سازند. بوت‌لودر باز یک ریسک امنیتی بزرگ است؛ اگر گوشی شما توقیف شود، مهاجم می‌تواند به راحتی بدافزار روی آن فلش کند.
  • موتورولا: بر اساس گزارش‌های اواخر ۲۰۲۴ و اوایل ۲۰۲۵، استفاده از دستگاه‌های موتورولا در ایران به دلیل نگرانی‌های امنیتی پس از حملات مبتنی بر سخت‌افزار در منطقه ممنوع یا محدود شده است. برای جلوگیری از حساسیت‌های بی‌مورد یا توقیف دستگاه، از این برند دوری کنید.
  • گوشی‌های قفل اپراتور (Carrier-Locked): هرگز گوشی‌هایی که به اپراتور خاصی قفل شده‌اند (مانند گوشی‌های وارداتی AT&T یا T-Mobile) نخرید. این گوشی‌ها قابل تغییر و دستکاری سیستم‌عامل نیستند.

شرایط ایران: تهیه دستگاه و سامانه "همتا"

تهیه پیکسل در ایران چالش‌هایی دارد:

۱. دسترسی: گوگل به طور رسمی در ایران فروش ندارد. باید به "بازار خاکستری" یا واردات مسافری شخصی تکیه کنید. ۲. سامانه همتا (ملاحظات طراحی): طرح رجیستری موبایل ایران (همتا) شناسه IMEI دستگاه شما را به پاسپورت و کد ملی‌تان پیوند می‌دهد. این موضوع ناشناس بودن را از بین می‌برد. - راهکار کاهش خطر: در نظر داشته باشید که از دستگاه امن خود صرفاً به عنوان یک دستگاه "فقط وای‌فای" (Wi-Fi Only) استفاده کنید. سیم‌کارت داخل آن نگذارید. در عوض، از یک مودم همراه ۴G ارزان‌قیمت (MiFi) برای دسترسی به اینترنت استفاده کنید. اگر مودم توقیف یا ردیابی شود، گوشی امن شما (که حاوی داده‌هایتان است) از نظر سخت‌افزاری از هویت سیم‌کارت جدا باقی می‌ماند.

۲. سیستم‌عامل‌های سفارشی

جایگزینی سیستم‌عامل اصلی اندروید، لایه "سرمایه‌داری نظارتی" (سرویس‌های گوگل پلی) را حذف کرده و دستگاه را در برابر حملات فارنزیک (جرم‌شناسی) مقاوم می‌سازد.

توصیه برتر: GrapheneOS (گرافن‌او‌اس)

گرافن‌او‌اس یک سیستم‌عامل موبایل مقاوم‌سازی شده و متمرکز بر حریم خصوصی است که فقط با گوشی‌های گوگل پیکسل سازگار است. این سیستم‌عامل به عنوان استاندارد طلایی برای امنیت موبایل در شرایط پرخطر شناخته می‌شود.

چرا GrapheneOS برای کاربران ایرانی؟

  • گوگل‌زدایی و دور زدن تحریم‌ها: به‌صورت پیش‌فرض، GrapheneOS فاقد سرویس‌های گوگل پلی است.
    • مزیت: از تحریم‌های آمریکا که اغلب آی‌پی‌های ایران را مسدود می‌کنند ("Error 403") خلاص می‌شوید.
    • مزیت: ارسال مداوم داده‌های تله‌متری به سرورهای گوگل را حذف می‌کنید؛ داده‌هایی که ممکن است شنود شوند یا با حکم قضایی در اختیار دولت‌ها قرار گیرند.
  • سرویس‌های گوگل پلی در سندباکس (Sandbox): اگر مطلقاً به برنامه‌ای نیاز دارید که به گوگل وابسته است (مثلاً برای نوتیفیکیشن‌های خاص)، GrapheneOS اجازه می‌دهد سرویس‌های گوگل پلی را به عنوان یک برنامه عادی و بدون دسترسی سیستمی نصب کنید. این سرویس‌ها در محیط ایزوله (سندباکس) اجرا می‌شوند و به فایل‌ها یا موقعیت مکانی شما دسترسی ندارند مگر اینکه صراحتاً اجازه دهید.
  • امنیت مقاوم‌سازی شده:
    • راه‌اندازی مجدد خودکار (Auto-Reboot): می‌توانید تنظیم کنید که گوشی پس از مدت مشخصی بی‌استفاده ماندن (مثلاً ۱ ساعت) به‌طور خودکار ریستارت شود. گوشی ریستارت شده در حالت "قبل از اولین بازگشایی" (BFU) قرار می‌گیرد؛ جایی که کلیدهای رمزنگاری از حافظه رم پاک شده‌اند و استخراج اطلاعات تقریباً غیرممکن می‌شود.
    • درهم‌ریزی پین (PIN Scrambling): اعداد صفحه‌کلید را در موقعیت‌های تصادفی قرار می‌دهد تا مهاجمان نتوانند از روی لکه‌های اثر انگشت روی صفحه، رمز شما را حدس بزنند.
    • رمز عبور اضطراری (Duress Password): می‌توانید یک پین "جعلی" تنظیم کنید که در صورت وارد کردن آن، دستگاه وایپ (پاک‌سازی) شود یا یک پروفایل خالی باز شود (هرچند تکیه بر این روش زیر فشار شکنجه یا تهدید فیزیکی ریسک بالایی دارد).

جایگزین: DivestOS

اگر توانایی خرید پیکسل را ندارید یا دستگاهی دارید که توسط DivestOS پشتیبانی می‌شود (مثل مدل‌های قدیمی وان‌پلاس یا Fairphone)، DivestOS جایگزین مناسبی است.

  • مزایا: حذف بخش‌های باینری انحصاری (Blobs)، پشتیبانی از سخت‌افزارهای قدیمی‌تر، تمرکز بر سبک‌سازی.
  • معایب: امنیت پایین‌تر نسبت به GrapheneOS (اغلب امکان قفل مجدد بوت‌لودر در دستگاه‌های غیر پیکسل وجود ندارد).
  • کاربرد: استفاده مجدد از گوشی‌های قدیمی به عنوان دستگاهی برای مشاهده مدیا به صورت آفلاین یا دستگاه امن تک‌منظوره.

هشدار: برای نیازهای امنیتی بالا از "کاستوم رام‌های" استاندارد مثل LineageOS دوری کنید. اگرچه برای حفظ حریم خصوصی در برابر گوگل خوب هستند، اما اغلب نیاز به بوت‌لودر باز دارند و در حالت "userdebug" اجرا می‌شوند که امنیت فیزیکی دستگاه را در برابر ابزارهای استخراج پلیس تضعیف می‌کند.

۳. استراتژی پیاده‌سازی

مرحله ۱: تهیه دستگاه

  • یک گوگل پیکسل سری 6a، ۷ یا ۸ بخرید. سری "a" ارزان‌تر هستند و ویژگی‌های امنیتی یکسانی ارائه می‌دهند.
  • ترجیحاً با پول نقد یا رمزارز خرید کنید. اگر در ایران خرید می‌کنید، سعی کنید خرید را مستقیماً به هویت اصلی خود متصل نکنید.

مرحله ۲: نصب

  • نصب‌کننده تحت وب GrapheneOS: فرآیند نصب اکنون از طریق مرورگر وب (Chrome/Edge/Brave) در دسترس است. نیازی به تخصص در خط فرمان (Command Line) ندارید.
  • گام حیاتی: مطمئن شوید که در پایان نصب، بوت‌لودر را مجدداً قفل کنید (Re-lock). نصب‌کننده این مورد را به شما یادآوری می‌کند. این کار همان چیزی است که زنجیره "بوت تأیید شده" را ایمن می‌کند.

مرحله ۳: تأیید اصالت دستگاه (برنامه Auditor)

  • گرافن‌او‌اس شامل برنامه‌ای به نام Auditor است. این برنامه از تراشه Titan M2 استفاده می‌کند تا به صورت رمزنگاری شده تأیید کند که سیستم‌عامل شما دستکاری نشده است.
  • می‌توانید دستگاه خود را با یک گوشی GrapheneOS دیگر یا وب‌سرویس Auditor جفت (Pair) کنید تا در صورت تغییر سیستم‌عامل (مثلاً حمله "خدمتکار شیطانی" یا Evil Maid در زمانی که بازداشت بوده‌اید) هشدار دریافت کنید.

مرحله ۴: زیست‌بوم اپلیکیشن‌ها (زندگی "گوگل‌زدایی شده")

بدون فروشگاه گوگل پلی، به روش‌های جایگزین برای دریافت برنامه‌ها نیاز دارید.

  • Obtainium: توصیه شده. برنامه‌ها را مستقیماً از صفحه انتشار (Release) توسعه‌دهنده در گیت‌هاب/گیت‌لب دانلود و به‌طور خودکار به‌روزرسانی می‌کند. بهترین گزینه برای ابزارهای متن‌باز (سیگنال، تور بروزر و غیره).
  • Aurora Store: کلاینت ناشناس برای گوگل پلی استور. به شما امکان می‌دهد بدون وارد شدن به حساب گوگل، برنامه‌های رایج را دانلود کنید.
    • نکته: هنگام استفاده از Aurora Store از VPN یا Tor استفاده کنید تا آی‌پی ایران خود را از گوگل مخفی کنید.
  • F-Droid: مخزنی از نرم‌افزارهای آزاد و متن‌باز (FOSS). برای امنیت بهتر و به‌روزرسانی‌های سریع‌تر از کلاینت F-Droid Basic استفاده کنید.

۴. مدل تهدید: توقیف فیزیکی و بازجویی

در ایران، احتمال بازرسی فیزیکی گوشی توسط بسیج یا نیروهای امنیتی در ایست‌های بازرسی بالاست.

  • پروفایل‌های جداگانه: GrapheneOS از پروفایل‌های کاربری پشتیبانی می‌کند. می‌توانید یک پروفایل "پوششی" (Decoy) داشته باشید که عادی به نظر برسد (عکس‌های معمولی، برنامه‌های استاندارد) و یک پروفایل "مخفی" برای کارهای حساس.
    • ریسک: ابزارهای جرم‌شناسی می‌توانند وجود پروفایل‌های متعدد را تشخیص دهند. این استراتژی در برابر بازرسی‌های سطحی (ایست بازرسی خیابانی) بهتر از تحلیل کامل آزمایشگاهی جواب می‌دهد.
  • "کلید مرگ" (ریستارت خودکار): تایمر ریستارت خودکار را روی زمان کوتاه تنظیم کنید (مثلاً ۱۰ تا ۳۰ دقیقه). اگر گوشی در حالت قفل‌باز از شما گرفته شود، به زودی خودبخود ریستارت شده و به حالت کاملاً رمزگذاری شده (BFU) برمی‌گردد که شکستن آن بسیار سخت‌تر است.
  • خاموش کردن فوری: اگر در موقعیتی هستید که بازداشت قریب‌الوقوع است، دستگاه را کاملاً خاموش کنید (Power Off). فقط صفحه را قفل نکنید.

چک‌لیست خلاصه

  • سخت‌افزار: گوگل پیکسل ۶ یا جدیدتر.
  • سیستم‌عامل: GrapheneOS نصب شده و بوت‌لودر قفل شده (LOCKED).
  • اتصالات: فقط وای‌فای (ترجیحی) یا سیم‌کارت دیتا در یک مودم جیبی (MiFi) جداگانه.
  • برنامه‌ها: نصب شده از طریق Obtainium یا Aurora Store (بدون لاگین حساب گوگل).
  • پیکربندی: تایمر ریستارت خودکار تنظیم شده؛ خاموشی خودکار وای‌فای/بلوتوث فعال شده.
  • تأیید اصالت: برنامه Auditor پیکربندی شده.

مقالات مرتبط:

  • [[Advanced_Mobile_Threats_and_Countermeasures]]
  • [[Android_Security_and_Hardening]]
  • [[Privacy_Focused_Mobile_Apps_and_Stores]]
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.