Předmluva

• OS
  • Operační systém, software, na kterém bezi jiný software.
• Android
  • Operační systém od společnosti Google, Inc. pro chytré telefony.
• GOS
  • GrapheneOS, zkratka pro tento OS založený na OS Android
• LOS
  • LineageOS, zkratka pro tento OS založený na OS Android.
  • LineageOS je založený na AOSP.
• AOSP
  • Android Open Source Project, jedná se o Android, který je "očištěný" od služeb Google a má v sobě pouze licenčně svobodné programy.
• Raspberry Pi
  • Raspberry Pi je jednodeskový počítač, zaměřený hlavně pro kutily.
  • Tento počítač má tzv. GPIO pinout, ke kterému lze připojit čidla a ty poté přímo z OS programovat.
• DDNS
  • Dynamic DNS, neboli dynamická domena.
  • Jedná se o domenu, kterou vam přideli nejaky poskytovatel (třeba freedns.afraid.org), který vam doménu aktualizuje periodicky, což se hodi, kdyz mate dynamickou IP adresu.
• Desktop Mode
  • v kontextu OS Android se jedná o funkcionalitu operačního systému, který umožňuje ovládat telefon připojený k počítačovému monitoru (společně s periferiemi jako myš a klávesnice) jako klasicky stolni počítač, byť s jinou filozofií ovládání.
  • Telefon se tak chová jako klasický stolní počítač, ačkoliv si ponechává své rozhraní pro dodatečnou funkcionalitu.
  • Jinymi slovy lze říci, že telefon plní funkci stolniho počítače i telefonu zároveň.
  • Subjektivně si myslim, že budoucnost výpočetní techniky půjde i tímto směrem.

Co předcházelo

V květnu 2022 jsem se po delší době používání svého tehdejšího telefonu Nokia 5 (Čistý Android) rozhodl k zakoupení nového přístroje, jelikož Nokia přestávala stačit mým potřebam, stejně tak i co se velikosti displeje týče.
Volba tehdy padla na Xiaomi Mi 11 Lite 5G, verze 8G/128G v černé barvě.

Společně s tím jsem pořídil i ochranné prvky, jako je ochranné sklo, pouzdra. Jinymi slovy snaha o to, aby telefon vydržel užívání v dalších letech.

Nicméně, nebylo to pouze o pozitivech.

Pomerně rychle jsem si zvykl na nové prostředí, s ním však přišly i věci jinak mě neznámé a kolikrát i "podezřelé". Jelikož Xiaomi je čínského "návrháře" (rozlišuji zde, že produkt je vyrobený v Číně / ČLR, kdo jej však navrhuje je pro mě subjektivně další entita), byly zde i aplikace, které jsem k dispozici mít nechtěl, místy to bylo i podivné chování OS.

Je pravdou, že krátce po koupi přišla slíbená aktualizace na Android 13, nicméně tím jinak nedůležité aktualizace ze strany výrobce (v tomto případě považuji jak fyzicky výrobce HW, tak i dodavatel OS) ustaly. Vlastně jedinými aktualizacemi - dodám, že pouze akutními, řešícími konkrétní bezpečnostní problém - byly pouze bezpečnostní.

Příchod Garmin Pay

Časem jsem se rozhodl si pořídit i chyté hodinky, jelikož jsem v té době rozhodl vyzkoušet si placení právě chytrými hodinkami.

První pokus byl s Xiaomi Watch 2. Paradoxní volba pro tohoto výrobce byla pro "čistý" operační systém s možností Google Wallet/Pay přímo v hodinkách.
Nicméně nepovedlo se mi tohoto docilit, hodinky při pokusu nahlásily chybu a odmítly platební kartu přidat. Původní způsob užití bylo "zpohodlnit" placení (při nástupu do MHD, v obchodě...). Už v té době jsem se snažil najít myšlenku "Jak separovat platby od (relativně permanentně) k datům připojeného telefonu. Dá se říci, že o sledování fyzického pohybu bankovními institucemi jsem tušil, nicméně čím dál více jsem měl potřebu toto oddělit. V této době (duben 2025) mi "stačilo", kdyz na domácí Wi-Fi jednorázově sesynchronizuji peněženky.

Ač se mi Xiaomi Watch 2 líbily, vrátil jsem je zpět a rozhodl se jít cestou Garmin Forerunner 255, společně s Garmin Pay.

Záhy jsem zjistil, že hodinky od Garminu nejenže nabídly styl placení, který jsem hledal, ale také možnost si napsat vlastní program. Garmin jako takový má sice uzavřený systém, nicméně má k němu k dispozici SDK (Software Development Kit, sadu programu na vývoj softwaru pro daný produkt, zjednodušeno), což mi otevřelo cestu časem i k tomu si naprogramovat vlastní "statistiky" k jednomu mému oblíbenému sportu/relaxaci.

Lze tedy říci, že Garmin vyřešil nejen problém v té době pro mě aktuální, ale přidal mi do života i možnost žít aktivněji s možností si to sledovat.

Závěrem, mé současné hodinky mi doporucil člověk jménem Valentino Hesse, čímž mu za doporučení chci poděkovat i formou tohoto textu.

Nástup VPN

V pozdějších fázích, asi tak rok před změnou jsem ve zvýšeném měřítku začal užívat domácí VPN. Konkretne jsem na svoji Raspberry Pi 3. generace (verze B) nastavil WireGuard. Jelikož už v té době jsem měl na své DDNS i certifikát přes LetsEncrypt, vlastnictví VPN dávalo smysl, hlavně kvůli bezpečnosti týkající se bankovních aplikací.

S nástupem a nastavením VPN se trochu pojí i nová filozofie užívání telefonu. Na Xiaomi jsem si všiml tzv. "sekundárního prostoru", přeloženě jde o jiný profil/uživatele na stejném telefonu. Telefon s touto funkcionalitou se chová, jako kdyby byl právě čerstvě nainstalován / zapnut, de facto jde o stejné prostředí. Výhodou tohoto prostředí je možnost mít separované aplikace (takže třeba "normální" profil bez bankovních věcí a "bankovní" profil s bankovními aplikacemi různých bank, aplikace na nákup, popřípadě komunikátory se separovaným účtem).

S tímto se však pojí vyšší nároky na baterii telefonu, jelikož "klasický" Android / LineageOS / AOSP "neumí" ukončit profil, kdyz není potřebný. Znamená to tedy, že profil běží na pozadí i nadále (což není vždy nevýhoda). Nezřídka se stávalo, že i po jedné cestě do obchodu telefon dokázal "propálit" i 20 %. To sice na cestu tam i zpět stačilo, místy bylo však užívání s ohledem na maximální dostupnost náročné, což ne vždy bylo příjemné, zvláště při delších cestách.

Od ledna 2026 jsem začal řešit, čím Xiaomi Mi 11 Lite 5G nahradím.

Google Pixel 10 Pro XL

Postupne jsem začal zkoumat specifikace různých telefonu, co by daný přistroj měl umet. V zasade jsem měl tyto požadavky:

• Profiling (rozšířená forma "sekundárního prostoru" od Xiaomi, alespoň 2 profily), ideálně s možností daný profil ukončit,
• Always-On VPN (čili zablokování veškerého provozu, není-li VPN aktivní)
• Dual-SIM (historicky mám více SIM karet, které i do dnešního dne udržuji v "provozu")
• větší display (hodně dobré zkušenosti u Xiaomi Mi 11 Lite, který měl velký display)
• Na základě zkušeností u Xiaomi i dlouhodobá podpora výrobce/dodavatele OS.

Volbou po cca 4 měsících, rešeršovaného výzkumu i za pomocí jazykových modelů (Gemini, ChatGPT) v několika instancich (tímto mám na mysli opakované využití AI "Jaký telefon? Zde jsou mé požadavky"), tak i dotazování různých diskusních fór jsem dospěl ke konečnému závěru, kterým se stal Google Pixel 10. generace, verze Pro, velikost XL. Formalním jménem "Google Pixel 10 Pro XL 16/256 GB".

Telefon jsem se rozhodl po delším váhání objednat a jelikož jsem v té době měl i členství v jednom větším internetovém obchodě, definitivně jsem se rozhodl pro koupi, konkretně zelené verze "Jade", která mi "zapadala do korporatního stylu".

Lze říci, že další den mi byl telefon doručen a já se tak mohl začít radovat z nového stroje. Samozřejmě, pro maximalni ochranu nového stroje jsem i jako v případě Xiaomi Mi 11 Lite přiobjednal ochranné prvky.

GrapheneOS

Zjednoduším-li to, Pixel jsem si neobjednal pouze jako náhradu, ale i jako cilený důvod. Už asi 2 měsíce před koupí jsem měl povedomí o operačním systému "GrapheneOS", který oproti standardnímu Androidu nabízel i od základu přeimplementovanou funkcionalitu týkající se bezpečnosti a soukromí.

I to byla součást mého předchozího rešeršovaného vyhledavání, který OS chci použít. Ano, jinymi kandidaty byla i Motorola, nicméně některé funkce jako GrapheneOS nenabízela a byť s autory GrapheneOS uzavřela partnerství na oficiálního dodavatele hardware (tím rozumím telefony), první přístroje od Motoroly mající jako OS GrapheneOS nebudou k dispozici dříve, než v roce 2027.

Funkcionalita společná a rozdilná

Jednou z motivaci pro nový telefon byla i funkcionalita tzv. "Desktop Mode", která se předchozích verzích Androidu objevovala pouze od výrobce Samsung, tzv. "DeX". Jiná varianta - která hovořila i v prospěch dříve zmíněné Motoroly - byl "Smart Connect", nicméně důvodem pro Pixel (a později i GrapheneOS) byly aktualizace operačního systému samotného.

"Zakladní" Android

Desktop Mode

Základní Android - záleží zde i na hardwaru telefonu - funkcionalitu Desktop Mode umí. Předchůdcem jím bylo USB OTG (USB On-The-Go), což je možnost připojit USB flash do telefonu a zacházet s ním podobným stylem, jako kdyby šlo o počítač, stejně tak ovladaní přes klávesnici a myš.
Desktop Mode přidává DisplayPort Alt Mode přes USB-C, která vyjma datového/ovladacího přenosu přenáší i obrazové data možné zobrazit právě na externím monitoru. Je to umožněné tzv. propustností rozhranní, v tomto případě USB-C.

Aktualizce

Ač společnost Google má snahu o snižovaní tzv. e-waste (elektronický odpad), ne každý výrobce je tomu nakloneň. Ano, stále jde o výdělek, nicméně funguje-li telefon i po své moralní zastaralosti, výrobce zpravidla nechce poskytovat opravy jinak starým strojům.

Řada Pixel od Google má v tomto případě jinou filozofii, jelikož jde o "vlajkové lodě" pro Android, filozofie aktualizaci je zde jiná a mnohem otevřenější k tomu udržet stroj v aktuálním stavu, jelikož hardware je poměrně schopný.

Rozdíl GrapheneOS oproti "základu"

Co se GrapheneOS týče, většína funkcí je v tomto systému oproti zakladnímu OS Android zachována, nicméně GrapheneOS má zaměření hlavně na bezpecnost.
Velkým rozdilem je zde nejen Always-On VPN (formalně dostupná již od verze Androidu 7/8), nicméně společně s profilovaním (které oproti zakladu má funkci cíleného vypnutí) je možnost zablokovat veškerý síťový provoz, neběží-li VPN na pozadí.

Toto je především zajímavé, má-li uživatel domácí VPN.

Základní Android nabízí aplikacím tzv. "pískoviště", nicméně v GrapheneOS je této funckionalitě věnována mnohem větší pozornost po stránce zabezpečení a soukromí. Lze i v určitých ohledech aplikaci dovolit, kam bude moci pristupovat (což je hodně zajimavé u některých aplikací typu Messenger od Meta, stejně tak WhatsApp).

Dále je hodně zajimavé - především s užitím vypínatelného profilu - právě pro bankovní aplikace, kdy nejenže dovolíte této aplikací běžet explicitně pouze tehdy, kdy je potřeba, ale také donutíte její provoz jít třeba přes vaši domácí síť. Lze tak říci, že telefon máte elektronicky stále připojený přes síťový prvek, kterému důvěřujete (což o "datech" - datovému připojení přímo z telefonu platí dvojnásob).

Jinou variantou jsou i aplikace, které chcete mít "zamknuté" za specialním heslem a dostupné pouze a pouze majiteli přístroje.

Post Scriptum ke GrapheneOS

Mám-li v krátkosti udělat výtah, lze říci, že GrapheneOS jsem na svůj Pixel 10 Pro XL nainstaloval v podstatě hned druhý den po přijetí telefonu. Možnost vyzkoušet si zakladní OS přímo od Google jsem zde moc nevyužil, jelikož i přes vlastnictví nového telefonu (a s tím spojenym "WOW" efektem) jsem měl jasný záměr.

Nicméně musím dodat, že byl by nějaký závažnější problém s GrapheneOS, příručka, respektive postup pro instalaci "sériového" Androidu je velmi jednoduchá. V zásadě stačí upravený webový prohlížeč, USB kabel do počítače a trocha času. Je to tedy změna lehce zvrátitelná a dívám se tedy na GrapheneOS s "mentalitou" "Lze to vrátit, bude-li třeba".

Vedlejší efekt na předchozím telefonu

Ač jsem zmínil, že Pixel 10 Pro XL s GrapheneOS se stal hlavním "tažným koněm" mobilního života, otevřelo mi to možnost si "hrát" do té doby s "produkčním" telefonem od Xiaomi.

Měl jsem povědomí, že telefony od Xiaomi - nachází-li se na uzemí Evropské Unie - lze tzv. odemknout a nainstalovat jiný operační systém, v mem případě LineageOS / LOS. Je to forma AOSP, která v sobě nemá predinstalované aplikace od spolecnosti Google a i daného výrobce/návrháře. Jedná se tak o "De-Googled" software, místy i "de-bloated" systém.

Učinil jsem tak a telefon jsem začal užívat jako "záložní". Ač LineageOS podporu pro vypínání profilů nemá, Always-On VPN funkcionalita je zde také přitomna a lze ji užít podobným způsobem, jako na GrapheneOS.

Kdyz zmíním paradox, že Xiaomi Mi 11 Lite 5G po instalaci LineageOS "ožilo", nebudu daleko od pravdy. Pominu-li některé funkcionality řešitelné externě, telefon je plně funkční a stačilo by jej prodat s poznamkou "Toto nefunguje, je to záměr nikoliv můj, ale dodavatele systému".

Přislušenství k telefonum přidané

V kratkosti zde zminím i "obnovu" přislušenství pro oba přístroje. Puvodní, originální nabijecí adaptér pro Xiaomi postupně ztrácel na výkonu, rozhodl jsem se tedy - i s ohledem na pracovní Samsung Galaxy S25 - vyzkoušet si bezdrátové nabíjení, které jsem doteď neměl možnost využít.

Postupne volba padla na nejen GaN nabíjecí adaptér (vzhledem k dobrým referencím jsem užil "AlzaPower Ultímate X500 67W"), tak nabíjecí "puk" "AlzaPower WQT110" s podporou Qi2.

Jelikož jsem 3Dtiskař a 3Dmodelář, návrh a 3Dtisk stojánku přímo pro tento puk (zohledňuící proporce i slabší "MagSafe" u Samsungu Galaxy S25) byl logickym krokem.

Paradox s ohledem na bezpečnost aktualizovaného OS Android

Dostavám se tímto do poslední kapitoly, kde budu řešit a pokládat otázky, na které nejspíše nedostanu odpovědi.
Jakožto člověk IT-znalý (pro kontext, pracuji jako automation engineer, server administrator a on-call ve větší IT firmě) vnímám paradox, kdy výrobcem dodaný software má "certifikaci" pro určité funkce - v tomto případě třeba Google Wallet. Funkcionalitu Tap-n-Pay zde musím nahrazovat právě Garmin Pay.

Lze se na to i dívat z jiného úhlu pohledu, kdy platba hodinkami je paradoxně bezpečnější (NFC čip v hodinkách je jinak vypnut, zapíná se pouze, když uživatel funkci pro placení explicitně zapne v daný okamžik).

To platí jak pro GrapheneOS, tak pro LineageOS.

Telefony, obecně systémy (jak Android, tak i Debian, Arch Linux) se snažím držet v aktualním stavu a nezřídka si sám zajišťuji i aktualizace / opravy.

Otázka - kterou si kladu - je "Proc je alternativní systém jinak pravidelně aktualizovaný méně bezpečný, než zastaralý systém dodaný výrobcem, který nemá dalšího důvodu se o daný přistroj / hardware starat?"

Narážím tak na paradox, kdy i pravidelně aktualizovaný - ale necertifikovaný - software je bezpečnější, než jinak "certifikovaný" software od výrobce, který se rozhodl od určitého data aktualizace nedodavat. Pokud telefon nadále funguje, proč jeho funkcionalitu ořezávat, když by to samé mohl zvládat i dalších - dejme tomu - 5 let a tím tak ještě více "rozprostřít" náklady na iniciální pořízení?

Závěrem

GrapheneOS byl cílem snažení nejen o na to najít soukromí ve světě stále více a více připomínající 1984, ale také i tom, že jinak morálně zastaralé přístroje mají i nadále svůj důvod existovat.

Mým pohledem GrapheneOS - byť s určitými nedostatky, které jsem akceptoval - plní přesně to, co jsem od něj očekával, tedy nabídnout alespoň soukromí ve světě, kdy je každý krok monitorován.

Jako přidaným benefitem i nabídnout funkcionalitu, která by v roce rozmachu informačních technologií na začátku 21. stoleti mohla působit jako sci-fi - mít skoro plnohodnotný počítač ne v batohu, ale přímo v kapse.

Galerie

| Nabíjecí stojánek pro Qi2 wireless | "Dockovací" stanice s užitím 3Dtisku |
| | |

The post GrapheneOS, poznatky z užívání first appeared on Hard Wired.

Bluetooth bezpečnostní rizika: Jak se chránit před skrytými hrozbami

Bluetooth se stal součástí našeho každodenního života – od připojení sluchátek po synchronizaci chytrých hodinek. Tato neviditelná technologie však skrývá vážná bezpečnostní rizika, která mohou ohrožovat naše osobní data i soukromí.

Skrytá hrozba v kapse

Bluetooth technologie dnes běží na miliardách zařízení po celém světě. Její všudypřítomnost a schopnost navazovat spojení na dálku z ní však činí atraktivní cíl pro útočníky. Na rozdíl od tradičních kybernetických útoků, které vyžadují aktivní účast uživatele, mohou Bluetooth exploity zasáhnout bez jakékoliv interakce ze strany oběti.

Bezpečnostní experti varují, že i zdánlivě neškodné zapnutí Bluetooth může vystavit zařízení útoku. Stačí být ve špatnou chvíli na špatném místě – například v kavárně, na letišti nebo na zastávce.

BlueBorne a BrakTooth: Reálné hrozby současnosti

Mezi nejznámější Bluetooth exploity patří BlueBorne, poprvé detailně popsaný v roce 2017 výzkumníky ze společnosti Armis Labs. Tento typ útoku umožňuje útočníkovi získat přístup k zařízení přes aktivní Bluetooth bez nutnosti párování nebo jakékoliv akce uživatele.

BlueBorne původně ohrožoval přes 8,2 miliardy Bluetooth zařízení na platformách Android, iOS, Linux i Windows. Ačkoliv byl v mnoha systémech opraven, princip útoku zůstává aktuální i v roce 2025.

Novějším příkladem je BrakTooth – skupina zranitelností zveřejněná v roce 2021, která dokázala způsobit vše od odmítnutí služby až po vzdálené spuštění kódu na cílových zařízeních.

Jak útoky fungují

Problém nespočívá v konkrétních aplikacích, ale v samotném Bluetooth stacku – způsobu, jak zařízení spravují bezdrátové spojení. Pokud obsahuje bezpečnostní díru, může útočník pomocí speciálně upraveného signálu:

• Získat neautorizovaný přístup do systému
• Spustit škodlivý kód
• Proniknout na další zařízení v okolí
• Ukrást citlivá data

Dosah útoku je omezen pouze dosahem Bluetooth signálu – typicky 10 až 30 metrů.

Proč jste stále v ohrožení

Trvalá připravenost: Většina uživatelů má Bluetooth zapnutý 24/7 kvůli připojeným sluchátkům, chytrým hodinkám nebo dalším gadgetům. Tato permanentní dostupnost poskytuje útočníkům neustálou příležitost.

Zastaralé systémy: Miliony zařízení v Česku stále běží na starších verzích Androidu (verze 8 a nižší) nebo používají levnější hardware s neaktualizovaným Bluetooth softwarem.

Zero-click útoky: Vývoj směřuje k útokům, které nevyžadují žádnou interakci uživatele – Bluetooth je pro tyto techniky ideálním nosičem.

Praktická ochrana

Efektivní ochrana proti Bluetooth útokům nevyžaduje technické znalosti, ale důslednost:

Vypínejte Bluetooth, když ho nepotřebujete – zejména v noci a na veřejných místech. Znemožníte tím útočníkům vyhledávat vaše zařízení.

Udržujte systém aktuální – bezpečnostní záplaty jako ty pro BlueBorne jsou účinné pouze u aktualizovaných zařízení.

Omezte viditelnost – zkontrolujte nastavení, aby vaše zařízení nebylo trvale viditelné pro ostatní.

Kontrolujte oprávnění aplikací – nepovolujte přístup k Bluetooth aplikacím, které ho skutečně nepotřebují.

Buďte opatrní při párování – nepřipojujte se k neznámým zařízením, která mohou napodobovat legitimní hardware.

Používejte Bluetooth selektivně – zvažte jeho použití pouze doma nebo v autě, nikoliv na veřejnosti.

Závěr

Bluetooth není nutné se bát, ale stejně jako u Wi-Fi nebo hesel platí základní pravidlo: bezpečnost začíná u správného nastavení a rozumného používání. S rostoucím počtem připojených zařízení a vývojem nových útočných technik se preventivní opatření stávají klíčovými pro ochranu našich digitálních životů.

Jednoduché změny v chování a nastavení mohou dramaticky snížit riziko a zajistit, že Bluetooth zůstane užitečným nástrojem, nikoliv bezpečnostní hrozbou.

The post Bezpečnostní rizika Bluetooth first appeared on Hard Wired.