O **Projeto de Código Aberto do Android** é um sistema operativo móvel de código aberto liderado pela Google que alimenta a maioria dos dispositivos móveis do mundo. A maioria dos telemóveis vendidos com Android são modificados para incluir integrações e aplicações invasivas, como o Google Play Services, pelo que pode melhorar significativamente a sua privacidade no seu dispositivo móvel substituindo a instalação predefinida do seu telemóvel por uma versão do Android sem estas funcionalidades invasivas.
Estes são os sistemas operativos, dispositivos e aplicações Android que recomendamos para maximizar a segurança e a privacidade do seu dispositivo móvel. Para saber mais sobre o Android:
Recomendamos instalar um destes sistemas operativos Android personalizados no seu dispositivo, listados por ordem de preferência, dependendo da compatibilidade do seu dispositivo com estes sistemas operativos.
Os dispositivos em fim de vida (como os dispositivos GrapheneOS ou CalyxOS com "suporte alargado") não têm patches de segurança completos (atualizações de firmware) devido ao fato de o OEM ter interrompido o suporte. Estes dispositivos não podem ser considerados completamente seguros, independentemente do software instalado.
O GrapheneOS proporciona melhorias adicionais [reforço da segurança](https://en.wikipedia.org/wiki/Hardening_(computing)) e da privacidade. Tem um [alocador de memória reforçado](https://github.com/GrapheneOS/hardened_malloc), permissões de rede e de sensor e várias outras [características de segurança](https://grapheneos.org/features). O GrapheneOS também vem com atualizações de firmware completas e compilações assinadas, pelo que o arranque verificado é totalmente suportado.
GrapheneOS suporta o [Sandboxed Google Play](https://grapheneos.org/usage#sandboxed-google-play), que executa [Google Play Services](https://en.wikipedia.org/wiki/Google_Play_Services) totalmente sandboxed como qualquer outro aplicativo regular. Isto significa que pode tirar partido da maioria dos serviços do Google Play, como as notificações push [](https://firebase.google.com/docs/cloud-messaging/), ao mesmo tempo que lhe dá controlo total sobre as suas permissões e acesso, e, ao mesmo tempo, que os restringe a um perfil de trabalho específico [](os/android-overview.md#work-profile) ou a um perfil de utilizador [](os/android-overview.md#user-profiles) à sua escolha.
Os telemóveis Google Pixel são os únicos dispositivos que cumprem atualmente os requisitos de segurança de hardware do GrapheneOS [](https://grapheneos.org/faq#device-support).
[Por que recomendamos GrapheneOS em vez de CalyxOS :material-arrow-right-drop-circle:](https://blog.privacyguides.org/2022/04/21/grapheneos-or-calyxos/ ""){.md-button}
**DivestOS** é um soft-fork do [LineageOS](https://lineageos.org/).
O DivestOS herda muitos [dispositivos suportados] (https://divestos.org/index.php?page=devices&base=LineageOS) do LineageOS. Tem compilações assinadas, possibilitando ter [arranque verificado](https://source.android.com/security/verifiedboot) em alguns dispositivos não Pixel.
O DivestOS tem vulnerabilidades automatizadas do kernel ([CVE](https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures)) [patching](https://gitlab.com/divested-mobile/cve_checker), menos blobs proprietários, e um ficheiro [hosts](https://divested.dev/index.php?page=dnsbl) personalizado. O seu WebView reforçado, [Mulch](https://gitlab.com/divested-mobile/mulch), permite [CFI](https://en.wikipedia.org/wiki/Control-flow_integrity) para todas as arquiteturas e [particionamento do estado da rede](https://developer.mozilla.org/en-US/docs/Web/Privacy/State_Partitioning), e recebe atualizações fora de banda. O DivestOS também inclui patches de kernel do GrapheneOS e habilita todos os recursos de segurança do kernel disponíveis via [defconfig hardening](https://github.com/Divested-Mobile/DivestOS-Build/blob/master/Scripts/Common/Functions.sh#L758). Todos os kernels mais recentes que a versão 3.4 incluem [sanitização de página inteira](https://lwn.net/Articles/334747/) e todos os ~22 kernels compilados pela Clang têm [`-ftrivial-auto-var-init=zero`](https://reviews.llvm.org/D54604?id=174471) ativado.
O DivestOS implementa alguns patches de proteção de sistema originalmente desenvolvidos para o GrapheneOS. O DivestOS 16.0 e superior implementa as permissões [`INTERNET`](https://developer.android.com/training/basics/network-ops/connecting) e SENSORS do GrapheneOS, [alocador de memória endurecido](https://github.com/GrapheneOS/hardened_malloc), [exec-spawning](https://blog.privacyguides.org/2022/04/21/grapheneos-or-calyxos/#additional-hardening), [JNI](https://en.wikipedia.org/wiki/Java_Native_Interface) [constificação](https://en.wikipedia.org/wiki/Const_(computer_programming)), e patchsets parciais de endurecimento [bionic](https://en.wikipedia.org/wiki/Bionic_(software)). 17.1 e superior apresenta a opção de randomização completa do GrapheneOS por rede [MAC](https://en.wikipedia.org/wiki/MAC_address#Randomization), [`controle ptrace_scope`](https://www.kernel.org/doc/html/latest/admin-guide/LSM/Yama.html), e opções de tempo limite de reinicialização automática/Wi-Fi/Bluetooth [](https://grapheneos.org/features).
O DivestOS utiliza o F-Droid como loja de aplicações por padrão. We normally [recommend avoiding F-Droid](#f-droid), but doing so on DivestOS isn't viable; the developers update their apps via their own F-Droid repositories ([DivestOS Official](https://divestos.org/fdroid/official/?fingerprint=E4BE8D6ABFA4D9D4FEEF03CDDA7FF62A73FD64B75566F6DD4E5E577550BE8467) and [DivestOS WebView](https://divestos.org/fdroid/webview/?fingerprint=FB426DA1750A53D7724C8A582B4D34174E64A84B38940E5D5A802E1DFF9A40D2)). We recommend disabling the official F-Droid app and using [F-Droid Basic](https://f-droid.org/en/packages/org.fdroid.basic/) **with the DivestOS repositories enabled** to keep those components up to date. Para outras aplicações, os nossos métodos recomendados para as obter continuam a aplicar-se.
Atualizações do firmware do DivestOS [status](https://gitlab.com/divested-mobile/firmware-empty/-/blob/master/STATUS) e o controlo de qualidade variam consoante os dispositivos que suporta. Continuamos a recomendar o GrapheneOS, dependendo da compatibilidade do seu dispositivo. Para outros dispositivos, o DivestOS é uma boa alternativa.
Ao comprar um dispositivo, recomendamos que o adquira o mais novo possível. O software e o firmware dos dispositivos móveis só são suportados durante um período limitado, pelo que comprar um novo prolonga o mais possível essa vida útil.
Evite comprar telemóveis a operadores de redes móveis. Estes têm frequentemente um **bootloader bloqueado** e não suportam [desbloqueio OEM](https://source.android.com/devices/bootloader/locking_unlocking). Estas variantes de telemóvel impedem-no de instalar qualquer tipo de distribuição alternativa do Android.
Tenha muito **cuidado** ao comprar telemóveis em segunda mão em mercados online. Verifique sempre a reputação do vendedor. Se o dispositivo for roubado, existe a possibilidade de o [IMEI ser colocado na lista negra](https://www.gsma.com/security/resources/imei-blacklisting/). Existe também o risco de estar associado à atividade do proprietário anterior.
- Não compre dispositivos que tenham atingido ou estejam perto do fim da sua vida útil; as atualizações de firmware adicionais devem ser fornecidas pelo fabricante.
- Não compre telemóveis LineageOS ou /e/ OS pré-carregados ou quaisquer telemóveis Android sem o devido suporte [Verified Boot](https://source.android.com/security/verifiedboot) e atualizações de firmware. Estes dispositivos também não permitem verificar se foram adulterados.
- Em suma, se um dispositivo ou uma distribuição Android não constar da lista, existe provavelmente um bom motivo. Consulte o nosso [fórum](https://discuss.privacyguides.net/) para obter mais informações!
Os telemóveis Google Pixel são os **únicos dispositivos** que recomendamos para compra. Os telemóveis Pixel têm uma segurança de hardware mais forte do que qualquer outro dispositivo Android atualmente no mercado, devido ao suporte AVB adequado para sistemas operativos de terceiros e aos chips de segurança personalizados [Titan](https://security.googleblog.com/2021/10/pixel-6-setting-new-standard-for-mobile.html) da Google, que atuam como elemento seguro.
Os dispositivos **Google Pixel** são conhecidos por terem uma boa segurança e suportarem corretamente o [Verified Boot] (https://source.android.com/security/verifiedboot), mesmo quando instalam sistemas operativos personalizados.
Beginning with the **Pixel 8** and **8 Pro**, Pixel devices receive a minimum of 7 years of guaranteed security updates, ensuring a much longer lifespan compared to the 2-5 years competing OEMs typically offer.
Os Secure Elements, como o Titan M2, são mais limitados do que o Trusted Execution Environment do processador utilizado pela maioria dos outros telemóveis, uma vez que são utilizados apenas para armazenamento de segredos, atestação de hardware e limitação de taxas, e não para executar programas "de confiança". Os telemóveis sem um elemento seguro têm de utilizar o TEE para *todas* essas funções, o que resulta numa maior superfície de ataque.
A instalação do GrapheneOS num telemóvel Pixel é fácil com o seu [instalador por web](https://grapheneos.org/install/web). Se não se sentir à vontade para o fazer por si mesmo e estiver disposto a gastar um pouco mais de dinheiro, consulte o [NitroPhone](https://shop.nitrokey.com/shop), uma vez que vem pré-carregado com GrapheneOS da reputada empresa [Nitrokey](https://www.nitrokey.com/about).
- Se procura uma pechincha num dispositivo Pixel, sugerimos que compre um modelo "**a**", logo após o lançamento do próximo topo de gama. Normalmente, os descontos estão disponíveis porque a Google está a tentar liquidar o seu stock.
- Considere as opções de redução de preços e as promoções oferecidas nas lojas físicas.
- Consulte os sítios de pechinchas da comunidade em linha no seu país. Estes podem alertá-lo para boas vendas.
- A Google fornece uma lista com o [ciclo de suporte](https://support.google.com/nexus/answer/4457705) para cada um dos seus dispositivos. O preço por dia de um dispositivo pode ser calculado da seguinte forma: $\text{Cost} \over \text {EOL Date}-\text{Current Date}$, o que significa que quanto maior for o tempo de utilização do dispositivo, menor será o custo por dia.
Nós recomendamos uma grande variedade de aplicações Android neste sítio web. As aplicações aqui listadas são exclusivas do Android e melhoram ou substituem especificamente as principais funcionalidades do sistema.
{ align=right }
**Shelter** é uma aplicação que o ajuda a tirar partido da funcionalidade Perfil de trabalho do Android para isolar ou duplicar aplicações no seu dispositivo.
O Shelter suporta o bloqueio da pesquisa de contactos entre perfis e a partilha de ficheiros entre perfis através do gestor de ficheiros predefinido ([DocumentsUI](https://source.android.com/devices/architecture/modular-system/documentsui)).
O Shelter é recomendado em relação a [Insular](https://secure-system.gitlab.io/Insular/) e [Island](https://github.com/oasisfeng/island), uma vez que suporta [bloqueio de pesquisa de contactos] (https://secure-system.gitlab.io/Insular/faq.html).
Ao utilizar o Shelter, deposita a total confiança no seu programador, uma vez que o Shelter atua como [Device Admin] (https://developer.android.com/guide/topics/admin/device-admin) para criar o Perfil de Trabalho com um acesso alargado aos dados armazenados no Perfil de Trabalho.
**Secure Camera** é uma aplicação de câmara centrada na privacidade e segurança que pode captar imagens, vídeos e códigos QR. As extensões do fornecedor CameraX (Retrato, HDR, Visão noturna, retoque facial e Automático) também são suportadas nos dispositivos disponíveis.
- Remoção automática dos metadados [Exif](https://en.wikipedia.org/wiki/Exif) (ativada por predefinição)
- Utilização da nova API [Media](https://developer.android.com/training/data-storage/shared/media), pelo que não são necessárias as [permissões de armazenamento](https://developer.android.com/training/data-storage)
- Não é necessária autorização para microfone, exceto se pretender gravar som
Os metadados de orientação da imagem não são eliminados. Se ativar a localização (na Câmara segura), esta **não será** apagada. Se pretender eliminar essa informação mais tarde, terá de utilizar uma aplicação externa, como [ExifEraser](data-redaction.md#exiferaser).
O **Secure PDF Viewer** é um visualizador de PDF baseado em [pdf.js](https://en.wikipedia.org/wiki/PDF.js) que não requer quaisquer permissões. O PDF é introduzido num ficheiro [sandboxed](https://en.wikipedia.org/wiki/Sandbox_(software_development)) [webview](https://developer.android.com/guide/webapps/webview). Isto significa que não necessita de permissão direta para aceder a conteúdos ou ficheiros.
[Content-Security-Policy](https://en.wikipedia.org/wiki/Content_Security_Policy) é utilizado para garantir que o JavaScript e as propriedades de estilo no WebView são inteiramente conteúdos estáticos.
**Obtainium** is an app manager which allows you to install and update apps directly from the developer's own releases page (i.e. GitHub, GitLab, the developer's website, etc.), rather than a centralized app store/repository. It supports automatic background updates on Android 12 and higher.
Obtainium allows you to download APK installer files from a wide variety of sources, and it is up to you to ensure those sources and apps are legitimate. For example, using Obtainium to install Signal from [Signal's APK landing page](https://signal.org/android/apk/) should be fine, but installing from third-party APK repositories like Aptoide or APKPure may pose additional risks. The risk of installing a malicious *update* is lower, because Android itself verifies that all app updates are signed by the same developer as the existing app on your phone before installing them.
A loja de aplicações GrapheneOS está disponível no [GitHub](https://github.com/GrapheneOS/Apps/releases). Suporta o Android 12 e superior, e é capaz de se atualizar. A loja de aplicações tem aplicações autónomas criadas pelo projeto GrapheneOS, tais como [Auditor](https://attestation.app/), [Camera](https://github.com/GrapheneOS/Camera), e [PDF Viewer](https://github.com/GrapheneOS/PdfViewer). Se estiver à procura destas aplicações, recomendamos vivamente que as obtenha na loja de aplicações GrapheneOS em vez de na Play Store, uma vez que as aplicações na sua loja são assinadas pela própria assinatura do projeto GrapheneOS, à qual a Google não tem acesso.
A Google Play Store requer uma conta do Google para entrar, o que não é ótimo para privacidade. Pode contornar isto utilizando um cliente alternativo, como a Aurora Store.
A Aurora Store não permite descarregar aplicações pagas com a sua funcionalidade de conta anónima. Opcionalmente, pode iniciar sessão com a sua conta Google na Aurora Store para descarregar aplicações que tenha comprado, o que dá acesso à lista de aplicações que instalou para a Google, mas continua a beneficiar do facto de não necessitar do cliente Google Play completo e do Google Play Services ou do microG no seu dispositivo.
For apps that are released on platforms like GitHub and GitLab, you may be able to add an RSS feed to your [news aggregator](news-aggregators.md) that will help you keep track of new releases.
   
No GitHub, utilizando [Secure Camera](#secure-camera) como exemplo, deve navegar para a sua [página de lançamentos](https://github.com/GrapheneOS/Camera/releases) e anexar `atom` ao URL:
No GitLab, utilizando [Aurora Store](#aurora-store) como exemplo, navegará para o seu [repositório de projeto](https://gitlab.com/AuroraOSS/AuroraStore) e acrescentará `/-/tags?format=atom` ao URL:
Se descarregar ficheiros APK para instalar manualmente, pode verificar a sua assinatura com a ferramenta [`apksigner`](https://developer.android.com/studio/command-line/apksigner), que faz parte do Android [build-tools](https://developer.android.com/studio/releases/build-tools).
5. Os hashes resultantes podem então ser comparados com outra fonte. Alguns programadores, como o Signal, [mostram as impressões digitais](https://signal.org/android/apk/) no seus sítio web.
==We only recommend F-Droid as a way to obtain apps which cannot be obtained via the means above.== F-Droid is often recommended as an alternative to Google Play, particularly in the privacy community. A opção de adicionar repositórios de terceiros e não ficar confinado ao jardim murado do Google levou à sua popularidade. Além disso, o F-Droid tem [builds reproduzíveis](https://f-droid.org/en/docs/Reproducible_Builds/) para algumas aplicações e dedica-se ao software livre e de código aberto. However, there are some security-related downsides to how F-Droid builds, signs, and delivers packages:
Devido ao seu processo de criação de aplicações, as aplicações no repositório oficial do F-Droid atrasam-se frequentemente nas atualizações. Os manejadores do F-Droid também reutilizam IDs de pacotes enquanto assinam aplicativos com as suas próprias chaves, o que não é ideal, por dar à equipe do F-Droid a confiança final. Additionally, the requirements for an app to be included in the official F-Droid repo are less strict than other app stores like Google Play, meaning that F-Droid tends to host a lot more apps which are older, unmaintained, or otherwise no longer meet [modern security standards](https://developer.android.com/google/play/requirements/target-sdk).
Other popular third-party repositories for F-Droid such as [IzzyOnDroid](https://apt.izzysoft.de/fdroid/) alleviate some of these concerns. O repositório IzzyOnDroid puxa as compilações diretamente do GitHub e é a melhor coisa a seguir aos repositórios dos próprios programadores. However, it is not something that we can fully recommend, as apps are typically [removed](https://github.com/vfsfitvnm/ViMusic/issues/240#issuecomment-1225564446) from that repository if they are later added to the main F-Droid repository. Embora isso faça sentido (uma vez que o objetivo desse repositório em particular é alojar aplicações antes de serem aceites no repositório principal do F-Droid), pode deixá-lo com aplicações instaladas que já não recebem atualizações.
That said, the [F-Droid](https://f-droid.org/en/packages/) and [IzzyOnDroid](https://apt.izzysoft.de/fdroid/) repositories are home to countless apps, so they can be a useful tool to search for and discover open-source apps that you can then download through other means such as the Play Store, Aurora Store, or by getting the APK directly from the developer. You should use your best judgement when looking for new apps via this method, and keep an eye on how frequently the app is updated. Outdated apps may rely on unsupported libraries, among other things, posing a potential security risk.
Em alguns casos raros, o programador de uma aplicação só a distribui através do F-Droid ([Gadgetbridge](https://gadgetbridge.org/) é um exemplo disso). If you really need an app like that, we recommend using the newer [F-Droid Basic](https://f-droid.org/en/packages/org.fdroid.basic/) client instead of the original F-Droid app to obtain it. F-Droid Basic can do unattended updates without privileged extension or root, and has a reduced feature set (limiting attack surface).
**Please note we are not affiliated with any of the projects we recommend.** In addition to [our standard criteria](about/criteria.md), we have developed a clear set of requirements to allow us to provide objective recommendations. We suggest you familiarize yourself with this list before choosing to use a project, and conduct your own research to ensure it's the right choice for you.
Estamos a trabalhar no sentido de estabelecer critérios definidos para cada secção do nosso sítio, o que pode estar sujeito a alterações. Se tiver alguma dúvida sobre os critérios utilizados, por favor [pergunte no nosso fórum](https://discuss.privacyguides.net/latest) e não parta do princípio de que algo foi excluído das nossas recomendações, caso não esteja listado aqui. São muitos os fatores considerados e discutidos quando recomendamos um projeto, e documentar cada um deles é um trabalho em curso.
