CVE-2026-0073 is a Critical severity Remote Code Execution (RCE) vulnerability included as the only vulnerability fixed in the May 2026 Android Security Bulletin. GrapheneOS first shipped the patch in our 2026030501 security preview release on March 5th. It also isn't nearly as severe as it sounds.

This was a bypass for TLS client certificate authentication in the Android Debug Bridge (ADB) for the Wireless debugging feature. It's only relevant to users enabling developer options, enabling Android Debug Bridge and then enabling Wireless debugging. Wireless debugging is disabled on reboot.

Our security preview releases are recommended in the initial setup wizard via a dedicated page with toggle that's enabled by default. Existing users who weren't shown the page received a notification at boot opening a similar page with a save button. It reappears until a choice is made either way.

GrapheneOS

2026-05-08 00:57:53

Our security preview releases are recommended in the initial setup wizard via a dedicated page with toggle that's enabled by default. Existing users who weren't shown the page received a notification at boot opening a similar page with a save button. It reappears until a choice is made either way.

GrapheneOS isn't vulnerable to the 3 recently disclosed Linux kernel vulnerabilities named Copy Fail, Copy Fail 2 and Dirty Frag. Current Android Open Source Project SELinux policies block exploiting all 3 bugs. Standard AOSP GKI kernel configuration also has 2/3 of the vulnerable features disabled.

Attack surface reduction via fine-grained SELinux policy rules and stripping out unused kernel features via kernel configuration goes a long way to protecting against vulnerabilities. There's also seccomp-bpf for various standard sandboxes but most of the attack surface reduction is via SELinux.

AOSP uses SELinux to allowlist ioctl commands for drivers, permitted socket types, etc. in a fine-grained way. It strictly controls a lot of functionality prone to vulnerabilities including user namespaces and io_uring which aren't allowed to be used by apps or nearly any of the base OS processes.

These kinds of issues are rare and attack surface reduction is the best way to defend against them. GrapheneOS does additional kernel attack surface reduction but in these 3 cases it's enough to have modern AOSP GKI kernel and SELinux policies. We also greatly improve generic exploit protections.

Local privilege escalation vulnerabilities in the Linux kernel are very common. However, the vast majority are memory corruption bugs rather than these memory-related logic errors. We defend against the memory corruption bugs with hardware memory tagging, zero-on-free and similar generic defenses.

Linux has a massive amount of code for the core kernel and drivers for the hardware. All of the code runs with full privileges with no isolation. In a microkernel, each of these 3 recent vulnerabilities would have been in isolated processes. Virtualization will have a major role in addressing this.

Despite these not being traditional memory corruption, a memory safe language with a better type system would definitely help. Containing low-level handling of memory to a much smaller portion of the kernel and mostly using safe abstractions for networking, device drivers, etc. would help a lot.

Linux has a relentless flood of severe memory corruption bugs being discovered. Nearly all exploit chains for Linux-based systems by commercial and government exploit developers use Linux kernel memory corruption bugs. It's a lot harder to make very portable and reliable exploits for those bugs.

A lot can be done to further reduce Linux kernel attack surface in GrapheneOS and much better generic memory corruption exploit protections can also be developed. However, it clearly needs to be replaced. Hardware-based virtualization on smartphones keeps getting better and has a major role to play.

Main discussion thread:

discuss.grapheneos.org/d/35353…

GrapheneOS

2026-05-08 00:33:23

Main discussion thread:

discuss.grapheneos.org/d/35353…

GrapheneOS isn't vulnerable to the 3 recent Linux memory logic vulnerabilities - GrapheneOS Discussion Forum

GrapheneOS discussion forum

^{GrapheneOS Discussion Forum}

🇪🇺 Európsky parlament dnes schválil historickú zmenu volebného zákona, ktorá po prvýkrát umožní poslankyniam hlasovať v zastúpení. Táto novinka sa týka obdobia troch mesiacov pred pôrodom a šiestich mesiacov po ňom. Ide o priamu odpoveď na dlhodobú kritiku, že zladiť výkon mandátu s materstvom bolo v praxi doteraz nesmierne náročné.

🤰 Táto zmena je konkrétnym krokom k rodovej rovnosti a vytváraniu pracovných podmienok, ktoré sú zlučiteľné s rodinným životom. Tehotné poslankyne alebo čerstvé matky tak získajú možnosť preniesť svoje hlasovacie právo na iného kolegu či kolegyňu v čase, keď sa nebudú môcť osobne zúčastniť plenárneho zasadnutia.

⚖️ Maximálna dĺžka tohto zastúpenia je stanovená na deväť mesiacov. Hlavným zmyslom reformy je zabezpečiť, aby političky zostali plnohodnotnou súčasťou legislatívneho procesu aj napriek zdravotným, fyzickým či logistickým výzvam, ktoré tehotenstvo a starostlivosť o novorodenca prirodzene prinášajú.

📝 Cesta k schváleniu nebola úplne krátka. Parlament návrh odobril už v novembri 2025, pričom Rada EÚ v marci 2026 doplnila požiadavky na transparentnosť. Podmienky prenesenia hlasu musia byť jasne zakotvené v Štatúte poslancov a rokovacom poriadku tak, aby bola zaručená integrita a sledovateľnosť každého jedného hlasovania.

🌍 Keďže ide o zmenu európskeho volebného zákona, posledné slovo majú teraz členské štáty. Tie musia reformu ratifikovať v súlade so svojimi vnútroštátnymi postupmi. Európsky parlament preto dôrazne vyzýva národné parlamenty, aby tak urobili čo najskôr a umožnili poslankyniam využívať tieto nové práva v praxi.

Tags:

• 2026050600 (Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet, Pixel Fold, Pixel 8, Pixel 8 Pro, Pixel 8a, Pixel 9, Pixel 9 Pro, Pixel 9 Pro XL, Pixel 9 Pro Fold, Pixel 9a, Pixel 10, Pixel 10 Pro, Pixel 10 Pro XL, Pixel 10 Pro Fold, Pixel 10a, emulator, generic, other targets)

Changes since the 2026050400 release:

• update Pixel firmware, driver libraries, HALs and other components backported from Android 16 QPR3 from the initial March 2026 release to the May 2026 release (CP1A.260505.005.A1)
• Contact Scopes: add missing handling for QUERY_DEFAULT_ACCOUNT_FOR_NEW_CONTACTS_METHOD was added in Android 16
• backport fix for stuck IME input from May 2026 Pixel update
• bionic: avoid adding an extra guard page below the main thread's pthread_internal_t since it serves no purpose (the stack is in a dedicated mapping from the kernel so the stack guard is immediately below pthread_internal_t) and it causes a crash for incorrect anti-tampering code shared across many banking apps which reads /proc/self/maps to find the main thread's thread-local data including pthread_internal_t based on mapping name and then tries to access the internal libc data stored in an entirely internal libc format without checking if there's a guard page (these anti-tampering checks serve no valid security purpose, cause these apps to break on major Android releases and hinder OS security hardening due to compatibility issues with their incorrect code)
• bionic: remove unnecessary extra naming for mappings to avoid 2 extra system calls for creating a thread
• adevtool: fix update-carrier-settings command

All of the Android 16 security patches from the current June 2026, July 2026, August 2026, September 2026, October 2026 and November 2026 Android Security Bulletins are included in the 2026050601 security preview release. List of additional fixed CVEs:

• Critical: CVE-2026-0039, CVE-2026-0040, CVE-2026-0041, CVE-2026-0042, CVE-2026-0043, CVE-2026-0044, CVE-2026-0051, CVE-2026-0052, CVE-2026-0080, CVE-2026-0097, CVE-2026-21352, CVE-2026-21353, CVE-2026-27280, CVE-2026-28590, CVE-2026-28591
• High: CVE-2025-22424, CVE-2025-22426, CVE-2025-48600, CVE-2025-48612, CVE-2026-0008, CVE-2026-0016, CVE-2026-0036, CVE-2026-0048, CVE-2026-0050, CVE-2026-0053, CVE-2026-0054, CVE-2026-0055, CVE-2026-0056, CVE-2026-0059, CVE-2026-0060, CVE-2026-0061, CVE-2026-0062, CVE-2026-0063, CVE-2026-0065, CVE-2026-0067, CVE-2026-0070, CVE-2026-0074, CVE-2026-0075, CVE-2026-0076, CVE-2026-0077, CVE-2026-0078, CVE-2026-0079, CVE-2026-0084, CVE-2026-0085, CVE-2026-0086, CVE-2026-0087, CVE-2026-0088, CVE-2026-0089, CVE-2026-0091, CVE-2026-0093, CVE-2026-0094, CVE-2026-0095, CVE-2026-0096, CVE-2026-0098, CVE-2026-0099, CVE-2026-0100, CVE-2026-28572, CVE-2026-28574, CVE-2026-28577, CVE-2026-28578, CVE-2026-28580, CVE-2026-28581, CVE-2026-28582, CVE-2026-28583, CVE-2026-28585, CVE-2026-28586, CVE-2026-28588, CVE-2026-28594, CVE-2026-28596, CVE-2026-28602

For detailed information on security preview releases, see our post about it.

Tags:

• 2026050400 (Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet, Pixel Fold, Pixel 8, Pixel 8 Pro, Pixel 8a, Pixel 9, Pixel 9 Pro, Pixel 9 Pro XL, Pixel 9 Pro Fold, Pixel 9a, Pixel 10, Pixel 10 Pro, Pixel 10 Pro XL, Pixel 10 Pro Fold, Pixel 10a, emulator, generic, other targets)

Changes since the 2026042100 release:

• full 2026-05-01 security patch level
• disable registerQuicConnectionClosePayload optimization to fix VPN leak
• Sandboxed Google Play compatibility layer: add shim for BluetoothAdapter.ACTION_REQUEST_ENABLE
• apply active Dynamic Code Loading restrictions for Java inside isolated processes
• add app API for checking Dynamic Code Loading restriction states
• fully enable lockscreen widget support by default to avoid the swipe gesture being missing for the Pixel 10a and the whole feature being missing for the emulator
• enable standard secure NFC mode by default which can be changed via Settings > Connected devices > Connection preferences > NFC > Require device unlock for NFC (note this only disables card emulation while locked rather than all uses of NFC)
• backport upstream fix for getBubblePackageForLogging() crash
• kernel (6.1): update to latest GKI LTS branch revision including update to 6.1.170
• kernel (6.6): update to latest GKI LTS branch revision including update to 6.6.130
• kernel (6.12): update to latest GKI LTS branch revision
• hardened_malloc: fix slightly non-uniform distribution of random u16 values used for randomizing slot selection, slab allocation quarantining and free slab quarantining
• hardened_malloc: improve the robustness of disabling memory tagging against theoretical issues by making it fork-safe and adding more synchronization to avoid technically undefined parallel reads of the memory tagging state
• hardened_malloc: improve handling of out-of-memory edge cases
• hardened_malloc: improve sized deallocation hardening
• libpng: backport fix for CVE-2026-33636
• bionic: clamp the minimum size of the random guard region we add between the stack and pthread_internal_t (thread-local storage and other sensitive data) for secondary stack randomization to the page size to guarantee we always add a guard page protecting pthread_internal_t from stack buffer overflows
• App Store: update to version 36
• Vanadium: update to version 147.0.7727.111.0
• Vanadium: update to version 148.0.7778.49.0
• Vanadium: update to version 148.0.7778.60.0
• Vanadium: update to version 148.0.7778.60.1
• Vanadium: update to version 148.0.7778.96.0
• adevtool: add update-gservices-flag command for fetching gservices flags

All of the Android 16 security patches from the current June 2026, July 2026, August 2026, September 2026, October 2026 and November 2026 Android Security Bulletins are included in the 2026050401 security preview release. List of additional fixed CVEs:

• Critical: CVE-2026-0039, CVE-2026-0040, CVE-2026-0041, CVE-2026-0042, CVE-2026-0043, CVE-2026-0044, CVE-2026-0051, CVE-2026-0052, CVE-2026-0080, CVE-2026-0097, CVE-2026-21352, CVE-2026-21353, CVE-2026-27280, CVE-2026-28590, CVE-2026-28591
• High: CVE-2025-22424, CVE-2025-22426, CVE-2025-48600, CVE-2025-48612, CVE-2026-0008, CVE-2026-0016, CVE-2026-0036, CVE-2026-0048, CVE-2026-0050, CVE-2026-0053, CVE-2026-0054, CVE-2026-0055, CVE-2026-0056, CVE-2026-0059, CVE-2026-0060, CVE-2026-0061, CVE-2026-0062, CVE-2026-0063, CVE-2026-0065, CVE-2026-0067, CVE-2026-0070, CVE-2026-0074, CVE-2026-0075, CVE-2026-0076, CVE-2026-0077, CVE-2026-0078, CVE-2026-0079, CVE-2026-0084, CVE-2026-0085, CVE-2026-0086, CVE-2026-0087, CVE-2026-0088, CVE-2026-0089, CVE-2026-0091, CVE-2026-0093, CVE-2026-0094, CVE-2026-0095, CVE-2026-0096, CVE-2026-0098, CVE-2026-0099, CVE-2026-0100, CVE-2026-28572, CVE-2026-28574, CVE-2026-28577, CVE-2026-28578, CVE-2026-28580, CVE-2026-28581, CVE-2026-28582, CVE-2026-28583, CVE-2026-28585, CVE-2026-28586, CVE-2026-28588, CVE-2026-28594, CVE-2026-28596, CVE-2026-28602

For detailed information on security preview releases, see our post about it.

I've been wanting to have a blog/personal website on the fediverse for a while, something close to neocities and I was wondering if you know of some platforms.

I see a lot of people recommend WordPress but recently I just discovered Hubzilla which seems like a good option but I don't see anyone talk too much about it.

What's the opinion on Hubzilla? and any other ideas? thanks :)

🇪🇺 Európsky parlament dnes prijal uznesenie, v ktorom vyjadruje silnú podporu demokratickému smerovaniu Arménska. Deje sa tak v kľúčovom čase pred júnovými parlamentnými voľbami a počas historicky prvého summitu EÚ – Arménsko v Jerevane, ktorý sprevádza aj ôsmy summit Európskeho politického spoločenstva.

🗳️ Hlavnou témou sú nadchádzajúce voľby (7. júna 2026), pri ktorých EP vyzýva na zabezpečenie rovnakých podmienok pre všetkých kandidátov a nezávislosť médií. Prioritou je ochrana pred dezinformáciami, nezákonným financovaním a kupovaním hlasov, aby sa zaručila férovosť volebného procesu.

🇷🇺 Europoslanci a europoslankyne zároveň ostro kritizujú ruské hybridné operácie zamerané proti Arménsku. Ide najmä o koordinované dezinformačné kampane, kybernetické útoky a vyvíjanie politického nátlaku, ktorým sa Rusko snaží krajinu destabilizovať.

🤝 EP preto víta zriadenie novej partnerskej misie (EUPM Armenia) na boj proti hybridným hrozbám a zahraničnému zasahovaniu. Je to ďalší krok v prehlbovaní bezpečnosti, pričom Arménsko tento rok prijalo zákon, ktorým odštartovalo formálny proces pristúpenia k EÚ.

🇦🇲 Uznesenie víta pokrok v mierovom procese s Azerbajdžanom, no zároveň ho kritizuje za zadržiavanie arménskych vojnových zajatcov a žiada ich prepustenie. Parlament vyzval EÚ na zvýšenie finančnej a technickej pomoci Arménsku, aby znížilo svoju závislosť od Ruska a úspešne zvládlo júnový test demokracie.

Changes in version 148.0.7778.96.0:

• update to Chromium 148.0.7778.96
• restore support for using FIDO2 via Play services when Vanadium is configured to use third party credential providers including providing a choice between FIDO2 via Play services or another app providing passkeys when both are available (this was lost as part of Vanadium making passkeys work without Play services installed but we've fixed our implementation to avoid losing this standard feature)

A full list of changes from the previous release (version 148.0.7778.60.1) is available through the Git commit log between the releases.

This update is available to GrapheneOS users via our app repository and will also be bundled into the next OS release. Vanadium isn't yet officially available for users outside GrapheneOS, although we plan to do that eventually. It won't be able to provide the WebView outside GrapheneOS and will have missing hardening and other features.

🇪🇺 Európsky parlament dnes prijal dôležité uznesenie o zodpovednosti za ruské útoky na civilistov, čím reaguje na eskaláciu útokov Ruskej federácie na ukrajinské obyvateľstvo a infraštruktúru. Štatistiky sú mrazivé. Len počas apríla 2026 zahynulo najmenej 75 civilistov a vyše 400 bolo zranených, pričom od začiatku vojny bolo zabitých viac ako 15 500 civilistov, hoci skutočné čísla sú pravdepodobne oveľa vyššie.

🏛️ Parlament ostro odsudzuje systematické útoky na obytné štvrte, nemocnice, energetiku a kultúrne pamiatky, pričom Rusko od roku 2022 poškodilo vyše 2 500 objektov kultúrnej infraštruktúry so škodami odhadovanými na viac ako 4 miliardy eur. Nezávislá komisia OSN zároveň potvrdila páchanie zločinov proti ľudskosti vrátane násilných deportácií detí, z ktorých viac ako 3 200 bolo zabitých alebo zranených.

⚖️ Europoslanci podporili rýchle zriadenie Osobitného tribunálu pre zločin agresie voči Ukrajine a vyzvali všetky členské štáty EÚ, aby sa k nemu pripojili. Súčasne požiadali Komisiu o zabezpečenie trvalého financovania Medzinárodného strediska pre stíhanie zločinu agresie aj po decembri 2026, aby sa zaistila kontinuita spravodlivosti.

💰 Parlament opakovane vyzval na využitie zmrazených ruských štátnych aktív na odškodnenie obetí a privítal schválenie pôžičky EÚ pre Ukrajinu vo výške 90 miliárd eur. Sankcie voči Rusku musia podľa uznesenia pretrvať a byť dôsledne vymáhané až do momentu, kým nebude uzavretá a skutočne dodržiavaná mierová dohoda.

🕊️ Uznesenie na záver pripomína, že akékoľvek prímerie alebo mierové rokovania nesmú zastaviť ani ohroziť prebiehajúce vyšetrovania a procesy vyvodzovania zodpovednosti. Europoslanci sa jednoznačne zhodujú na tom, že Rusko musí čeliť všetkým dôsledkom svojho konania bez ohľadu na budúci politický vývoj.

In diesem Video beschreibe ich die Schritte des Independent Messaging Rezepts für Android mit der Zutat Conversations von IMDAY.de.

Das Rezept ist hier zu finden: imday.de/de/conversations/

🏠 Európsky parlament dnes schválil cielené úpravy v mechanizme trhovej stability pre prichádzajúci systém obchodovania s emisiami ETS2. Tento systém má od roku 2028 pokrývať emisie z nehnuteľností, cestnej prepravy a ďalších nadväzujúcich odvetví. Oproti doterajšiemu systému ETS1, ktorý sa zameriaval na ťažký priemysel, tak ETS2 vôbec po prvýkrát pocítia bežné domácnosti priamo na cenách svojich energií a pohonných hmôt.

👉 Hlavným zámerom týchto zmien je udržať ceny povoleniek pod kontrolou a zamedziť ich prudkým výkyvom. Kľúčovou novinkou je pravidlo, že ak cena emisnej povolenky vystúpi nad 45 eur za tonu CO2, objem povoleniek uvoľňovaných z rezervy sa zdvojnásobí. Lehota na ich povinné uvoľnenie po splnení podmienok sa navyše skracuje zo 60 na 30 dní a potvrdilo sa, že táto rezerva bude v prevádzke aj po roku 2030, hoci sa s tým pôvodne nepočítalo.

👉 Aktuálna úprava obsahuje dôležitý poistný ventil, podľa ktorého sa polovica nespotrebovaných povoleniek zlikviduje k začiatku roka 2034 a zvyšok k 1. januáru 2036. Ide o výraznú zmenu oproti prvotnému návrhu Komisie, ktorý počítal s uvoľnením celkovo 600 miliónov povoleniek bez akéhokoľvek obmedzenia, čo by v praxi znamenalo vypustenie dodatočných 600 miliónov ton CO2 do ovzdušia.

❗ Existuje však opodstatnená obava zo sociálnych dôsledkov, keďže ceny povoleniek by mohli do konca dekády vyletieť nad 100 eur za tonu, čo by najtvrdšie zasiahlo rodiny s nízkymi príjmami. Parlament preto apeloval na Komisiu, aby dôkladne vyhodnotila tieto vplyvy a zvážila ďalšiu pomoc, od navýšenia prostriedkov v Sociálnom klimatickom fonde až po možné prechodné úľavy pre obytné budovy.

👉 Poslanci zároveň podotkli, že samotné chrlenie ďalších povoleniek na trh nie je liekom na sociálne riziká spojené s ETS2. Skutočným riešením je masívna podpora dekarbonizácie, teda investície do tepelných čerpadiel, zatepľovania budov, kvalitnej hromadnej dopravy a rozvoja elektromobility. Systém ETS2 bude realitou od roku 2028 a dnešné rozhodnutie predstavuje krehkú rovnováhu medzi cenovou stabilitou, sociálnym zmierom a klimatickými cieľmi Únie.

GrapheneOS is immune to the Copy Fail vulnerability due to the deep integration of SELinux in the Android Open Source Project (AOSP). AOSP only permits using specific types of sockets throughout the OS. It only permits the dumpstate process used to create bug report zips to access AF_ALG sockets.

SELinux is based on explicitly listing out everything that's permitted and anything not listed isn't allowed. AOSP uses strict, fine-grained SELinux policies for the whole OS. Instead of simply permitting everything that's used in a fine-grained way, the rest of the OS is developed with it in mind.

Android makes extensive use of neverallow rules to define and enforce the security goals for the SELinux. Since SELinux uses an allowlist approach, neverallow rules don't directly disallow anything at runtime but rather prevent creating rules violating the constraints. It does this for socket types.

Here's where Android defines a neverallow for many types of sockets including AF_ALG for regular sandboxed apps:

android.googlesource.com/platf…

Android has a versioned app sandbox which gets stricter for new API levels. The versioned domains inherit from that untrusted_app_all domain.

Android's usage of SELinux is drastically different from mainstream desktop and server Linux distributions where it's only lightly used in a very targeted way. This is a nice example showing how it massively reduces Linux kernel attack surface on AOSP-based operating systems including GrapheneOS.

Android splits SELinux into system and vendor policies. Both of these must conform to the extensive neverallow rules. The vendor policies are defined as part of implementing hardware support for a device and permit what's required by the drivers. Most of the driver code is sandboxed userspace code.

Android extended SELinux with support for ioctl command allowlists to reduce kernel attack surface. These ioctl command allowlists are used for sockets and many other core kernel devices to limit attack surface. It's also used with drivers in the vendor policies such as GPU ioctl command allowlists.

The site for Copy Fail says it impacts every mainstream Linux distribution but that's not really the case. Mainstream mobile Linux is based on AOSP and doesn't have nearly as much kernel attack surface as desktop and server distributions combined with having much more hardening enabled.

copy.fail/

We'll be moving this kind of content to our forum soon where we can write more about it and use proper formatting including headers and relevant inline images. We haven't moved to the new approach yet but we've published this thread on our forum too:

discuss.grapheneos.org/d/35110…

GrapheneOS

2026-04-30 03:30:59

We'll be moving this kind of content to our forum soon where we can write more about it and use proper formatting including headers and relevant inline images. We haven't moved to the new approach yet but we've also published this thread on our forum too:

discuss.grapheneos.org/d/35110…

GrapheneOS is protected against Copy Fail and similar vulnerabilities by SELinux - GrapheneOS Discussion Forum

GrapheneOS discussion forum

^{GrapheneOS Discussion Forum}

Changes in version 148.0.7778.60.1:

• add workaround avoiding unnecessary clipboard access caused by upstream change in 148.0.7778.60

A full list of changes from the previous release (version 148.0.7778.60.0) is available through the Git commit log between the releases.

This update is available to GrapheneOS users via our app repository and will also be bundled into the next OS release. Vanadium isn't yet officially available for users outside GrapheneOS, although we plan to do that eventually. It won't be able to provide the WebView outside GrapheneOS and will have missing hardening and other features.

Notable changes in version 36:

• fix crash in handling background install confirmation on Android 16 and later
• ignore PendingActions from untrusted callers of MainActivity to avoid the potential for users to be tricked into installing an APK via the standard install dialog (reported by @thomasbuilds)
• remove usage of buggy experimental BadgeUtils functionality from the Material Components library
• update AndroidX Activity KTX library to 1.13.0
• update AndroidX Core KTX library to 1.18.0
• update AndroidX Navigation libraries and plugin to 2.9.8
• update Glide library to 5.0.7
• update Bouncy Castle library to 1.84
• update Android Gradle plugin to 9.2.0
• update Kotlin to 2.3.21
• update Kotlin Symbol Processing to 2.3.7
• update Gradle to 9.4.1
• raise TLS key pinning expiry date to 2027-04-01

A full list of changes from the previous release (version 35) is available through the Git commit log between the releases.

App Store is the client for the GrapheneOS app repository. It's included in GrapheneOS but can also be used on other Android 12+ operating systems. Our app repository currently provides our standalone apps, out-of-band updates to certain GrapheneOS components and a mirror of the core Google Play apps and Android Auto to make it easy for GrapheneOS users to install sandboxed Google Play with versions of the Google Play apps we've tested with our sandboxed Google Play compatibility layer.

GrapheneOS users must obtain GrapheneOS app updates through our App Store since verified boot metadata is required for out-of-band system app updates on GrapheneOS as part of extending verified boot to them.

Changes in version 148.0.7778.60.0:

• update to Chromium 148.0.7778.60

A full list of changes from the previous release (version 148.0.7778.49.0) is available through the Git commit log between the releases.

This update is available to GrapheneOS users via our app repository and will also be bundled into the next OS release. Vanadium isn't yet officially available for users outside GrapheneOS, although we plan to do that eventually. It won't be able to provide the WebView outside GrapheneOS and will have missing hardening and other features.

Changes in version 148.0.7778.49.0:

• update to Chromium 148.0.7778.49

A full list of changes from the previous release (version 147.0.7727.111.0) is available through the Git commit log between the releases.

This update is available to GrapheneOS users via our app repository and will also be bundled into the next OS release. Vanadium isn't yet officially available for users outside GrapheneOS, although we plan to do that eventually. It won't be able to provide the WebView outside GrapheneOS and will have missing hardening and other features.

🇪🇺 Európsky parlament dnes urobil dôležitý krok vpred, keď schválil správu presadzujúcu jednotnú definíciu znásilnenia založenú na chýbajúcom súhlase. Europoslanci týmto vyzývajú Európsku komisiu, aby urýchlene pripravila legislatívu, ktorá by toto pravidlo zjednotila vo všetkých členských štátoch Únie.

👉 Ide o nevyhnutnú reakciu na situáciu z roku 2024, kedy bola táto kľúčová definícia vynechaná z finálneho znenia smernice o boji proti násiliu na ženách. V súčasnosti sa totiž právne pohľady na tento čin naprieč Európou stále zásadne líšia, čo vytvára nerovnosť v ochrane obetí.

⚖️ V mnohých krajinách legislatíva stále vyžaduje dôkaz o použití fyzickej sily alebo prejavenom aktívnom odpore. Takýto prístup však úplne ignoruje psychológiu obetí a bežnú traumatickú reakciu „zamrznutia“, kedy telo vypovie poslušnosť. Je dôležité si uvedomiť, že pasivita alebo mlčanie nikdy neznamenajú súhlas.

⚠️ Podľa schválenej správy musí byť súhlas vždy slobodný, jednoznačný a kedykoľvek odvolateľný. Žiaden predchádzajúci vzťah s páchateľom ani absencia verbálneho odporu nemôžu byť interpretované ako súhlas. Tieto princípy sú plne v súlade s Istanbulským dohovorom, ku ktorému sa EÚ oficiálne prihlásila.

🫂 Okrem legislatívnych zmien parlament žiada aj lepšiu podporu pre obete. To zahŕňa dostupnú psychologickú pomoc, špecializovanú zdravotnú starostlivosť vrátane reprodukčného zdravia a bezplatné právne poradenstvo. Bez jednotnej definície totiž spravodlivosť v Európe závisí len od toho, v ktorej krajine obeť práve žije.

Unterstütze uns und werde jetzt Teil der Bande: bande.funfacts.de/join

Erlebe die Show live – Tickets gibt’s hier: funfacts.de/tickets-kaufen

Menschen mit Behinderung stoßen in Deutschland noch immer auf Barrieren, die für viele Nichtbehinderte unsichtbar bleiben: kaputte Aufzüge, fehlende Rampen, teure barrierefreie Mobilität und Alltagsmomente voller Unsicherheit. Raul Krauthausen spricht über Begriffe wie „besondere Bedürfnisse“, über den "Cringe" im Umgang mit Behinderung und darüber, warum echte Inklusion mehr braucht als gute Vorsätze.
Die Folge zeigt, wie viel zusätzliche Zeit und Geld behinderten Menschen im Alltag abverlangt wird: Von Crip-Time über Crip-Tax bis zu Werkstätten für Menschen mit Behinderung, in denen Arbeit weit unter Mindestlohn bezahlt werden kann. Gleichzeitig geht es um Barrierefreiheit als gesellschaftliche Entscheidung. Mehr Fahrstühle, Leitstreifen, Gebärdensprache, ebenerdige Zugänge und Begegnungsräume nützen nicht nur Menschen mit Behinderung, sondern allen. Am 5. Mai findet am Brandenburger Tor der Europäische Protesttag zur Gleichstellung von Menschen mit Behinderung statt. Es geht um Rechte, Sichtbarkeit und eine Gesellschaft, die nicht trennt, sondern Teilhabe ermöglicht.

In Kooperation mit CORRECTIV – Recherchen für die Gesellschaft

Mehr vom Raul Krauthausen gibt es hier instagram.com/raulkrauthausen/

Autor*innen:
Raul Krauthausen, Bianca Nawrath, Charlotte Hübsch, Christoph Wind, Johanna Hartmann, Leonard Grobien, Maik Martschinkowsky

Produktionsleitung: Seven Elias
Produktionskoordination und Aufnahmeleitung: Lea van Acken
Musik: Boris Loebsack
Animationen: Amelie Runkel amelierunkel.com/

Bühnenbild
Florian Biege
Seven Elias
Joni Marlene Lützen Hollingsworth

Produktion: Seven Elias
Kamera:
Ton: Simon/Philipp/Hannes/Julian/ Film Sound Lab

Schnitt: Noah Wanner; Katharina Hamann; Bastian Wirth; Jan Vogt; Seven Elias; Luke Cronauer

Quellen funfacts.de/quellen

Folgt FunFactsde
Bluesky: bsky.app/profile/funfactsde.bs…
Mastodon: social.funfacts.de/@funfacts_d…

...und sonst überall!

🇪🇺 Európsky parlament prijal správu o Európskom semestri 2026, v ktorej hodnotí pokrok v oblasti zamestnanosti a sociálnych vecí. Hoci celková nezamestnanosť v EÚ klesla na 6 %, výzvou zostáva vysoká miera nezamestnanosti mladých ľudí na úrovni 13,2 %. Kritická situácia pretrváva aj u zraniteľných skupín, ako sú osoby so zdravotným postihnutím, Rómovia či nízko kvalifikovaní pracovníci, ktorí čelia neistým podmienkam.

🏗️ Poslanci zdôrazňujú, že investície do sociálneho modelu EÚ sú kľúčom k udržaniu hospodárskej konkurencieschopnosti. Požadujú, aby sa ciele Európskeho piliera sociálnych práv stali pevným základom pre hodnotenie jednotlivých členských štátov. V procese koordinácie politík treba zohľadniť aj strategické odporúčania Draghiho a Lettovej správy pre posilnenie sociálneho trhového hospodárstva.

🛡️ V rámci boja proti chudobe Parlament podporuje plán pre dostupné bývanie a ambíciu úplne odstrániť chudobu do roku 2050. Na ochranu najmenších žiadajú poslanci vyčleniť v budúcom rozpočte EÚ minimálne 20 miliárd EUR na Európsku záruku pre deti. Členské štáty by mali tiež urýchlene implementovať smernicu o minimálnych mzdách na elimináciu fenoménu chudoby pracujúcich.

🎓 Štáty musia zintenzívniť podporu mládeže prostredníctvom záruky pre mladých a zabezpečiť férové odmeňovanie stáží bez ich zneužívania. Pre lepšiu inklúziu sa navrhuje nová európska záruka zamestnanosti pre osoby so zdravotným postihnutím, u ktorých je miera zamestnanosti stále nízka. Riešenie nedostatku zručností si vyžaduje jednoduchšie uznávanie kvalifikácií a efektívnejšiu rekvalifikáciu pracovníkov.

📈 Parlament volá po aktualizácii sociálnych ukazovateľov, ktoré by mali odrážať aj duševné zdravie, bytovú otázku či dopady klimatických zmien. Výstupy Semestra 2026 budú zásadné pre nastavenie budúceho dlhodobého rozpočtu Únie a jej sociálnych priorít. Poslanci zároveň žiadajú posilnenie svojej demokratickej úlohy pri rozhodovaní o smerovaní hospodárskeho riadenia EÚ.

Changes in version 147.0.7727.111.0:

• update to Chromium 147.0.7727.111

A full list of changes from the previous release (version 147.0.7727.101.0) is available through the Git commit log between the releases.

This update is available to GrapheneOS users via our app repository and will also be bundled into the next OS release. Vanadium isn't yet officially available for users outside GrapheneOS, although we plan to do that eventually. It won't be able to provide the WebView outside GrapheneOS and will have missing hardening and other features.

Most of our users aren't active on these social media platforms and don't receive news about GrapheneOS beyond our release notes. Hundreds of thousands of people use it as a daily driver without closely following the project. We plan to reduce our dependence on these platforms.

We'll be extending our Info app with a News section. It can have configurable categories so people only see the parts which interest them. We could also use the Info app to provide a way for people to volunteer to help us with categories of tasks and receive alerts about those.

We can migrate towards posting longer form content made available via our discussion forum and Info app. It can still be posted to these platforms but without relying on them so much. Our news posts don't reach most of our users this way and it heavily limits how we can post too.

We aren't saying we're going to stop posting on these platforms. It means the posts on our timeline will shift towards being links to forum threads with longer form content. We can have proper formatting, edits and a more unified discussion primarily happening on our forum.

GrapheneOS

2026-04-23 00:57:52

We aren't saying we're going to stop posting on these platforms. It means the posts on our timeline will shift towards being links to forum threads with longer form content. We can have proper formatting, edits and a more unified discussion primarily happening on our forum.

Tags:

• 2026042100 (Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet, Pixel Fold, Pixel 8, Pixel 8 Pro, Pixel 8a, Pixel 9, Pixel 9 Pro, Pixel 9 Pro XL, Pixel 9 Pro Fold, Pixel 9a, Pixel 10, Pixel 10 Pro, Pixel 10 Pro XL, Pixel 10 Pro Fold, Pixel 10a, emulator, generic, other targets)

Changes since the 2026040800 release:

• Launcher: backport fix from Pixel Launcher for the recents overview with third party launchers
• Launcher: improve our implementation of hiding the app list when search is focused to more closely match Pixel Launcher
• don't allow irregular secondary users (guest, demo or restricted) to have a private space
• Settings: inherit user restrictions from full user to a nested private space and run a one-time task to add missing restrictions
• kernel (6.1): update to latest GKI LTS branch revision including update to 6.1.167
• kernel (6.6): update to latest GKI LTS branch revision
• kernel (6.12): update to latest GKI LTS branch revision
• kernel (6.1): backport SVE support for protected guests
• kernel (6.1, 6.6, 6.12): backport fix for race conditions in USB gadget UVC driver causing crashes with the device as webcam feature including use-after-free detected by hardware memory tagging
• kernel (6.6, 6.12): disable Android GKI vendor hooks for INIT_ON_FREE page zeroing to avoid Pixels deferring zero-on-free for reclaim (kswapd) via their driver tree since it reduces security to improve performance (the stock OS doesn't use INIT_ON_FREE but they tried to reduce the cost to be acceptable for the stock OS while we want the full security instead)
• adevtool: change added Cape cellular radio carrier configuration entry to use USCC (1952) instead of ATT (1187) to avoid outbound call issues for users opting into using their new setup early (stock Pixel OS will add the same entry but they take months to handle it so it was submitted to us too)
• hardened_malloc: improve handling of out-of-memory edge cases
• Vanadium: update to version 147.0.7727.101.0

All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026042101 security preview release. List of additional fixed CVEs:

• Critical: CVE-2026-0039, CVE-2026-0040, CVE-2026-0041, CVE-2026-0042, CVE-2026-0043, CVE-2026-0044, CVE-2026-0051, CVE-2026-0052, CVE-2026-0073, CVE-2026-0080, CVE-2026-0097, CVE-2026-21352, CVE-2026-21353
• High: CVE-2025-22424, CVE-2025-22426, CVE-2025-48600, CVE-2025-48612, CVE-2026-0016, CVE-2026-0036, CVE-2026-0048, CVE-2026-0050, CVE-2026-0053, CVE-2026-0054, CVE-2026-0055, CVE-2026-0056, CVE-2026-0059, CVE-2026-0060, CVE-2026-0061, CVE-2026-0062, CVE-2026-0063, CVE-2026-0065, CVE-2026-0067, CVE-2026-0070, CVE-2026-0074, CVE-2026-0075, CVE-2026-0076, CVE-2026-0077, CVE-2026-0078, CVE-2026-0079, CVE-2026-0084, CVE-2026-0085, CVE-2026-0086, CVE-2026-0087, CVE-2026-0088, CVE-2026-0089, CVE-2026-0091, CVE-2026-0093, CVE-2026-0094, CVE-2026-0095, CVE-2026-0096, CVE-2026-0098, CVE-2026-0099, CVE-2026-0100, CVE-2026-28572, CVE-2026-28574, CVE-2026-28577, CVE-2026-28578, CVE-2026-28580, CVE-2026-28581, CVE-2026-28585, CVE-2026-28586

For detailed information on security preview releases, see our post about it.

WIRED has gone ahead with publishing an extraordinarily inaccurate article about GrapheneOS. It presents a highly inaccurate history of the GrapheneOS project heavily based on fabrications from James Donaldson. WIRED failed to incorporate most of our responses to his inaccurate claims.

Donaldson has fabricated a whole alternate history of the project and Copperhead including leaving out the fact that it had 3 co-founders rather than 2. Donaldson lived off income brought in by Daniel's open source project created prior to the company. He certainly didn't fund it as he claims.

Prior to publishing the article, a fact checker at WIRED asked us a long series of questions about the project. These questions made it extremely clear that the article was largely sourced from fabrications from Donaldson despite it not being specified. It's not a real history of GrapheneOS at all.

Our community manager spring-onion (Dave Wilson) handled nearly all of the communications with WIRED. He's a public-facing member of our moderation team and well known in our community. WIRED first reached out to Daniel, promised the story wouldn't be about him and were handed off to spring-onion.

WIRED heavily misled about the article. They led us to believe the article would be about GrapheneOS with little coverage of the history. They repeatedly reassured us it would hardly have any of the content it ended up being based around. Therefore, we had no opportunity to properly address it.

We made a forum post at discuss.grapheneos.org/d/34369… which contains an overview of the situation along with the unmodified answers we provided to WIRED's fact checker. You can see for yourself what we provided and that it wasn't anywhere close to adequately incorporated into the article.

GrapheneOS

2026-04-21 14:40:51

We made a forum post at discuss.grapheneos.org/d/34369… which contains an overview of the situation along with the unmodified answers we provided to WIRED's fact checker. You can see for yourself what we provided and that it wasn't anywhere close to adequately incorporated into the article.

Original GrapheneOS responses to WIRED fact checker - GrapheneOS Discussion Forum

GrapheneOS discussion forum

^{GrapheneOS Discussion Forum}

We've added a JSON API making it easier for services to permit GrapheneOS in addition to Google-certified operating systems:

grapheneos.org/attestation.jso…
grapheneos.org/attestation.jso…

The verifiedBootKeys array lists GrapheneOS key fingerprints to permit via Android hardware attestation.

It can be extended with a list of key attestation root certificates once we have devices using an alternative to Google's Android key attestation ecosystem. Each of will have their own certificate revocation list for apps to check if they care. There's no need for anything more.

Apps which are forced by regulations or liability reasons to implement integrity checks should use the standard Android hardware attestation API. The Play Integrity API is insecure and anti-competitive. The Play Integrity API creates massive legal liability for the apps using it.

Directly using hardware attestation is far superior to the Play Integrity API. It improves security, enables support for more than Google-certified operating systems and avoids a dependency on an aggressively rate-limited Google service with poor reliability breaking your app.

We provide a guide for app developers on moving away from the Play Integrity API to the standard Android hardware attestation API to permit GrapheneOS at grapheneos.org/articles/attest…. It can also be used to permit other operating systems. We plan to update and overhaul our guide soon.

Android's hardware attestation API is biased towards stock operating systems but fully supports allowing alternatives. It fully supports arbitrary roots of trust instead of only the Google-certified hardware ecosystem. There's no need for a non-Google Play Integrity API on top.

Apps should permit people to use any device or operating system. Security shouldn't rely on client-side checks which can be bypassed. Apps forced to do this by regulations and industry standards should use this instead of the extraordinarily anti-competitive Play Integrity API.

Play Integrity API has nearly non-existent security standards. The highest tier strong integrity level permits being up to a year behind on the official dates for security patches for Android 13+ and indefinitely far behind for an older version, even being 8 years out-of-date.

Leaked keys chaining up to Google's roots of trust are abundant. Most devices don't support the less insecure remote key provisioning system with shorter lives for keys. Root-based attestation is only as secure as the least secure devices, and those are absolutely atrocious.

These checks aren't a security feature in practice. If an app doesn't need to comply with regulations forcing this, it shouldn't do it. If it has to be done, apps should use the Android hardware attestation API to permit GrapheneOS and other OSes meeting the requirements too.

GrapheneOS

2026-04-21 00:24:37

These checks aren't a security feature in practice. If an app doesn't need to comply with regulations forcing this, it shouldn't do it. If it has to be done, apps should use the Android hardware attestation API to permit GrapheneOS and other OSes meeting the requirements too.

🛡️ Európsky parlament ocenil zvyšovanie výdavkov členských štátov na obranu a plnenie 2 % cieľa NATO, no zároveň upozornil na pretrvávajúce strategické nedostatky. Medzi kritické oblasti patria protivzdušná obrana, delostrelectvo, drony, umelá inteligencia či kybernetická bezpečnosť, ktoré si vyžadujú budovanie autonómnych nástrojov pre efektívne vedenie spoločných operácií.

🤝 Poslanci zdôraznili potrebu úzkej koordinácie s NATO a posilnenie priemyselnej spolupráce s cieľom dosiahnuť 40 % spoločné obstarávanie v sektore obrany do konca roku 2027. Kľúčovými piliermi sú štyri vlajkové lode „Plánu obrannej pripravenosti do roku 2030“, a teda iniciatíva proti dronom, monitorovanie východného krídla, Európsky vzdušný štít a Európsky vesmírny štít.

⚙️ Parlament vyzval na jasné definovanie cieľov, harmonogramov a riadenia týchto projektov, najmä v situáciách s cezhraničnými dôsledkami. Implementácia by mala spájať konvenčné prvky s pokročilými technológiami, čím sa posilní konkurencieschopnosť a inovačná kapacita Európskej obrannej priemyselnej a technologickej základne (EDITB).

🚀 Projekty musia byť v súlade s cieľmi EÚ a NATO a zameriavať sa na moderné vedenie vojny vrátane hlbokých úderov a boja proti dronom v súlade s medzinárodným právom. Dôraz sa kladie na synergiu medzi výskumom a priemyslom, pričom do procesov by malo byť zapojené široké spektrum aktérov vrátane malých podnikov a startupov pri zabezpečení vyváženej geografickej účasti.

💰 V neposlednom rade Parlament žiada primerané a dlhodobé financovanie v budúcich rozpočtoch EÚ, ktoré neohrozí iné strategické oblasti. Členské štáty by mali systematicky vyčleňovať časti národných rozpočtov na spoločné iniciatívy a nákup techniky vyvinutej v rámci týchto hlavných projektov, pričom sa nezabúda ani na investície do odbornej prípravy a rozvoja zručností personálu.

🌍 Európsky parlament drvivou väčšinou (479 za, 17 proti) odsúdil ruské klamlivé náborové praktiky. Rusko systematicky zneužíva klamstvo a nátlak na verbovanie tisícov cudzincov, najmä z Afriky, Kuby či Ázie, aby ich ako „potravu pre delá“ nasadilo do svojej nezákonnej agresívnej vojny proti Ukrajine.

📱 Vyšetrovania odhalili organizované siete, ktoré cez sociálne médiá lákajú ľudí z nízkopríjmových oblastí na falošné sľuby o lukratívnom zamestnaní, vzdelaní alebo získaní občianstva. Realita je však brutálne odlišná. Po príchode do Ruska sú títo jednotlivci nútene posielaní priamo na front alebo vykorisťovaní v nebezpečných továrňach na drony.

⚠️ Uznesenie upozorňuje na konkrétne prípady, ako bol podvodne naverbovaný Keňan Francis Ndarua, či stovky afrických žien oklamaných na prácu v zbrojárskom priemysle. Tieto praktiky napĺňajú znaky obchodovania s ľuďmi a predstavujú závažné porušenie medzinárodného humanitárneho práva, ktoré môže byť klasifikované ako vojnový zločin.

🚫 Parlament naliehavo vyzýva dotknuté štáty, aby zvýšili ostražitosť na hraniciach, proaktívne varovali svojich občanov pred cestami do Ruska a uľahčili repatriáciu obetí. Platformy sociálnych médií musia prevziať zodpovednosť a v spolupráci s úradmi aktívne identifikovať a odstraňovať náborový obsah prepojený na ruské siete.

⚖️ EÚ a členské štáty majú podľa uznesenia vyvinúť maximálne diplomatické úsilie na prepustenie zadržiavaných cudzincov a uvaliť cielené sankcie na osoby a subjekty zodpovedné za tento moderný obchod s otrokmi. Od Ruska sa požaduje okamžité ukončenie verbovania a bezpodmienečný návrat všetkých podvodne vylákaných osôb do ich domovských krajín.

🇪🇺 Európsky parlament prijal 10. marca uznesenie o príprave zákona o Európskom výskumnom priestore (ERA). Cieľom je odstrániť fragmentáciu vedy a inovácií v EÚ, ktorá momentálne trpí nedostatočnou koordináciou politík, rozdielnou výkonnosťou štátov a nadmernou administratívnou záťažou pre univerzity a výskumníkov.

📈 Kľúčovým bodom je záväzok investovať do roku 2030 aspoň 3 % HDP Únie do výskumu a vývoja. Parlament vyzýva členské štáty, aby tento cieľ premietli do národných plánov a posilnili financovanie programov ako Horizont Európa, čím sa má zastaviť odliv talentov a zvýšiť globálne vedecké líderstvo Európy.

⚙️ Zákon o ERA by mal mať formu nariadenia, čo zabezpečí jeho priamu uplatniteľnosť vo všetkých štátoch EÚ. Tento právne záväzný rámec má stimulovať súkromné investície do výskumu a zaručiť voľný pohyb vedcov, technológií a poznatkov v rámci jednotného trhu, čím sa prekoná súčasná neefektívna dobrovoľnosť.

🔬 Parlament zároveň požaduje samostatný legislatívny pilier na ochranu slobodného vedeckého výskumu. Ten musí stanoviť minimálne štandardy pre práva výskumníkov, inštitucionálnu nezávislosť a etickú integritu, pričom celý proces bude podliehať prísnemu monitorovaciemu mechanizmu, aby sa predišlo politickým zásahom do vedy.

🤝 Celý systém musí byť v synergii s budúcim zákonom o inováciách a Európskym vzdelávacím priestorom. Cieľom je vytvoriť prostredie, kde sa vedecké objavy rýchlejšie pretavia do komerčných inovácií a kde odstránenie bariér mobility umožní talentom cirkulovať tam, kde sú najviac potrební pre rast európskej ekonomiky.

Hello,
does anyone knows if and when Raccoon get a update again?

Thanx