GrapheneOS-ontwikkelaars: 'Door Android-securityupdates uit te stellen brengt Google gebruikers in gevaar'
De ontwikkelaars van GrapheneOS, een op Android-gebaseerd besturingssysteem dat de nadruk legt op privacy en security, uiten felle kritiek op de wijze waarop het Android Open Source Project (AOSP) omgaat met securityupdates. Volgens hen brengt Google gebruikers onnodig in gevaar door het uitstellen van cruciale patches.
De kritiek wordt geuit in een reactie op een recente X-post van Sameer Samat, President Android Ecosystem bij Google. In zijn post gaat Samat in op sideloading, waarmee gebruikers apps buiten appwinkels om op hun Android-apparaat kunnen plaatsen. In de post stelt Samat dat sideloading een fundamenteel onderdeel is en blijft van Android. Hij reageert hiermee op zorgen die zijn ontstaan door een recente aangekondigde identificatieverplichting voor Android-ontwikkelaars. Samat stelt dat deze verplichting is bedoeld om gebruikers en ontwikkelaars te beschermen tegen kwaadwillenden, en niet om de keuzevrijheid van gebruikers te beperken.
In een reactie hierop noemt GrapheneOS het 'een vreemde tijd om te praten over het beschermen van Android-gebruikers'. De ontwikkelaars wijzen op wijzigingen in de manier waarop Google security-updates uitrolt. Het stelt dat deze wijziging de veiligheid van Android ernstig verlaagt en Android-gebruikers in gevaar brengt. "Commerciële exploitbedrijven en overheden kunnen eenvoudig toegang krijgen tot breed verspreide partnerpreviews. Het toevoegen van vier maanden vertraging voor patches is afschuwelijk", schrijft GrapheneOS op X.
De ontwikkelaars wijzen erop dat in juli en augustus geen maandelijkse updates zijn uitgebracht voor AOSP, terwijl ook de kwartaalupdate die in september uit had moeten komen niet is verschenen. "Jullie hebben officieel gecommuniceerd met de media dat AOSP-releases worden voortgezet, en vervolgens deze drie maanden niet uitgebracht. Waarom zouden mensen geloven wat je zegt over sideloading?", stellen de ontwikkelaars van GrapheneOS.
Reacties (23)
08-09-2025, 16:19 door
Anoniem
Op deze blog is dit probleem alsmede andere nieuwe Google-gerelateerde recente problematiek goed aangeduid. (Denk aan het gatekeepen van apps, sluiten van bootloaders, het ontzeggen van Pixel-bronnen, etc)
Blog - Divested Computing
https://divested.dev/pages/blog#2025-08-27-android-issues
Blog - Divested Computing
https://divested.dev/pages/blog#2025-08-27-android-issues
08-09-2025, 16:27 door
Anoniem
Heel benieuwd waar dit heen gaat. Ik verwacht dat de Google (en Apple) de rest laat stikken en dat komt overheidsbeleid heel goed van pas (alles op één van deze beide omgevingen bijhouden en verplichten).
08-09-2025, 16:50 door
Anoniem
GrapheneOS is ongeloofelijk belangrijk voor dissidenten, whistleblowers, journalisten en demonstranten, het is zeer onfortuinlijk dat Google als gatekeeper gaat spelen over apps en intussen AOSP laat verbitteren.
Daarnaast snap ik niet waarom dit niet illegaal zou zijn in Europa aangezien Google effectief andere Android marketplaces buitensluit, dat is zeer anti-competitief en een vorm van machtsmisbruik.
Daarmaast kan Google nu bepalen welke apps worden buitengesloten in opdracht van malafide overheden aangezien ze de gatekeeper over apps worden.
Google trekt momenteel alle macht naar zich toe als enkele entiteit in plaats van dit te delen met de community.
Zelfs softwate met vrije licenties komen vroeg of laat in het geding op deze wijze.
Daarnaast snap ik niet waarom dit niet illegaal zou zijn in Europa aangezien Google effectief andere Android marketplaces buitensluit, dat is zeer anti-competitief en een vorm van machtsmisbruik.
Daarmaast kan Google nu bepalen welke apps worden buitengesloten in opdracht van malafide overheden aangezien ze de gatekeeper over apps worden.
Google trekt momenteel alle macht naar zich toe als enkele entiteit in plaats van dit te delen met de community.
Zelfs softwate met vrije licenties komen vroeg of laat in het geding op deze wijze.
08-09-2025, 16:52 door
Anoniem
Dit is waarom ik jaarlijks doneer aan het GrapheneOS project via een bankoverschrijving, ze doen zeer belangrijk werk.
https://grapheneos.org/donate
https://grapheneos.org/donate
08-09-2025, 17:30 door
Anoniem
Er is een editorial update:
Meer informatie is beschikbaar op https://x.com/GrapheneOS/status/1964754118653952027 waar de situatie met beveiligingspatches wordt uitgelegd. Het zou beter zijn om een thread te hebben die hiernaar linkt. We hebben vroege toegang tot de beveiligingspatches, maar we kunnen het embargo niet doorbreken. We kunnen de bronnen pas vrijgeven zodra de bronrelease is toegestaan. We zouden een preview-branch voor de beveiliging kunnen maken, maar het systeem is gewoon niet logisch.
Android 16 QPR1 is een nieuwe grote release, geen beveiligingspatch. Ons antwoord gaat over twee verschillende problemen. Android 16 QPR1 is vertraagd voor AOSP en we weten momenteel niet waarom. Het is mogelijk dat dit een fout was en dat de release maandag wordt uitgebracht.
Meer informatie is beschikbaar op https://x.com/GrapheneOS/status/1964754118653952027 waar de situatie met beveiligingspatches wordt uitgelegd. Het zou beter zijn om een thread te hebben die hiernaar linkt. We hebben vroege toegang tot de beveiligingspatches, maar we kunnen het embargo niet doorbreken. We kunnen de bronnen pas vrijgeven zodra de bronrelease is toegestaan. We zouden een preview-branch voor de beveiliging kunnen maken, maar het systeem is gewoon niet logisch.
Android 16 QPR1 is een nieuwe grote release, geen beveiligingspatch. Ons antwoord gaat over twee verschillende problemen. Android 16 QPR1 is vertraagd voor AOSP en we weten momenteel niet waarom. Het is mogelijk dat dit een fout was en dat de release maandag wordt uitgebracht.
08-09-2025, 19:00 door
Anoniem
Wacht, GrapheneOS had toch geen early access to Android Security Bulletin patches meer sinds de Android 16 lancering?
08-09-2025, 19:18 door
Anoniem
Het is waardeloos. State actors en exploitbedrijven kunnen maanden misbruik maken van de lekken waarover Google zeer breed (maar onder embargo) publiceert, maar groepen zoals Graphene OS (die ook toegang hebben tot die info) moeten maanden wachten voor ze gebruikers van patches mogen voorzien...
Ik vond 72 uur voor de CVSS 9+-jes altijd al lang, maar 4 maanden slaat alles.
Ik vond 72 uur voor de CVSS 9+-jes altijd al lang, maar 4 maanden slaat alles.
08-09-2025, 21:13 door
Anoniem
Door Anoniem: Het is waardeloos. State actors en exploitbedrijven kunnen maanden misbruik maken van de lekken waarover Google zeer breed (maar onder embargo) publiceert, maar groepen zoals Graphene OS (die ook toegang hebben tot die info) moeten maanden wachten voor ze gebruikers van patches mogen voorzien...
Ik vond 72 uur voor de CVSS 9+-jes altijd al lang, maar 4 maanden slaat alles.
Ik vond 72 uur voor de CVSS 9+-jes altijd al lang, maar 4 maanden slaat alles.
Als die updates je toestel al bereiken, en een fabrikant/telco niet ook nog eens voor extra vertraging zorgt of nooit iets uitlevert.
08-09-2025, 22:14 door
Anoniem
Google moet het updatebeleid verbeteren, transparanter zijn en samenwerken met de community.
Anders laadt Google de verdenking op zich dat ze dit doet of liever gezegd met opzet nalaat
vanwege "bepaalde belangen van derde partijen".
De goede verstaander heeft hier aan een half woord genoeg.
Dat voor het geval dat bovenstaande zinnen niet helemaal duidelijk overkomen.
Google mag dan de duidelijkheid hierin verbeteren.
Anders laadt Google de verdenking op zich dat ze dit doet of liever gezegd met opzet nalaat
vanwege "bepaalde belangen van derde partijen".
De goede verstaander heeft hier aan een half woord genoeg.
Dat voor het geval dat bovenstaande zinnen niet helemaal duidelijk overkomen.
Google mag dan de duidelijkheid hierin verbeteren.
08-09-2025, 22:15 door
Anoniem
"One potential caveat is that the development community behind GrapheneOS is somewhat murky. As mentioned, a foundation exists to support this system, but there is little information about how the foundation operates beyond an impressively long list of ways to donate. The public registry information shows three directors: Micay, Khalykbek Yelshibekov, and Dmytro Mukhomor, but there is no public information on how directors are chosen or how the foundation uses its funds."
https://lwn.net/Articles/1030004/
"GrapheneOS Foundation is a federal corporation in Toronto, Ontario incorporated with Corporations Canada, a division of Innovation, Science and Economic Development (ISED) Canada."
https://federalcorporation.ca/corporation/14857577
Federal?!
https://lwn.net/Articles/1030004/
"GrapheneOS Foundation is a federal corporation in Toronto, Ontario incorporated with Corporations Canada, a division of Innovation, Science and Economic Development (ISED) Canada."
https://federalcorporation.ca/corporation/14857577
Federal?!
Gisteren, 00:04 door
Anoniem
Duidelijk een reden om android te vergeten als os voor je gsm. Misschien ubuntu of ios proberen.
Gisteren, 05:18 door
Anoniem
Door Anoniem: Heel benieuwd waar dit heen gaat. Ik verwacht dat de Google (en Apple) de rest laat stikken en dat komt overheidsbeleid heel goed van pas (alles op één van deze beide omgevingen bijhouden en verplichten).
Waar dit heen gaat is dat Android binnenkort geen bruikbaar systeem meer is voor iedereen die nog iets van zijn of haar privacy wil waarborgen. Google draait het de nek om.
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Projecten als de Liberux zijn veel belovend.
Helaas is hardwarematig de pinephone te ver achterhaald om als daily driver goed bruikbaar te kunnen zijn.
Partijen als google samsung en apple hebben gewoon heel veel geld om er tegen aan te gooien om telefoons te ontwikkelen en te bouwen. Opensource alternatieven hebben dat niet.
Sommige proberen het wel zoals met de pinephone of de purism librum 5 en nu de liberty phone
Hele mooie initiatieven maar helaas in te kleine oplage en te duur om op over te stappen.
Misschien dat de Fairphone dan nog het meest in de buurt komt van een alternatief omdat op de fairphone 5 bijv ook gewoon ubuntu touch geflasht kan worden.
Als andere een beter idee hebben hoor ik het graag. Ik denk zelf namelijk dat grapheneOS ook niet heel lang meer kan bestaan door wat google nu aan het doen is met alles afknijpen en saboteren wat open source is. de pixel firmware is niet langer opensource google released hem niet meer als opensource aan het android project. en google zal er alles aan doen de pixels straks dicht te timmeren zodat je straks geen alternatieve android installaties meer kan draaien.
ik denk dat zaken als de aurora store ook afgeknepen gaan worden ze vallen gewoon iedere vorm van vrijheid aan.
newpipe en libretube worden al afgeknepen door google.
Gisteren, 08:02 door
Anoniem
je zou bijna denken GrapheneOS komt zelf wel met toestellen waar het standaard op geinstalleerd staat inclusief lifetime updates (dus ook security updates).
Gisteren, 10:14 door
Anoniem
Google heeft heel veel eigen belangen in Android maar mag ook een controleer functie hebben die ze gebruiken in eigen voordeel en schakelen zo concurrentie uit. Op een Android systeem zonder Playstore werken heel veel apps niet. Een concurreer systeem opzetten is zo onmogelijk. Praten over keuzes wat onmogelijk gemaakt wordt.
Gisteren, 10:40 door
Anoniem
Door Anoniem: Google heeft heel veel eigen belangen in Android maar mag ook een controleer functie hebben die ze gebruiken in eigen voordeel en schakelen zo concurrentie uit. Op een Android systeem zonder Playstore werken heel veel apps niet. Een concurreer systeem opzetten is zo onmogelijk. Praten over keuzes wat onmogelijk gemaakt wordt.
Gelukkig heeft ook Google een vrije licentie ondertekent om Linux vrij te houden, Android is immer op Linux gebaseerd.AOSP zal vrij blijven, en zelfs als Google stopt met AOSP kunnen mensen altijd verder met de laatste build van AOSP en daarop verder werken via forks.
Wel zal men inderdaad hardware moeten vinden en het één en ander aanpassen om het daarop te laten werken ongeacht wat Google besluit te doen.
De software is in de wereld geholpen en zal er niet meer uit gaan, hopelijk laat men het achteraf niet verstoffen en wordt er inderdaad wat mee gedaan.
Gisteren, 10:44 door
Anoniem
Door Anoniem:
Waar dit heen gaat is dat Android binnenkort geen bruikbaar systeem meer is voor iedereen die nog iets van zijn of haar privacy wil waarborgen. Google draait het de nek om.
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Projecten als de Liberux zijn veel belovend.
Helaas is hardwarematig de pinephone te ver achterhaald om als daily driver goed bruikbaar te kunnen zijn.
Partijen als google samsung en apple hebben gewoon heel veel geld om er tegen aan te gooien om telefoons te ontwikkelen en te bouwen. Opensource alternatieven hebben dat niet.
Sommige proberen het wel zoals met de pinephone of de purism librum 5 en nu de liberty phone
Hele mooie initiatieven maar helaas in te kleine oplage en te duur om op over te stappen.
Misschien dat de Fairphone dan nog het meest in de buurt komt van een alternatief omdat op de fairphone 5 bijv ook gewoon ubuntu touch geflasht kan worden.
Als andere een beter idee hebben hoor ik het graag. Ik denk zelf namelijk dat grapheneOS ook niet heel lang meer kan bestaan door wat google nu aan het doen is met alles afknijpen en saboteren wat open source is. de pixel firmware is niet langer opensource google released hem niet meer als opensource aan het android project. en google zal er alles aan doen de pixels straks dicht te timmeren zodat je straks geen alternatieve android installaties meer kan draaien.
ik denk dat zaken als de aurora store ook afgeknepen gaan worden ze vallen gewoon iedere vorm van vrijheid aan.
newpipe en libretube worden al afgeknepen door google.
Valt wel mee, AOSP is nog steeds een ding en heeft een vrije licentie dat men kan uitbreiden naar iets anders dan Android, desnoods met compatibillity voor APK's of zelfs andere installatiepakketten.Door Anoniem: Heel benieuwd waar dit heen gaat. Ik verwacht dat de Google (en Apple) de rest laat stikken en dat komt overheidsbeleid heel goed van pas (alles op één van deze beide omgevingen bijhouden en verplichten).
Waar dit heen gaat is dat Android binnenkort geen bruikbaar systeem meer is voor iedereen die nog iets van zijn of haar privacy wil waarborgen. Google draait het de nek om.
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Projecten als de Liberux zijn veel belovend.
Helaas is hardwarematig de pinephone te ver achterhaald om als daily driver goed bruikbaar te kunnen zijn.
Partijen als google samsung en apple hebben gewoon heel veel geld om er tegen aan te gooien om telefoons te ontwikkelen en te bouwen. Opensource alternatieven hebben dat niet.
Sommige proberen het wel zoals met de pinephone of de purism librum 5 en nu de liberty phone
Hele mooie initiatieven maar helaas in te kleine oplage en te duur om op over te stappen.
Misschien dat de Fairphone dan nog het meest in de buurt komt van een alternatief omdat op de fairphone 5 bijv ook gewoon ubuntu touch geflasht kan worden.
Als andere een beter idee hebben hoor ik het graag. Ik denk zelf namelijk dat grapheneOS ook niet heel lang meer kan bestaan door wat google nu aan het doen is met alles afknijpen en saboteren wat open source is. de pixel firmware is niet langer opensource google released hem niet meer als opensource aan het android project. en google zal er alles aan doen de pixels straks dicht te timmeren zodat je straks geen alternatieve android installaties meer kan draaien.
ik denk dat zaken als de aurora store ook afgeknepen gaan worden ze vallen gewoon iedere vorm van vrijheid aan.
newpipe en libretube worden al afgeknepen door google.
Het is belangrijk om dit niet te snel op te geven of het vast te binden aan Google, immers als een minder bekende ontwikkelaar AOSP had ontwikkeld was het nog steeds een geweldig project.
Uit oude projecten worden nieuwe systemen geboren.
Stallman heeft niet voor niets zo hard voor vrije lecenties gevochten.
Gisteren, 14:13 door
Anoniem
Door Anoniem:
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Door Anoniem: Heel benieuwd waar dit heen gaat. Ik verwacht dat de Google (en Apple) de rest laat stikken en dat komt overheidsbeleid heel goed van pas (alles op één van deze beide omgevingen bijhouden en verplichten).
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Wat schieten we daarmee op? Android is al gebaseerd op een Linux-kernel.
Gisteren, 15:05 door
Anoniem
Jazeker, Google en de overheden werken dus al steeds "hand in foot".
De een voor de "smeer" de ander voor de "leer".
De een voor de "smeer" de ander voor de "leer".
Gisteren, 16:28 door
Anoniem
Door Anoniem: je zou bijna denken GrapheneOS komt zelf wel met toestellen
Graag met 3.5mm (TRRS) jack en verwijderbare microfoon en verwijderbare batterij.Zou een bron van inkomsten voor GrapheneOS kunnen zijn.
Gisteren, 16:40 door
Hyper
Google brengt Androidgebruikers vooral in gevaar door de designkeuze om security updates via de telefoonfabrikanten te laten distribueren in plaats van direct vanaf Google.
(Zoals Microsoft dit doet met Windows Update. Hiervoor ben je ook niet afhankelijk van een fabrikant als Lenovo voor je Windows updates) Ik begrijp de achterliggende reden van Google maar dit blijft een keuze waar ik niet achter sta. Want het effect in de praktijk is dat fabrikanten stoppen met ondersteuning en dat gebruikers dan zonder updates komen te zitten voor bugs die blijkbaar nog in hun Android besturingssysteem zitten.
(Zoals Microsoft dit doet met Windows Update. Hiervoor ben je ook niet afhankelijk van een fabrikant als Lenovo voor je Windows updates) Ik begrijp de achterliggende reden van Google maar dit blijft een keuze waar ik niet achter sta. Want het effect in de praktijk is dat fabrikanten stoppen met ondersteuning en dat gebruikers dan zonder updates komen te zitten voor bugs die blijkbaar nog in hun Android besturingssysteem zitten.
Gisteren, 17:04 door
Anoniem
Door Anoniem:
Zou een bron van inkomsten voor GrapheneOS kunnen zijn.
Door Anoniem: je zou bijna denken GrapheneOS komt zelf wel met toestellen
Graag met 3.5mm (TRRS) jack en verwijderbare microfoon en verwijderbare batterij.Zou een bron van inkomsten voor GrapheneOS kunnen zijn.
Ik dacht dat de Europese Unie zich ging inzetten op verwijderbare accus , en right-to-repair. Net zoals ze USB-C gepushed hebben. Dit zou toch voor 2027 aan fabrikanten opgelegd worden of is dit weer van tafel?
Gisteren, 17:12 door
Anoniem
Door Anoniem:
Wat schieten we daarmee op? Android is al gebaseerd op een Linux-kernel.
Door Anoniem:
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Door Anoniem: Heel benieuwd waar dit heen gaat. Ik verwacht dat de Google (en Apple) de rest laat stikken en dat komt overheidsbeleid heel goed van pas (alles op één van deze beide omgevingen bijhouden en verplichten).
We zullen straks uit moeten wijken naar linux gebaseerde smartphones als we nog iets van controle willen hebben over onze eigen apparatuur.
Wat schieten we daarmee op? Android is al gebaseerd op een Linux-kernel.
Gebaseerd op.. maar het is niet Linux
Pure Linux phones zijn de toekomst, waarop je XEN draait , dit is ook wat de Graphene OS ontwikkelaars willen in de toekomst
Gisteren, 18:03 door
Anoniem
Door Anoniem: Zou een bron van inkomsten voor GrapheneOS kunnen zijn.
Hardware + software zou ook de perfecte honeypot kunnen zijn. Hoe trustworthy is dat hele project eigenlijk?Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Netwerkbeheerder
Netwerk Services
AIVD
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?