Makers van CalyxOS stoppen tijdelijk met ontwikkeling na leiderschapswissel

De makers van CalyxOS stoppen tijdelijk met de ontwikkeling van de custom rom. Gebruikers krijgen de komende maanden geen beveiligingsupdates meer. Dat komt door veranderingen in het ontwikkelteam.

De ontwikkelaars achter CalyxOS schrijven tijdelijk te stoppen met het ontwikkelen van beveiligingsupdates voor de rom. CalyxOS is een custom rom voor Android-telefoons die zich vooral richt op privacy en beveiliging. De makers zeggen de komende tijd hun interne infrastructuur en documentatie op orde te willen brengen voordat ze verdergaan met het ontwikkelen van het besturingssysteem. Ook wil het team een volledige securityaudit doen en signing keys roteren.

Die beslissing wordt genomen naar aanleiding van het vertrek van de oprichter van CalyxOS, Nicholas Merrill, en tech lead Chirayu Desai. Zij vertrokken in de afgelopen weken uit het project. Nu neemt een interim-directeur hun taken waar. De ontwikkelaars zeggen dat het vertrek van Merrill en Desai veel impact heeft. In de transitieperiode naar een nieuwe bedrijfsopzet wil het team eerst werken aan 'betere transparantie en beveiliging door beter ontwerp, communicatie en infrastructuur'. De makers gaan hun techstack bijwerken, de releasecycli voor alle ondersteunde telefoons 'stabiliseren' en de documentatie bijwerken voor gebruikers en ontwikkelaars, zoals wiki's en gebruikersgidsen.

Een andere uitdaging voor de ontwikkelaars is dat de signingkeys waartoe de twee ontwikkelaars toegang hadden moeten worden geroteerd. Ook wil CalyxOS een uitgebreide audit laten uitvoeren.

De makers verwachten dat het zo'n vier tot zes maanden gaat duren voordat al dat werk klaar is. In de tussentijd worden er geen nieuwe updates van het besturingssysteem uitgebracht. Dat betekent dat er ook geen beveiligingsupdates uitkomen. Aanvankelijk trokken de makers ook alle images van CalyxOS terug, maar na ophef uit de community zijn die weer teruggezet.

CalyxOS

Door Tijs Hofmans

Nieuwscoördinator

08-08-2025 • 11:56

75

Submitter: trayracing

Reacties (75)

Sorteer op:

Weergave:

Maar zo verjaag je dan uiteindelijk heel je userbase. Want mensen kiezen hier net voor omdat het veilig hoort te zijn, maar zonder beveiligingsupdates wordt dat uiteraard zeer moeilijk. Dat je aan je interne processen en documentatie wenst te werken daar kan ik inkomen, dat je daarvoor tijdelijk een hoop dingen pauzeert, daar kan ik ook inkomen, maar gebruikers verwachten toch echt minimaal dat ze hun systeem op een veilige manier kunnen blijven gebruiken lijkt mij.
Er is natuurlijk wel een kleinen nuance. Als je veilig wilt zijn, dan wil je ook dat de organisatie er achter alles netjes op een rijtje heeft. En voor zover ik het nu hier lees gaan ze dat even opnieuw allemaal anders op een rijtje zetten.

De grote vraag is hoe lang dat allemaal gaat duren. De eerste paar maanden geef ik ze wel. Maar als het allemaal een paar maanden te lang gaat duren, bijvoorbeeld als er met kerst nog geen resultaat is, dan kan ik mij voorstellen dat ze de zaken niet meer op de rit kunnen krijgen. En ja, dat is dan jammer.

Gelukkig zijn er meer en vergelijkbare projecten. Niet alleen voor ons om uit te kiezen maar ook voor de ontwikkelaars om hun vaardigheid op in te zetten. Niet ieder nieuw idee hoeft een eigen implementatie, het kan ook aanhaken op een bestaand project.
Dit vond ik toch ook opvallend, en het laatste wat je wil pauzeren. Aan de andere kant lopen ze wel vaker achter op security updates en heeft CalyxOS dan ook jaren al discussies online of ze wel zo privacy- en security minded zijn als ze claimen. Al jaren komt er eens in de zoveel tijd toch weer het gerucht rond dat ze er een stuk minder om geven dan ze claimen.

Niet dat ik zeg dat het zo is, ben ee nooit diep erin gedoken. Maar het is wel een duidelijk terugkoment topic bij hun groot deel van de tijd dat ze online voorbij komen. Waar bijv. GrapheneOS dat issue niet heeft, ondanks dat ook die regelmatig wel wat drama heeft (eigenaren zijn niet de handigste in social media :+).
GrapheneOS blijft ongeëvenaard de beste keuze!
Eylenburg biedt een uitstekende website waarop je GrapheneOS en CalyxOS eenvoudig met elkaar kunt vergelijken.
Ook daar is / was genoeg drama. Met beschuldigingen van doodslag en stalking aan toe.

Jammere is dat veel van de FOSS projecten als los zand aan elkaar hangen, en vaak afhankelijk zijn van maar een paar lui. Je kan zeggen wat je wilt over Big Tech, maar het is onvoorstelbaar dat Google of Apple ineens aangeeft te stoppen met security updates omdat er drama aan de top is.
De grootste factor die FOSS/communityprojecten verstoort is drama. Kijk naar willekeurige fora, gaming clans, vrijwillige verenigingen, open source projecten, 9/10 kans dat er drama is geweest waardoor er mensen zijn afgehaakt. Dan blijft er uiteindelijk vaak maar één iemand over die heel stug de sleutels vasthoudt (om te voorkomen dat iemand anders er met de 'eer' vandoor gaat) en dan uiteindelijk geeft die het ook op.

Maar de reden dat veel open source projecten bestaan is dan ook überhaupt al het 'ik kan het beter/veiliger/sneller/goedkoper' effect, en als je 10 van die bij elkaar zet heb je snel spanningen want die instelling blijft binnen de organisatie onderling ook.
Ik kan niet zeggen dat ik dat een probleem vind. Het maakt FOSS in zekere zin heel dynamisch. En zelf al vertrekt iedereen bij een project.... Je maakt een fork en je start weer op.

Om maar te noemen, de linux kernel heeft zat drama, maar puntje bij paaltje heeft het de wereld verovert en er blijft altijd wel iemand doorgaan. Er zijn meer linux machines dan windows. (windows is alleen desktop en server, linux zit overal, zelfs in je koelkast e.d.)

Soms kan een project dat ineens stopt dat je zakelijk inzet een probleem worden. Maar als je een FOSS pakket zakelijk inzet dan zou je wat mij betreft ook bereid moeten zijn om bij te dragen. Je verdient er toch aan! Dat kan op allerlei manier van klein tot groot. Daardoor zie je veel van de grote FOSS projecten veel mensen hebben die het werk gewoon voor een werkgever doen en daar betaald worden. Het is hun baan. En de werkgever heeft baat bij doorontwikkeling.
Ik weet niet of je het gemerkt hebt. Maar google was jaren koning in product lanceren, tijdje aanmodderen en dan weer dumpen als het niet genoeg opleverde.

Ik denk niet dat big-tech op dat punt zoveel anders is dan open-source. Het verschil is alleen dat het bij FOSS meer openbaar is. Maar het echt overal hetzelfde. Mensen zijn mensen. En ook bedrijven verliezen wel een een lead en dan storten producten in.
Ik weet niet of je het gemerkt hebt. Maar google was jaren koning in product lanceren, tijdje aanmodderen en dan weer dumpen als het niet genoeg opleverde.
Nog steeds wel hoor: https://killedbygoogle.com/ - 8 dingen vorig jaar. Alleen dit jaar is het een beetje stil idd maar er is ook niets nieuws gelanceerd. Misschien rommelt het financieel een beetje.
Als ik kijk naar het aantal pull requests in deze repo, dan vermoed ik dat het project niet meer bijgewerkt wordt: https://github.com/codyogden/killedbygoogle/pulls

Wat... ironisch is, gezien het onderwerp.
Meeste beschuldigingen hebben als reden om op de competitie modder te gooien zodat mensen je eigen systeem gebruiken, en je apparaaten kopen. GrapheneOS verkoopt zelf niks en leeft alleen door donaties. CalyxOS maakt miljoenen aan winst met verkoop van apparaten. Er zijn ook andere groepen die een aanzienlijk slechter product bieden, en online modder gooien op GrapheneOS (brax phone, unplugged, /e/os)
Heb je een goede bron voor de miljoenen winst?
Hier is de annual report van 2020.

Hier is een reddit thread erover.

Er draait veel geld rond de android privacy wereld.
Niet alleen dat, maar de laatste tijd begint het ook gewoon een risico te worden. Meermaals gehad dat packages die we gebruiken, of gewoon hele applicaties ineens over gaan op commercial licenses.

Ook leuk als je zelf hebt bij gedragen, bedankt maar we gaan er geld voor vragen.

Dit en de grote bedrijven zijn er hard aan het werken om FOSS en open source een slechte naam te bezorgen.
Ook daar is / was genoeg drama. Met beschuldigingen van doodslag en stalking aan toe.
Sorry voor de grote hoeveelheid tekst, wil hier gewoon wat context bij geven voor andere lezers en ook voor jezelf voor het geval je dit niet weet:

Er is inderdaad veel drama en dat vinden ook gebruikers van GrapheneOS, waaronder ikzelf heel spijtig. Het is echter niet zo dat GrapheneOS gewoon losjes mensen beschuldigd van zaken zonder gegronde redenen. Het project is helaas vaak aangevallen vanuit verschillende hoeken, vaak door projecten die beweren ook privacy en veiligheid te bieden, en door hun aanhangers.

Ik ben zelf zeer actief in de GrapheneOS-community en kan even de historiek geven waar tot dit allemaal terug te leiden is. Ik volg het project al lang. Veel is allemaal terug te leiden tot een breuk die er is geweest tussen GrapheneOS en het bedrijf Copperhead. GrapheneOS heette vroeger CopperheadOS en er is na een poos een bedrijf opgericht (Copperhead) met een andere persoon als zakenpartner dat bepaalde diensten zou verschaffen en met de inkomsten daarvan mee de ontwikkeling van GrapheneOS (toen CopperheadOS) zou ondersteunen. Er was echter een verschil in visie opgetreden tussen de oprichter van CopperheadOS/GrapheneOS en de andere zakenpartner wat geleid heeft tot een conflictueuse breuik. De zakenpartner heeft geprobeerd het besturingssysteemsproject over te nemen ondanks dat was afgesproken dat het OS-project zelf onafhankelijk zou zijn. De zakenpartner heeft de infrastructuur trachten over te nemen en claimde dat het Copperhead bedrijf eigenaar was van de OS-code en er copyright op had. De zakenpartner heeft zichzelf ook een heleboel crytpodonaties toegeëigend die gedoneerd waren aan het OS-project (dat onafhnakelijk was). CopperheadOS is na die breuk doorgegaan onder de naam GrapheneOS terwijl CopperheadOS zelf nog steeds als naam wordt gebruikt door de zakenpartner en mensen die met hem gelieerd zijn.

De reden dat er in het heden ook drama is met sommige andere projecten is omdat zij linken hebben met het Copperhead-bedrijf (de zakenpartner). Zo was de lead developer van CalyxOS iemand die werkte voor Copperhead (betaalde medewerker) en ook niet aan de kant stond van de GrapheneOS-oprichter bij de breuk. CalyxOS zelf heeft dan weer verschillende medewerkers die ook deel zijn gaan uitmaken van de teams van andere open source projecten zoals bepaalde open source app stores, waardoor er daar ook overlap onstond en het conflict zich zo verspreidde. Het hoofdprobleem dat het GrapheneOS-project heeft met die andere projecten is dat ze vaak misinformatie en persoonlijke aanvallen verspreiden over het project en ook hun oprichter. Als er bv. een technische discussie is binnen de GitHub of de communities van één van die projecten en het GrapheneOS-project daar een technische mening over iets geeft, zijn er regelmatig mensen verbonden met die projecten die de oprichter persoonlijk gaan aanvallen en hem diagnosticeren met van alle mentale gezondheidsproblemen zonder enige basis. Sommige mensen zullen dit allicht opricht geloven tegen beter weten in, omdat ze niet weten van de Copperhead-breuk en het feit dat de zakenpartner een grote incentive had om persoonlijke aanvallen naar de GrapheneOS-oprichter te verspreiden in hoop zijn gelijk te halen.

Wat de doodslag en stalking betreft, dat verwijst waarschijnlijk naar de gebeurtenissen van april 2023. Toen is de GrapheenOS-oprichter drie keer slachtoffer geworden van een swatting-aanval. Daarbij hebben anoniempjes de politie van Canada gecontacteerd, het adres gegeven van de oprichter en gezegd dat hij mensen had vermoord en gewapend was. De Canadese poltiie heeft daarop meerdere malen een interventie gedaan bij de woonst van de oprichter waarbij ze met geweren op de oprichter hebben gericht. In de naslaap daarvan zijn er personen naar de chatrooms van het GrapheneOS-project gegaan om te stoefen over die swatting-aanvallen en zeiden dat ze aanhangers waren van die andere projecten en zich duidelijk baseerden op misinformatie die vanuit die cirkels verspreid is geweest ten aanzien van GrapheneOS. En dat op het moment dat er nog geen communicatie was geweest van het project over de swatting-aanvallen en het ook niet in de media was verschenen, dus het waren geen fake personen die de swatting-aanvallen kwamen claimen terwijl ze er niets mee te maken hadden.
Jammere is dat veel van de FOSS projecten als los zand aan elkaar hangen, en vaak afhankelijk zijn van maar een paar lui. Je kan zeggen wat je wilt over Big Tech, maar het is onvoorstelbaar dat Google of Apple ineens aangeeft te stoppen met security updates omdat er drama aan de top is.
GrapheneOS zelf heeft een team van +/- 10 full-time ontwikkelaars. Dat is redelijk goed. Ze hebben het recent wel wat moeiljk gehad omdat hun hoofdontwikkelaar opgeroepen is dienstplicht te doen voor het Oekraiënse leger en deze persoon zeer productief was en veel werk verzette. Er zijn ook andere FOSS-projecten die hun governance heel goed op orde hebben en die door goede planning, goed management en goede automatisering redelijk veel kunnen bereiken met een klein team. Deel van zaken op orde hebben is ook om streng te zijn t.a.v. feature creep en strikt in de behandeling van feature requests, wat vaak iets is waar FOSS-projecten het moeiljk mee hebben als ze te veel contributies toe laten. Goed prioritiseren gaat al een heel lange weg.

Voor CalyxOS zelf is één van de hoofdredenen voor het volledig pauzeren vooral omdat de signing keys voor het besturingssysteem niet worden gedeeld door de ex-ontwikkelaars met de nieuwe teamleiders. Kon vermeden worden als ze hierover een akkoord zouden hebben. Als GrapheneOS-gebruiker die zelf vindt dat CalyxOS vaak verkeerd voorstelt wat ze aan gebruikers bieden (mismarketing), vind ik het wel echt spijtig dat de gebruikers op deze manier zonder updates vallen. Hopelijk zijn de gebruikers hiervan voldoende op de hoogte zodat ze een tijdelijk of permanente overstap kunnen maken naar een ander besturingssysteem. Ook hoop ik dat het nieuwe team in staat zal zijn om het conflict met GrapheneOS achter hen te laten.
GrapheneOS blijft zeker ongeëvenaard de beste keuze, het project loopt gigantisch voor op andere Android OS'en/AOSP forks als het gaat om privacy en security. De vergelijking van Eylenburg is een mooie, maar verre van een complete vergelijking.

Overigens biedt GrapheneOS ook meer zekerheid; er zijn tien betaalde developers in dienst waarvan een deel fulltime is. Het project is een Canadese stichting met drie bestuurders.

Als een developer stopt heeft dat natuurlijk wel een impact, maar is alle behalve het einde van het project. Een van de meest actieve ontwikkelaars was ineens 'spoorloos' - bleek opgeroepen/opgehaald te zijn voor dienstplicht. Dit was ten tijde van de Android 16 release en heeft een kleine vertraging opgeleverd, hooguit een paar dagen.

[Reactie gewijzigd door jurroen op 8 augustus 2025 14:44]

Ten tijde van Android 16 release was er inderdaad dit issue dat bovendien ook nog eens gecombineerd werd met het feit dat Google device support uit AOSP heeft gehaald. GrapheneOS heeft dus ondersteuning voor Pixel-toestellen ten dele zelf moeten schrijven, wat ze vroeger niet moesten, terwijl ze tegelijkertijd nog kampten met het probleem van de conscriptie van de Oekraïnse ontwikkelaar. Ik vind al bij al dat ze het goed gemanaged hebben. Ze hebben ook veel automatisering ontwikkeld voor de ondersteuning van Pixel-toestellen waardoor dit voor volgende kwartaal- en jaarlijkse releases veel sneller zou moeten gaan.
Ongeëvenaard is inaccuraat. Dat zou betekenen dat de beste keus altijd GrapheneOS is. Dat is niet zo. Het is altijd een afweging. Bijvoorbeeld CalyxOS draait op veel meer apparaten. Vaak is de keuze CalyxOS vs. pmOS of een out of date (ofwel bloated) Android. De keuze voor CalyxOS is dan snel gemaakt.
Ongeëvenaard is inaccuraat.
Pixels met GrapheneOS zijn de enige smartphones die niet met Cellebrite gekraakt kunnen worden. Zelfs Google's Android is kwetsbaar. GrapheneOS is toch een soort van letterlijk ongeëvenaard hierin.

Je kunt inderdaad voor iets anders kiezen. GrapheneOS is namelijk wel wat trager door alle veiligheidsmaatregelen. Misschien vind je snelheid belangrijker dan veiligheid. Dan is het niet de beste keuze. Maar dat maakt het niet minder ongeëvenaard op het gebied van privacy.
Hangt er vanaf. Bv. secure app spawning maakt de opstart van apps trager maar zaken zoals full ahead-of-time compilation maken apps over het algemeen sneller zodrar ze zijn opgestart. Zaken zoals hardened_malloc voor de memory-allocator hebben kleine repercussies t.a.v. RAM-gebruik. Als je geen Google Play gebruikt op GrapheneOS draait er ook minder op de achtergrond in bepaalde situaties wat goed kan zijn voor de batterij en snelheid. Kan zijn dat het of course een probleem is voor power users, maar weet ook dat veel exploit protections ook uitgeschakeld kunnen worden, ofwel globaal ofwel voor individuele apps.
Als je kwa privacy en veiligheid kijkt kan je GrapheneOS en CalyxOS niet vergelijken. GrapheneOS levert enorme verbeteringen over stock android, terwijl CalyxOS achterloopt met updates en zwakke implementaties als microg gebruikt. Eentje verbeterd je privacy en veiligheid enorm, andere verzwakt juist je privacy en veiligheid.
Als het toestel out-of-date is omdat het niet meer ondersteund is door de fabrikant zal het ook out-of-date zijn als je er CalyxOS of LineageOS op draait. De software van het OS zou dan misschien wel up-to-date zijn maar je bent nooit volledig up-to-date, wat belangrijk is voor de beveiliging, als de firmware en drivers niet meer geupdate worden, en daarvoor ben je altijd afhankelijk van de fabrikant. Als je kijkt naar de security bulletins van verschillende fabrikanten kan je zien dat er regelmatig grote beveiligingsproblemen in firmware en drivers worden opgelost (bv. remote execution vulnerabilities door model-problemen). Van het moment dat een apparaat niet meer ondersteund wordt stopt het security-onderzoek door de fabrikant en worden zaken gevonden via extern security-onderzoek niet meer gepatched. Dat is een groot probleem. De vraag is wat je nog wint met een up-to-date OS te hebben als na een paar jaar je modem of andere onderdelen vol met beveiligingslekken zitten waarvoor er proof-of-concept exploits bestaan.
De vraag is of iedereen zich kan permitteren om de smartphone direct weg te gooien zodra de fabrikant geen firmware patches meer levert.

Volgens Google Project Zero worden er ongeveer 3 tot 6 impactvolle zero-days per jaar gepatched. Dat zijn zero-days die geen domme acties van de gebruiker vereisen. Dat is ongeveer één per 2 à 3 maanden. zo'n 30% van zero-days zit in de firmware/drivers/binary blobs. Dus 7 van de 10 worden wél gepatched in een actief onderhouden custom ROM.

Voor dagelijks gebruik zonder hoge dreigingsmodellen (journalist in dictatuur, politicus, bekend miljonair etc) is een actief onderhouden custom ROM doorgaans veiliger dan een stock ROM die al 2 jaar geen patches krijgt. Maar inderdaad, voor bankzaken kan je maar beter een volledig gepatchte smartphone hebben. En daarom is het zo belangrijk goed naar de ondersteuningsduur te kijken bij de aanschaf van een smartphone.
Ja een actief onderhouden custom OS is inderrdaad veiliger dan een stock OS dat zelf geen updates meer krijgt, daar kan ik akkoord mee zijn. Maar van een bepaald moment gaat de situatie waarschijnlijk zo verslechterd zijn met de vulnerabilities in de firmware en drivers dat er zoveel open voordeuren zijn dat het nog weinig verschil gaat maken, vrees ik. Waar dat moment dat het niet meer uitmaakt zich situeert dat is wel niet echt te kwantificeren. Gewoon belangrijk dat mensen inzien dat er risico's zijn en dat ze dan op basis van hun socio-economische situatie inschatten of ze die risico's willen nemen of hoe ze daarmee zouden omgaan (tijdelijk bankzaken doen op een ander apparaat, bv. computer als die wel nog updates krijgt).
Jammer genoeg is de leiding van GrapheneOS verschrikkelijk en zijn ze constant bezig met moddergooien alle kanten op. Ik weiger een ROM te gebruiken die door hen is ontwikkeld, dan ga ik liever een tijdje terug naar "plain" LineageOS.
Het is jouw keuze om LineageOS te gebruiken. Maar wees bewust van wat beide OS'en precies leveren en niet leveren.
Als je erop vertrouwt dat de hardware en onderliggende software van het enige device dat GrapheneOS ondersteunt, de Google Pixel, te vertrouwen is. Ik vind dat toch wel een beetje naïef.

Daarnaast is de oprichter, directeur en voormalig lead developer van GrapheneOS, Daniel Micay, dusdanig agressief, dat er volgens mij geen land mee te bezeilen is. Zie bijv. de interactie hier met Bromite developers omdat ze code contributions accepteerden van bovengenoemde Chirayu Desai. GrapheneOS code is opensource en geaudit, maar als organisatie zijn het geen mensen waar ik het wel en wee van security en privacy aan toe zou vertrouwen.
Waarom vind je dat naïef?

En wat is aggressief aan toeduiden van je eigen naare ervaringen en op de hoogte stellen van anderen?
In een reply op een andere tweeker heb ik wat context gegeven over de conflicten: tranq_cassowary in 'Makers van CalyxOS stoppen tijdelijk met ontwikkeling na leiderschapswissel'

Ik begrijp dat deze zaken lezen en al dat drama slecht overkomt en dat het je kan wegduwen van een project. Maar, het drama is een beetje onvermijdelijk omdat er nu eenmaal aanvallen zijn op het GrapheneOS-project. GrapheneOS probeert zich daar gewoon tegen te verdedigen. Relaties met bepaalde individuen die voor een groot deel aan de oorzaak liggen van misinformatie en persoonlijke aanvallen zijn inderdaad sterk verzuurd. Het is dan inderdaad wel spijtig dat dit uiting vindt in de Bromite-GitHub.
Voor GrapheneOS moet je een apparaat van Google hebben, waar ik liever niet, net zoals mijn data, mijn geld aan geef.
Dat begrijp ik. Maar het veranderd niet de feit dat Pixel's de meest veilige telefoons zijn naast iPhone's.

En als je GrapheneOS installeert en geen Google Apps installeert geef je 0 data direct aan Google.
Dan geef je zeker wel data aan google. Je koopt een device van hun. Dus ze weten waar dat heen geshipped is en wie het gekocht heeeft.

En alle, nog nog onbekende, backdoors in de device hardware en firmware die allebei van google zijn heb je ook draaien.

Ook ik vind het naief om te denken dat je op een big tech device het best af bent qua security en privacy
Je kan een pixel tweedehands of via een derde partij kopen. Maar zelfs dat is niet nodig, want badness enumeration is volstrekt zinloos.

De backdoor en firmware argument slaat nergens op. Er is geen enkele bewijs daarvoor. En als er een backdoor was, hoe komt het dat Cellebrite, de inlichtingdienst die bijna elke telefoon kan kraken, de Pixels met GrapheneOS niet kan kraken? Hoe komt het dat Britse overheid de telefoon niet kan kraken?

De backdoor argument zou moeten impliceren dat bij elke software dan een backdoor moeten zitten, omdat Google enorme contributies naar Linux en veel andere populaire open source software levert. De kans is vele malen groter dat in een software veel bugs zitten die je kan exploiten, dan dat er een backdoor zit. En vraagje, waarom een backdoor in een software/hardware zetten, en potentieel je hele reputatie verliezen (mensen met veiligheidskennis zullen je altijd vermijden) terwijl 99% van alle software en hardware al verschrikkelijke veiligheid heeft die allemaal makkelijk te kraken is?

Je mag het naief vinden, maar feiten spreken voor zich, en gevoelens hebben daar geen invloed op.
Mijn backdoor argument hoeft helemaal niet te betekenen dat in elke software een backdoor moet zitten.

Mijn argument was dat als je zo anti-bigtech bent dat een phone van diezelfde bigtech met een eigen cpu van die bigtech en eigen firmware van die bigtech misschien minder secure zou kunnen zijn dan je denkt.

Feiten spreken inderdaad voor zich en het is een feit dat je een enorme fan lijkt van Pixels met GrapheneOS. Geniet ervan!
Je kan een device kopen met cash geld in een fysieke electronics-winkel.

Als je gaat claimen dat er backdoors zijn dan ligt de burden of proof bij jou.

Waarom zou Google ook backdoors implanten in hardware en firmware? Veel mensen staan gewoon vrijwillig een heleboel informatie af aan Google om betere recommendaties te krijgen of voor zaken zoals cloud-sync en andere services. Weinig redenen om nog data te gaan zoeken via minder efficiënte methoden. Ook, de firmware is misschien wel closed source maar dat betekent niet dat het niet onderzocht kan worden. Google doet geen obfuscatie van de gecompileerde code dus het is redelijk eenvoudig om er security-onderzoek mee te doen.
Tuurlijk. Veiligheid door de security checks op compiled code. Dat doet echt vrijwel niemand. En van de apps is 90% ook nog obfuscated dus succes.

https://www.apriorit.com/dev-blog/obfuscating-code-to-secure-android-apps
De firmware is niet-obfuscated, ik weet niet over wat je het hebt als je zegt "van de app is 90% ook nog obfuscated"? Analyse van gecompileerde code en decompilen is wel degelijk iets dat wordt gedaan. Ook is het sowieso mogelijk voor bedrijven om audits te laten doen op proprietary code en de broncode ter beschikking te stellen onder een NDA aan de organisatie dat de audit uitvoert. Closed source code is zeker geen black box, in sommige gevallen geeft broncode zelfs een slechter beeld als je echt zoekt naar doelbewust verborgen beveiligingsproblemen. Waarom zou je immers vertrouwen op de namen van variableen en functies en de opmerkingen in code-comments als je ervan uitgaat dat de schrijver malafide is? In dat geval kan het zelfs handiger zijn om gewoon een analyse uit te voeren op gecompileerde code.
Ik zei 'apps' en zette er een link bij. Bedoelde dat in het google app ecosystem obfuscation de norm is blijkbaar. En ja natuurlijk kan je alles checken. De grote boze wereld bewijst keer op keer dat niemand dat echt doet want het een na het andere lek, backdoor, oopsie etc komt boven water. En ik vind het een briljante strategie om te publiceren dat je GrapheneOS op Pixels niet kan hacken met Cellebrite zodat iedereen die combo gaat gebruiken. Natuurlijk heb je dan wel een andere methode om die combo te hacken achter de hand. Maar misschien ben ik te paranoid 8)7
Ja die obfuscatie vind ik ook wel onnodig en spijtig hoor, die van in je link. Maar dat is niet het geval voor de firmware en ik was zelf enkel daarover aan het praten in mijn oorspronkelijke reactie omdat ik mijn reactie nog steeds plaatste in de context van GrapheneOS wat eerder in de thread vernoemd werd. GrapheneOS bundelt zelf geen propriterary Google applicaties, de firmware is eigenlijk het enige belangrijke closed source onderdeel voorzien door Google als je GrapheneOS draait.

Wat je zegt vind ik niet echt logisch, als ik eerlijk bent. Je zegt "bewijst keer op keer dat niemand dat [checken] echt doet" vervolgt door "het een na het andere lek, backdoor, oopsie etc. komt boven water". Het feit dat het boven water komt is dan toch een goede zaak? Betekent dat de dingen bekeken en onderzocht worden. Ook heb ik geen weet van enige backdoor die de Google-software is gevonden. Bugs en veiligheidsproblemen, ja. Maar malifide backdoors?

Er is momenteel nog geen evidentie dat forenische tools GrapheneOS in Before First Unlock status kunnen kraken. Als je een hoog "threat model" hebt wordt wel altijd aangeraden om te vermijden vertrouwen te leggen in het "secure element" van de Pixels door een zeer sterk wachtwoord te gebruiken dat praktisch niet te "brute forcen" is zodat je afhankelijk bent van de "rate limiting" van het secure element.
Is er een reden dat de oprichter en tech-lead vetrekken uit het project? Ik heb vaker mensen zien vertrekken uit zulke projecten omdat ze ergens anders meer konden verdienen of omdat de richting van het project niet meer aansluit op hun visie.

Natuurlijk is dit wel gissen in het niets, dus ga ervan uit dat mijn comment puur speculatie is. Maar ik zie graag concurrentie in het Android ecosysteem en vind het belangrijk dat er keuze is. Keuzes die niet vastgenageld zitten aan partijen als Google.
Is er een reden dat de oprichter en tech-lead vetrekken uit het project?
Natuurlijk zijn er redenen. In dit geval wordt er zelfs iets over gepubliceerd. ;)

Over de directeur:
Nicholas Merrill, president and founder of Calyx Institute, has left the organization to pursue other projects.
Over de tech lead:
Chirayu Desai, the CalyxOS Tech Lead, has addressed his departure from the CalyxOS project and the organization in a personal note to the public.
Die schrijft:
Android is changing, and with that, I figured I should do some changes too.

[Reactie gewijzigd door The Zep Man op 8 augustus 2025 15:27]

Overduidelijk dat dat geen echte redenen zijn. Dat is wat je mompelt als je weggaat omdat er iets helemaal misgaat en niet naar je zin is en je er niets aan kan veranderen.
Ik denk dat het te maken heeft met wat CalyxOS hier aankondigt: https://www.reddit.com/r/CalyxOS/comments/1l8z43t/android_16_and_pixel_support/

Zie ook het Tweakers artikel daarover: nieuws: Google verwijdert ondersteuning voor Pixel-telefoons uit AOSP

Het ziet ernaar uit, dat Google met Android 16 het lastiger heeft gemaakt om voor de Pixel devices custom ROMs te bouwen, door de Pixel-specifieke sourcecode niet meer vrij te geven aan AOSP. Dat is wel een teken aan de wand voor de relatie tussen Google en de opensource-ROM-makers. Alhoewel CalyxOS nog enkele andere devices ondersteunt, valt er met de Pixel wel een groot deel weg. GrapheneOS lijkt er al wel omheen gewerkt te hebben dus het is kennelijk niet onoverkomelijk: https://grapheneos.org/releases#2025063000
Wel jammer dat de wereld van de aangepaste ROM's toch zo enorm chaotisch is. Cyanogen spatte ook zo uiteen. Daar kwam dan weer Lineage uit, maar het is alles behalve gegarandeerd dat er nu ook weer zo'n opvolger komt. Misschien toch maar kijken of SFOS op de fairphone aan de praat te krijgen is met een fatsoenlijke Android emulatie voor Steam en Signal.
Zo chaotisch vind ik het niet in vergelijking met Linux distributies. GrapheneOS draait alleen op nieuwste Pixels (hardware van het Amerikaanse Google). CalyxOS heeft betere privacy en security dan LineageOS. LineageOS en CalyxOS draaien net als pmOS op veel meer apparaten.

SFOS Android emulatie is proprietary maar geen hogere wiskunde. Op pmOS of een Linux desktop kreeg ik dat 3 jaar geleden zo aan de praat (Waydroid).

SFOS is helaas nog belabberder qua veiligheid dan CalyxOS. Al heb ik hier zo gauw geen bron van, dus doe vooral je eigen onderzoek.
SFOS is helaas nog belabberder qua veiligheid dan CalyxOS. Al heb ik hier zo gauw geen bron van, dus doe vooral je eigen onderzoek.
Zelfs als je zo 1-2-3 niet gelijk een bron hebt mag je zo'n claim natuurlijk wel voorzien van een redenering waarom het zo is. Anders is het wat mij betreft gewoon een slap onderbouwd verhaal. Ik ga niet je werk voor je doen, dat is jouw taak.
De maker van DivestOS heeft hier analyses over gedeeld op het Fairphone forum. Inmiddels zijn deze wel enkele jaren oud. Het betrof de updates in de browser.
SailfishOS op Fairphone zou dramatisch voor privacy en veiligheid zijn, laat staan de gebruikersgemak. GrapheneOS heeft een reputatie van kwaliteit en snelle updates. Ze zijn ook bezig met het produceren van een eigen telefoon (eta: een paar jaar) misschien is dat iets om bij te houden.
"SailfishOS op Fairphone zou dramatisch voor privacy en veiligheid zijn"

waarom precies?
Veiligheid heeft te maken met zowel hardware als software.

Android (de nieuwste versie met de nieuwste update) is een veilige OS, desktop Linux (en SailfishOS) niet.

Fairphone heeft ook geen geavanceerde veiligheidschips in zich, net als bijna elke andere android mobiel. Uitzonderingen zijn iPhone's en Pixel's.

Hier en hier meer info.
Veiligheid heeft te maken met zowel hardware als software.

Android (de nieuwste versie met de nieuwste update) is een veilige OS, desktop Linux (en SailfishOS) niet.

Fairphone heeft ook geen geavanceerde veiligheidschips in zich, net als bijna elke andere android mobiel. Uitzonderingen zijn iPhone's en Pixel's.

Hier en hier meer info.
Deze redenering zie ik continu vanuit Graphene komen. De vraag is dan of dit überhaupt een probleem is voor de gewone gebruiker. Als zelfs desktop Linux al veiligheidsprobleem heeft, dan geldt dat ook voor veel Windows (installaties. want mensen updaten slecht). Is het ideaal, verre van. Gaat dat fout? Bijna nooit. Maar Graphene is we een erg mooie oplossing hier natuurlijk

Als je echter privacy en de lange termijn afhankelijkheid van bij tech ook mee neemt in je besluit, dan is graphene voor mij minder aantrekkelijk. Het nadeel van een systeem zoals Graphene is dat het de dominantie van big tech lijkt te accepteren en daarbinnen opereert. Er wordt dus niet of nauwelijks gewerkt aan een alternatief ecosysteem ten opzichte van big tech. Andere Rom makers zijn hier juist we meer mee bezig. Vanuit deze gedachte komt het bestaan van Graphene big tech eigenlijk we goed uit: hoe dominanter Graphene wordt, des te minder kans is er op een daadwerkelijk alternatief.

Nu is de vraag natuurlijk hoe reeel een alternatief ecosysteem is en hoe ideeel de andere rom makers hierin. zijn (ecosysteem opbouwen is ook een verdienmodel natuurlijk), en de zooi die het nu bij calyxos lijkt te zijn, kan best te maken hebben met dit soort dingen.

Ook schijnt graphene gezegd te hebben dat ze aan een eigen telefoon zitten te denken, dus mogelijk dat zij daarin nu juist we een alternatief zouden kunnen bieden. Idealiter maken ze een dergelijke telefoon ook open voor of in samenwerking met andere rom makers. Maar goed dat zullen ze wel niet willen, want ze klagen continu dat iedereen tegen ze is (terwijl ze zelf super agressief zijn in hun retoriek en daarmee nu niet echt uitnodigen tot een constructief gesprek.

Blijft wel jammer, dat tribalism. Als de alternatieven beter zouden samenwerken en kennis uitdelen, dan zouden we een stuk verder komen, maar uiteindelijk lijken er bij al deze Android alternatieven te veel grote ego’s in de top te zitten.
Gaat dat (massa die onveilige OS'en draait) fout? Bijna nooit.
Hoe weet je dat? De argument dat onveilige OS'en gebruiken geen probleem is voor de massa's omdat ze toch niet gehackt worden werkt niet omdat meeste hacks, stil draaien op de achtergrond terwijl je niks door hebt. En er zijn genoeg inlichtingdiensten die kwetsbaarheden van systemen kraken om persoonlijke informate te krijgen om mensen verder te onderdrukken (wat Israël deed. GrapheneOS kunnen ze niet kraken).

En GrapheneOS is een objectieve systeem die veiligheid op nummer 1 zet, en niet onafhankelijkheid. Als je GrapheneOS gebruikt, dan weet je dat je een telefoon hebt die extreem moeilijk of onmogelijk is om te kraken, en dat er veel sterke privacy functies ingebakken zijn. Graphene weet dat ze maximale veiligheid alleen met Pixels kunnen leveren.

Samenwerking met andere custom OS makers heeft weinig zin, omdat ze niks aan de tafel leggen. Calyx heeft code en functies van GrapheneOS geïmplementeerd zonder credit. En elk andere custom OS is verre van wat GrapheneOS is. Het zijn allemaal systemen zwakker dan stock android met goeie marketing.
In welke mate veiligheid voor de massa essentieel is natuurlijk niet te beantwoorden. Hetzelfde is te zeggen voor onafhankelijkheid. Vertrouw je erop dat je toegang kan blijven houden tot essentiële functies als een alternatief te groot wordt? Het is voor mij individueel fijn om privacy te hebben, maar zolang er geen alternatief voor big tech is, blijf je afhankelijk van big tech of China/israel/amerika/etc. en daarmee je individuele vrijheid beperken (door bv verkiezingen te beïnvloeden) waarmee je privacy dan ook weer wordt bedreigd, want ‘aluminium hoedje op’/ ze kunnen zo de Rom verbieden want te makkelijk voor criminelen, en dan bij mainstream telefoons gewoon alles opnemen en alle communicatie tracken. Dan is er nog prima behoorlijk wat privacy gevoelige info te krijgen zelfs als je een privacy veilige telefoon krijgt /aluminium hoedje af.

Dat is dus ook precies wat Graphene van andere roms zou kunnen leren, hoe samen te werken aan privacy en onafhankelijkheid. Maar dat gebeurt helaas niet, want het lijkt erop dat enkele van de leiders van het project denken de waarheid in pacht te hebben (en niets liever doen dan te zeggen hoe slecht anderen het wel niet doen (het lukt potdomme net alsof het linkse politieke partijen zijn, die willen ook altijd gelijk hebben en drammen ;) )).

ik hoop oprecht dat men bij Graphene wat nederiger wordt, want op deze manier vervreemden ze best veel mensen en dat is ongelooflijk zonde.
Ik wil politiek hierbij niet betrekken maar je opmerking zegt wel wat over jou.

Je betrekt verschillende onderwerpen tot één. GrapheneOS levert top notch veiligheid zolang het mogelijk is. Als Google of een overheid dit praktijk beëindigd, gaat GrapheneOS ook niet verder. Ze hebben eerder ook aangeduid, we gaan alleen stappen verder met veiligheid, en geen stap achteruit. Als GrapheneOS stopt, gaat er ook geen vergelijkbare alternatief komen.

Wil je onafhankelijkheid van bedrijven, prima, maar dat is niet wat GrapheneOS naar streeft.

En als we je hypothese van onafhankelijkheid moeten volgen, wat stel je dan voor? Dat GrapheneOS telefonen als Fairphone of andere merken ondersteund, en daar 5% de veiligheid biedt wat ze bij Pixels kunnen geven? Wat is de punt daarvan?

En het is sowieso absurd om te verwachten dst de team van GrapheneOS, stuk of 10 fulltime ontwikkelaars die allemaal druk bezig zijn met veiligheid en Googles hinderingen dat ze DE alternatief voor big tech gaan maken. Dat vraagt veel meer expertise van andere kanten en veel meer arbeidskracht, wat een overheid of een grote bedrijf zou kunnen doen.

En dat GrapheneOS mensen vervreemd vinden ze niet fijn omdat ze mogelijke donaties missen, maar ze vinden integriteit belangrijker. En politici, journalisten, en echte privacy en veiligheid bewust mensen zullen het toch (blijven) gebruiken.
Politiek was met mijn aluminium hoedje op, he :-). Het is natuurlijk veel genuanceerder, maar het is hetzelfde als het privacy verhaal. Dat is ook grijzer dan zwart-wit communicatie van graphene. Ik vind het top dat graphene voor 100% privacy gaan, en ze hoeven zeker geen fairphone te ondersteunen, of het alternatief voor big tech ontwikkelen.

Wel zou het ze sieren als ze in hun communicatie iets beter met kritiek op hun organisatie om zouden leren gaan en vriendelijker zouden zijn in het uiten van kritiek naar anderen die zich ook richten op vergroting van onafhankelijkheid. Dat stukje emphatisch vermogen lijkt te ontbreken en dan is er het risico dat 'integriteit' verwordt tot het rigide volgen van een dogma (en dan kun je het risico lopen dat je gebruik wordt als een 'useful idiot' door anderen). Volgens mij is dat de reden dat ze mogelijk donaties gaan missen, en dat kunnen ze prima aanpakken zonder hun integriteit op te geven. Sterker nog, ze zouden er juist meer integer door overkomen.

Maar goed, terug naar CalyxOS. Eeuwig zonde dat dit project lijkt op te moeten houden. De spoeling met roms wordt dunner en dunner.
Dankjewel voor de nuttige context. Dat van de Copperhead vechtscheiding wist ik al en dat is natuurlijk erg beroerd en dat kan leiden tot een 'us against the world mentaliteit'.

Wat ik me wel afvraag, zitten er bij e/os en Iode dan ook mensen van Copperhead? Want ook daar wordt vanuit Graphene behoorlijk op afgegeven. Vanuit die projecten zie ik het laatste half jaar juist eigenlijk nauwelijks meer negatieve reacties op Graphene (ze geven toe dat het beter is voor privacy, maar dat zij zich richten op een alternatief voor Google-afhankelijkheid, dus een andere focus).

Ik volg het GraphenOS forum inmiddels een beejte, want het OS lijkt mij enorm interessant, maar ik voelde me er niet helemaal thuis. Iedereen is zo enorm blij met elkaar (komt wat overdreven Amerikaans over - doen Canadezen dit ook :-), en als ik op andere fora kom, dan zie ik daar weer dat er mensen zijn die alleen maar reageren in Graphene topics, en dan altijd hetzelfde 'marketing' riedeltje afdraaien (GrapheneOS is de enige optie, alle anderen zijn niet veilig/liegen voor economisch gewin. Ik vind het echt top dat GrapheneOS een stichting is ipv een bedrijf, maar ook zij zijn afhankelijk van inkomsten/donaties en marketing om het aantal gebruikers te verhogen, dus het is niet zo zwart wit als gesteld. Het zal wel aan mij liggen hoor, maar het voelt voor mij hierdoor een beetje als een cult. Ik hoop dat dat binnenkort wat gaat veranderen (zeker ook omdat ze mogelijk met een eigen telefoon komen en je dan geen Pixel meer nodig hebt), zodat er van alle kanten er meer constructief kritisch met elkaar wordt omgegaan.

[Reactie gewijzigd door pascoa341 op 21 augustus 2025 09:16]

Van /e/OS weet ik niet per se hoe het gestart is, maar ik kan in elk geval wel al zeggen dat "het laatste half jaar eigenlijk nauwelijks meer negative reacties" niet echt klopt. De hoofdpersoon achter /e/OS, Duval, post regelmatig negative reacties over GrapheneOS op zijn sociale media. Eentje van zeer recent: https://mastodon.social/@gael/115067300718940033. Hij reageert zelfs op threads op sociale media waarin enkel GrapheneOS gementioned wordt en niet /e/OS gewoon om negativiteit te uiten. GrapheneOS gaat meestal enkel minpunten over /e/OS oplijsten als ze expliciet getagged worden in een sociale mediabericht waarin iemand vraagt wat de vergelijking met /e/OS is of omdat anders op die thread zou reageren en /e/OS zou aanraden als een evenwaardig alternatief. Duval reageert nooit echt inhoudelijk, zoals je kan zien in de gelinkte post, terwijl GrapheneOS meestal over technische zaken praten.

Het hoofdprobleem met iodéOS is dat iodéOS samenwerkt met Robert Braxman en Robert Braxman door security engineers wordt gezien als een leugenaar, scammer en complottheorie verspreider. Braxman wordt als scammer gezien omdat hij liegt over wat zijn eigen producten en diensten te bieden hebben. Zo liegt hij over end-to-end encryptie en de security features van zijn apparaten. Heb daar daarjuist nog meer context over gegeven op Mastodon aan iemand: https://infosec.exchange/@tranquil_cassowary/115068897748146017

Dat /e/OS Google-onafhankelijkheid zou bieden is ook niet echt waar want het bundelt microG en microG maakt nog steeds enkele connecties naar Google en is ook een geîntegreerde gepriviligeerde app in tegenstelling tot de gesandboxte Play Services op GrapheneOS. GrapheneOS maakt geen enkele connectie naar Google by default: https://grapheneos.org/faq#default-connections

Ik ben zelf een actieve community-member van GrapheneOS en zou zelf het forum niet echt aanraden om eerlijk te zijn. De chatrooms worden beter gemodereerd, op het forum blijft misinformatie of objectief slecht advies soms wat langer staan. Heb ook het gevoel dat de demografie op de fora een beetje anders is dan in de chatrooms en dat sommige mensen op de fora nogal radicaal zijn en onnodig extreme keuzes maken in het nastreven van privacy. Voor technische uitleg maakt het GrapheneOS acocunt zelf vaak uitgebreide uiteenzettingen op hun X account (dan moet je "post and replies" af en toe lezen). Het nadeel daarvan is dat er tussen die post and replies ook heel veel reacties gaan staan van GrapheneOS op berichten die hun aanvallen, ik heb begrepen dat je niet zo een fan ben van drama zoals dat dus dat ga je waarschijnlijk niet de meest aangename ervaring vinden :D .

Mijn ervaring over het algemeen als lid van de community is dat mensen vaak ook complimenten geven (credits were credits are due) op alternatieve techproducten hoor. Maar meestal gaat het dan over iDevices van Apple en Pixels met het PixelOS besturingssysteem. Zij worden ook als heel veilig gezien en relatief privacyvriendelijk zolang je de juiste settings wijzigd. Er is helaas een reëel probleem van absolute nalatigheid bij andere bedrijven en organisaties wat betreft beveiliging. Meeste Android OSes shippen enkel de jaarlijkse release van Android (vaak ook laattijdig) en gaan vervolgens security CVEs backporten. Door security CVEs te backporten mis je security features (niet hetzelfde als security patches) en patch je ook enkel een subset van security vulnerabilities (niet elke vulnerability krijgt een CVE en Google zorgt ook enkel voor backports van CVEs die een bepaald niveau van "kritisch" behalen). Er wordt zelfs toegegeven dat iPhones op sommige domeinen zelfs beter zijn dan Android, een voorbeeld hiervan is dat iOS op dit moment een "clipboard access" run-time permissie heeft, terwijl deze ontbreekt op Android en ook niet wordt toegevoegd door GrapheneOS.
Wederom dank, voor de inhoudelijke reactie. Ik had wat tijd over dus ben er even ingedoken. De reactie van Gael Duval is inderdaad kinderachtig, maar is volgens mij een reactie op de onderstaande post op basis van een artikel van Ifixit. Hier stond niets negatiefs in over GrapheneOS (volgens mij werden ze oorspronkelijk niet eens genoemd), maar dat belette Graphene niet om even lekker los te gaan en negativiteit te uiten.

https://discuss.grapheneos.org/d/24134-devices-lacking-standard-privacysecurity-patches-and-protections-arent-private

Volgens mij doen de admins van GrapheneOS dus net zo hard mee met het kinderachtige gedoe. Dat vind ik nu juist zo jammer, want het maakt GrapheneOS minder geloofwaardig voor mij. Is het niet mogelijk dat mensen in de Graphene community gewoon eens vragen of het een tandje minder kan. De inhoud van de kritiek zal vast waar zijn (ifixit heeft het artikel wat genuanceerder gemaakt - maar goed die hyperbolenpraat is helaas vrij standaard voor internetposts, en wordt ook gretig gebruikt door GraphenOS ("absolutely atrocious privacy and security, not meeting even basic privacy/security standards" - als je het heel hard wel zeggen, zeg dan atrocious, maar voor absolutely atrocious verwacht ik dat mijn data binnen een dag bij google en allerlei overheden ligt :-).

De connectie van Robert Braxmann met iodéOS, lijkt mij nou niet zo enorm erg. Ik snap er te weinig van om te weten hoe verschrikkelijk deze man, maar het klinkt niet als fijn gedrag. Iode werkt dus samen met hem aan een telefoon (leveren het OS, maar het is geen exclusive). Ik bind het prima om samenwerken met foute partijen/bedrijven af te keuren, maar dat komt iets minder sterk over als je zelf als organisatie de telefoons van Google al vele jaren gebruikt (geen officiele samenwerking, maar ze 'verdienen' er evengoed hun salaris mee). Technisch gezien is Google mogelijk wel goed, maar ethisch (en qua privacy) is dat nou juist een bedrijf waar 'absolutely atrocious' misschien wel gerechtvaardigd is).

Heb je een voorbeeld van de chatrooms (mag ook in dm), want ik ben wel benieuwd hoe de discussies daar gaan. Ik vind het namelijk oprecht een fascinerende organisatie.
De mensen van GrapheneOS hebben vaak gespeculeerd over een 'eigen' telefoon, maar dit lijkt meer pragmatisch omdat ze er niet vanop aankunnen dat Google de Pixels altijd open houdt. De recente move van Google om Pixel support uit ASOP te halen en de source code voor Pixel support anders te publiceren laat wel zien dat dat niet ongegrond is. (GrapheneOS heeft wel gezegd dat ze niet denken dat Google dit doet om het voor hun moeilijker te maken, maar dat het waarschijnlijk te maken heeft met voorbereidingen op het afsplitsen van Android.)

Ik zet 'eigen' hier tussen quotes omdat ze niet echt denken een eigen telefoon te maken, het enige wat ze willen is dat een bestaande fabrikant een versie van een telefoon maakt die aan hun specs voldoet. Een van de eisen is custom verified boot, wat zou betekenen dat ook andere custom rom makers op die hardware kunnen.

De reden dat ze hier niet op willen inleveren is omdat hun prioriteit beveiliging is (iets anders dan privacy). GrapheneOS is veiliger dan OEM Androids, zelfs dat van Google Pixels. Ze vinden dat CalyxOS en LineageOS schijnveiligheid bieden, en dat je vanuit veiligheidsoverwegingen zelfs beter de sock ROMs van Samsung etc. kan gebruiken.
Waarom is SFOS zo slecht? Ik hoor/lees het graag. \

En het liefst zie ik dan een sluitende redenering of een verwijzing naar feiten. Reputatie an sich is niet per se zo veel waard omdat het vooral anekdotisch van aard is.
Hey, ik ben geen expert hier in, maar ik luister naar experts en volg de situatie graag. Ik kan je verwijzen naar paar bronnen, en ik zou ook de twitter van GrapheneOS volgend, omdat die ook veel uitspraken doen over andere software/hardware (o.a. linux mobile) en die hebben echt veel kennis (ontwikkelen ongeveer de populairste, veiligste en meest prive consumenten OS).

Maar in het kort: Linux desktop is op zich niet heel veilig. Het is ern giga project met overal wat en er zijn zat bugs die exploit kunnen woorden maar niet ontdekt zijn (of langzaam aan gewerkt wordt door de cultuur). Modern Android en iOS zijn echte veilige OS en die goed in harmonie werken met de juiste hardware (moderne iPhone's, Pixel's). Zonder goed hardware, heb je geen veilig systeem.

SFOS is niet ontworpen met de gedachte van Privacy en Veiligheid. Linux ook niet. Android en iOS wel, al jaaren lang.

Maar doe vooral je eigen onderzoek maar blijf bij de feiten en luister naar iedereen een keertje. En nee, ChatGPT is geen bron.
Betekent dit dat het onveilig is om CalyxOS komende maanden te gebruiken?

Oftewel, moet ik het gaan vervangen voor een andere custom ROM?

Niet dat ik veel doe op mijn smartphone, ik heb niet eens een browser of bankapp.
CalyxOS liep al achter met (veiligheids)updates dus het was an af te raden om het te gebruiken vanuit een veiligheidsstandpunt. Als je een Pixel hebt is het best om over te stappen naar GrapheneOS. Als je elke andere telefoon hebt, zou het slimst zijn om terug naar stock OS te gaan voor beste veiligheid.
https://www.androidauthority.com/google-android-development-aosp-3538503/

Graphene heeft geen Partner Acces , alles word dicht getimmerd door Google. Aan de ene kant jammer.

Is dit ook niet de reden dat steeds meer boatloaders niet te unlocken zijn. Las ergens dat Samsung dat ook gaat doen. Ben zelf een een tevreden Calyx en Graphene OS gebruiker geweest.


Calyx is niet de enige OS wat achter loopt met de veiligheidsupdates. /E/ OS ook.
Omdat Graphene geen partner access heeft zijn ze momenteen bezig met een OEM om een eigen telefoon te produceren.
Oei, ik hoop toch dat ze weer snel de draad (kunnen) oppakken, wat ook lastiger gaat worden door het niet meer beschikbaar stellen van AOSP releases vanuit Google. Kost al met al (nog) meer funding en human resources om door te ontwikkelen.
CalyxOS is an Android mobile operating system that puts privacy and security into the hands of everyday users. Plus, proactive security recommendations and automatic updates take the guesswork out of keeping your personal data personal. https://calyxos.org/
Best scheef dat een project dat draait om veiligheid nu zelf maandenlang geen beveiligingsupdates uitbrengt. Het is alsof een bank zegt: we sluiten de kluis even af omdat we het alarmsysteem willen upgraden… maar in die tijd laten we de deur gewoon op een kier.
Iedereen roept privacy en security en anti big-tech! Maar meestal toch jezelf een wortel voor houden.

Wel Gmail en de Chrome browser gebruiken. Whatsappen en vooral met je Alitrackexpress account shoppen.

Er zijn geen sites zonder trackers zoals Facebook en Google. KIjk naar Tweakers/DPG Media.

Wat was dat toch eerder heerlijk met die oude Nokia's
Je oude Nokia doet het nog gewoon hoor.

Je bent gestopt met het gebruik ervan omdat je toch stiekem heel graag al die mooie apps van de big tech wilde gebruiken.

En dat geldt voor bijna iedereen. Een enkeling daar gelaten.
Dat is helemaal waar. Ook zo makkelijk ff digid ofzo op je telefoon. Eigenlijk is dat het allemaal normaal geworden. Denk meer gemakzucht,

Op dit item kan niet meer gereageerd worden.