Volla maakt met Europese bedrijven opensourcealternatief Google Play Integrity

De Duitse smartphonefabrikant Volla ontwikkelt samen met verschillende Europese smartphonebedrijven een opensourcealternatief voor Google Play Integrity. De software wordt gepubliceerd onder een Apache 2.0-licentie en is daarmee ook in commerciële producten te gebruiken.

De software heet UnifiedAttestation en creëert 'een transparant en betrouwbaar beveiligingsverificatieproces waarop appontwikkelaars en uitgevers in gelijke mate kunnen vertrouwen', zegt Jörg Würzer, de algemeen directeur van Volla. Volgens hem neemt UnifiedAttestation de 'laatste horde' voor het gebruik van alternatieve mobiele besturingssystemen weg. Het systeem werkt volledig offline via appservers, schrijft Volla op de website van het project.

De eerste virtuele vergadering werd op 13 februari gehouden tussen zes vertegenwoordigers van verschillende bedrijven, waaronder /e/OS-maker Murena, IodéOS-ontwikkelaar Iodé en het Zwitserse Apostrophy. Volgens Volla hebben andere niet nader genoemde Europese bedrijven en een 'grote fabrikant uit Azië' aangegeven het initiatief te willen ondersteunen. Ook zouden de eerste ontwikkelaars en uitgevers van overheidsapps uit Scandinavië al hebben aangegeven UnifiedAttestation te willen implementeren.

Onder de naam UnifiedAttestation wordt een 'modulaire architectuur' met drie centrale elementen ontwikkeld, schrijft Volla. Ten eerste kunnen apps een besturingssysteemdienst gebruiken om te controleren of het betreffende besturingssysteem voldoet aan de gedefinieerde beveiligingsvereisten. Deze dienst is volgens de fabrikant 'met slechts enkele regels code' te integreren. Daarnaast krijgt UnifiedAttestation een gedecentraliseerde dienst die controleert of het certificaat van een besturingssysteem geldig is op het apparaat waarop het staat geïnstalleerd. Verder ontwikkelen de bedrijven ook een open testsuite, waarmee besturingssystemen op specifieke toestelmodellen kunnen worden getest en gecertificeerd.

Concurrenten testen elkaars producten

De ontwikkelaars willen uiteindelijk een peerreviewproces opzetten, waarbij consortiumleden elkaars apparaten en besturingssystemen controleren en certificeren. Dit is volgens Volla beter voor de transparantie. "We willen vertrouwen niet centraliseren, maar het juist op een transparante en publiekelijk verifieerbare manier organiseren. Wanneer bedrijven de producten van hun concurrenten testen, kunnen we dat vertrouwen versterken", zegt Würzer.

Op dit moment gebruiken apps die vertrouwelijke informatie gebruiken, zoals bankapps, nog vaak Google Play Integrity. Dit systeem heeft meerdere checks om de integriteit van een apparaat te verifiëren. De check die specifiek controleert of een app op een legitiem Android-systeem draait, wordt door custom roms niet ondersteund. Door deze check werkt sinds vorig jaar onder meer de Rabobank-app niet meer op custom roms.

UnifiedAttestation

Door Imre Himmelbauer

Redacteur

Feedback • 10-03-2026 14:59 37

10-03-2026 • 14:59

37

Lees meer

Rabobank-app werkt niet meer op alternatieve Android-roms vanwege Integrity-api
Rabobank-app werkt niet meer op alternatieve Android-roms vanwege Integrity-api Nieuws van 13 augustus 2025
Google verwijderde vorig jaar opnieuw meer apps uit Play Store
Google verwijderde vorig jaar opnieuw meer apps uit Play Store Nieuws van 31 januari 2025
Google past fraudedetectie-api Play Integrity aan, mogelijk effect op custom rom
Google past fraudedetectie-api Play Integrity aan, mogelijk effect op custom rom Nieuws van 5 december 2024
Smartphones /e/OS Custom rom

Reacties (37)

-Moderatie-faq
37
37
23
4
0
9
Wijzig sortering

Sorteer op:

Weergave:
joint_me 10 maart 2026 15:12
Er is ook een post van GrapheneOS waar ze zeggen dit niet te steunen.

https://grapheneos.social/@GrapheneOS/116200110686604617
Reageer
D13DS3L @joint_me10 maart 2026 15:32
Was wel te verwachten, ik begrijp grapheneos niet helemaal op het niveau van digital sovereignty. Ik begrijp wel het statement dat ze niet achter enige vorm van attestation staan, maar veel bedrijven moeten gewoon dit soort stomme dingen afkaderen om zich legaal in te dekken. Tot hier geen wetgeving over is zal dat ook wel blijven gebeuren.

Dan kan je denk ik beter for the time being een open-source variant aanbieden waarin we minder afhankelijk zijn van amerikaanse big-tech en waarin custom os'es ook inspraak in hebben. Het lijkt me dan ook dat dit een manier is om deze europeese OS'en een soort legitimiteit te geven tov het bedrijfsleven, zodat bedrijven zonder al teveel moeite en grote omzwaaien ook rekening kunnen houden met deze os'en.

Jammer dat Graphene dit dan weer als "smearing campaign" gebruikt tov de andere os'es. Blijf het jammer vinden dat hier geen brug geslagen kan worden, want waarin iode, murena en apostrophe tekort komen in privacy (wat eigenlijk meer op security lijkt in de definitie van GOS imho) proberen deze bedrijven wel te werken aan digitale soevreiniteit. GrapheneOS is zeker qua OS een beter product, maar laat het daarbij liggen en timmert niet aan het legale en politieke ecosysteem om de smartphone heen.

Soms lijkt het ook wel alsof Graphene de alternatieve OS community divided wil houden zodat er niks van de grond kan komen behalve wat ze zelf maken... vooral als ik nu deze mastodon lees. Heb ik echt het idee dat er een soort paranoia spookt.

[Reactie gewijzigd door D13DS3L op 10 maart 2026 15:38]

Reageer
readefries @D13DS3L10 maart 2026 15:41
maar veel bedrijven moeten gewoon dit soort stomme dingen afkaderen om zich legaal in te dekken
Nee, ze moeten helemaal niks. Dat leggen ze zichzelf op door in b.v. in hun ISO 27001 vast te stellen dat ze hierdoor een risico mitigeren. Ze leggen zichzelf dus deze schijnveiligheid op.

Ik heb niet het gevoel dat het een smearing campaign is, het voelt voor mij meer als aangeven dat de andere bedrijven niet echt werken aan security en meer aan security-washing...
Reageer
D13DS3L @readefries10 maart 2026 16:10
Aha, daar weet ik net iets te weinig over, dus bedankt voor de aanvullende info :) Ik denk haast dat het niet eens over de attestation zelf gaat, maar meer een soort signaal is om te laten dat afgeven dat er binnen europa 3 bedrijven hier iets willen opbouwen en daarvoor bereid zijn concerns van bedrijven over security willen afnemen. Meer als "marketing stunt/washing" dan echt als oplossing voor een probleem inderdaad. However ik begrijp dat dat ook wel nodig is om meer aandacht en funding naar deze projecten kan gaan zodat ze net als grapheneos beter dichtgetimmerd kunnen worden. GrapheneOS is vooral security oriented en ook privacy friendly in de zin dat je kan reguleren waar google toegang tot heeft, maar is uiteindelijk wel erg afhankelijk van google, en dat is wat de andere 3 meer mee bezig zijn.

Vandaar de wens naar die brug tussen de privacy en security kant waar graphene domineerd, maar wel met de toon een toegankelijkheid en het grotere beeld waar de andere drie aan werken. Ik denk dat het voor veel bedrijven (behalve motorola) ook best wel eng is om in zee te gaan met een bedrijf wiens mastodon aardig unhinged is.

[Reactie gewijzigd door D13DS3L op 10 maart 2026 16:13]

Reageer
astro_volt @D13DS3L10 maart 2026 16:28
Ik ben het met je eens dat het GrapheneOS team soms nogal té fel uithaalt naar anderen, en het beste wat vriendelijker kunnen overkomen.

Maar ben het niet eens dat het steunen van dit soort software van een bedrijf zoals Murena of Iodé goed is. Er zijn genoeg voorbeelden van Europese bedrijven die even slecht zijn als Amerikaanse bedrijven (zie Spotify). Dus zeggen "het is Europees, dus het is goed" is eigenlijk best wel vreemd, daar ben ik het niet mee eens.

Bovendien zij IodéOS en /e/OS even, of wel juist nóg meer afhankelijk van Google en Android dan GrapheneOS.
Reageer
uiltje @astro_volt10 maart 2026 16:51
Het gaat er bij veel bedrijven specifiek om dat ze zich in de EU jurisdictie bevinden en vooral niet in de Amerikaanse. Want zoals we weten zijn Amerikaanse bedrijven verplicht mee te werken met e.g. de NSA, zonder dit naar buiten te mogen brengen. Dat is echt een verschil wat zelfs in aanbestedingen meegenomen wordt. Of zou moeten worden.
Reageer
readefries @D13DS3L10 maart 2026 16:36
Het zou inderdaad mooi zijn als die andere projecten meer ondersteuning krijgen om hun security en stapje op te kunnen krikken.

Los daarvan denk ik dat het probleem wat hier onderligt aangepakt wordt: het voelt voor mij dat (vooral) banken graag (thoretische) zekerheden willen hebben terwijl dit nooit 100% is af te dichten. Het zou op de lange termijn veel meer opleveren, dat ze ipv deze ISO 27001 mitigaties uitzoeken en opschrijven, de tijd besteden in FOSS projecten waar ze van afhankelijk zijn te ondersteunen met tijd. Tijd is denk ik vele kostbaarder dan het afkopen met geld.
Reageer
astro_volt @D13DS3L10 maart 2026 15:43
Ik denk juist dat ze bij GrapheneOS vrezen dat Murena, Iodé en Apostrophy een alternatief maken voor Play Services om hiermee concurrenten (zoals dan GrapheneOS) tegen te werken.

Stel banken en andere apps gaan deze tech gebruiken, dan kunnen Murena, Iodé en Apostrophy dus bepalen welke OS wel of niet gebruik mag maken van deze software Attestation.

Dit is dus echt wel daadwerkelijk problematisch
Reageer
D13DS3L @astro_volt10 maart 2026 15:52
Dat ligt uiteindelijk aan de bestuursvorm die er uit komt rond dit protocol, en daar is nog weinig over gedeeld, ben benieuwd
Reageer
Stijnvi @joint_me10 maart 2026 15:40
Ik zal proberen het niet al te politiek te maken, maar dit is een goed voorbeeld van wat er tegenwoordig veel te vaak misgaat. Het huidige systeem is verschrikkelijk, een nieuw systeem is beduidend beter, maar voor een bepaalde partij is het nog steeds niet goed genoeg, en in plaats van het nieuwe systeem te steunen als stapsgewijze verbetering steunen ze het helemaal niet, waardoor we uiteindelijk vast blijven zitten aan het oude systeem. Door alles maar af te keuren als 'niet goed genoeg' gaat er nooit verandering komen.
Reageer
keranoz @Stijnvi10 maart 2026 16:28
Ik snap je punt maar ik denk niet dat GrapheneOS er voor zal zorgen dat we vast blijven zitten aan Play Integrity, gezien ze dat nu ook niet ondersteunen.

@William_H Fair enough. Maar het zal mij verbazen als een partij als Google zich door zo een kleine groep zal laten overtuigen. Ik zou dan eerder hopen op EU wetgeving die het openstellen afdwingt.

[Reactie gewijzigd door keranoz op 10 maart 2026 22:05]

Reageer
William_H @keranoz10 maart 2026 21:27
Dat is niet wat @Stijnvi bedoelt. Het gaat er om dat door deze houding van GrapheneOS er geen één front wordt gevormd tegen attestation van Google. Tegelijkertijd eisen bepaalde partijen, ja jij Rabobank, wel dat daar gebruik van gemaakt wordt als je hun app wil gebruiken. Dus wat gebeurt er, of mensen gaan daar omheen werken dat ze Google Play Services (die de attestation verzorgt) kunnen draaien (waardoor er dus weer van Google gebruik wordt gemaakt) óf men gebruikt wel GrapheneOS zonder attestation en dus zonder die bankenapps. Maar dat zal dan een kleine groep zijn.

Beetje zoals Linux voor Wine. Ja, er zijn alternatieven voor Windows programma's. Maar soms heb je (of wordt van je geëist) dat je gebruik maakt van die programma's. Dan ben je blij dat je dat toch via Wine op Linux kan draaien, dan dat je verplicht Windows moet draaien. Sommige hardcore Linux gebruikers vinden dat een schande (GrapheneOS), anderen (e/OS etc.) denken meer pragmatisch, omdat het anders nooit wat gaat worden met alternatieven voor Google (attestation).
Reageer
Pyronick @joint_me10 maart 2026 15:46
De felle reactie van GrapheneOS op dit initiatief van Volla, Murena en iodé is overduidelijk gekleurd door een lange, emotionele geschiedenis vol onderlinge conflicten. Je merkt direct dat oud zeer de boventoon voert in hun communicatie.

Maar als je door die moddergooierij heen kijkt, hebben ze inhoudelijk wel een fundamenteel punt. App-ontwikkelaars misbruiken attestation API's tegenwoordig puur als een vorm van hardware-DRM. In plaats van een nieuw, Europees consortium op te tuigen dat via publieke sleutels als poortwachter fungeert, zouden we moeten streven naar absoluut eigenaarschap over onze apparaten. Zolang een externe partij via dit soort digitale sloten kan dicteren of jouw gekozen besturingssysteem 'legitiem' is, ben je in feite gewoon je eigen hardware aan het pachten. Echte technologische soevereiniteit betekent dat je als eigenaar zelf de vrijheid hebt om je eigen OS te draaien en de verificatie af te handelen met je eigen, zelf-gegenereerde private keys.
Reageer
William_H @Pyronick10 maart 2026 21:30
Wat is het verschil dan met Secure Boot met TPM's op computers en laptops? Daar moet je of de TPM en Secure Boot uitzetten om een Linux distro te kunnen installeren. Of je moet een gesignede versie installeren. Ik dacht dat Canonical dat wel deed met Ubuntu?
Reageer
Pyronick @William_H10 maart 2026 22:14
Die vergelijking gaat mank door een fundamenteel verschil in machtsverhouding. Een x86-pc (als verlengde van de moderne IBM/ATX compatible PC) is, vooralsnog, een 'general-purpose computer': jij hebt de ultieme controle. Je kunt Secure Boot in de UEFI simpelweg uitschakelen, of de standaard Microsoft-sleutels overschrijven met je eigen cryptografische sleutels (MOK) om je eigen OS te draaien. De hardware gehoorzaamt jou, althans vooralsnog.

Bij smartphones en API's als Play Integrity is dit omgedraaid. De Root of Trust is onwrikbaar in de chip gebrand. Installeer je een alternatief OS, dan kun je die originele hardware-sleutels niet vervangen. Als een app via de cloud verifieert of je toestel 'betrouwbaar' is, eist het de handtekening van de fabrikant, niet de jouwe. Dat is geen lokale beveiliging, maar remote hardware-DRM.

Dit is exact waar Cory Doctorow voor waarschuwt in de 'War on General-Purpose Computing'. Apparaten worden steeds vaker gereduceerd tot dichtgetimmerde huurterminals, wat de traditionele pc feitelijk onze laatste strohalm van technologische soevereiniteit maakt. Als we accepteren dat externe partijen via digitale sloten dicteren welke software 'legitiem' is, geven we ons absolute eigenaarschap (en controle over general-purpose computing) simpelweg op. Dat zien we al met Apple apparatuur, vrijwel alle smartphones en de inmiddels ook de meeste embedded en huis-, tuin- en keukenapparatuur (lees: consumer electronica).
Reageer
William_H @Pyronick10 maart 2026 22:32
Ben het helemaal met je eens en snap wat je zegt. Je ziet het inderdaad steeds meer. Daarom komt er hier ook niks van Apple in huis. Ze hebben het geprobeerd met de TPM en Secure Boot, maar is uiteindelijk toch niet gelukt.
Reageer
astro_volt 10 maart 2026 15:15
Het Google Play Integrity systeem is een anticompetitive systeem dat geen enkele voordeel bied behalve apps niet te laten werken op Android telefoons en OSes die niet de volledige toegang aan Google geven.

Een alternatief aanbieden hiervoor is juist iets waar we niet blij voor moeten zijn. Een alternatief voor een slecht systeem is nog steeds een slecht systeem.

We moeten juist er voor zorgen dat iets als Play Integrity niet mag bestaan.
Reageer
Enjoyer @astro_volt10 maart 2026 15:19
Hoezo is dit alternatief dan een slecht systeem? Zoals ik het begrijp houd het in dat het een open beveiligings systeem wordt waarmee bepaalde apps - bijvoorbeeld bank apps - kunnen draaien op niet android of apple systemen, terwijl de bank toch veiligheid kan garanderen.

Dit systeem zorgt dan juist dat meer besturingssystemen toegankelijker gaan worden. Dat Play Integrity dan closed off blijft om een Android Lock in te realiseren, moeten ze dan maar zelf weten.
Reageer
RobertMe @Enjoyer10 maart 2026 15:31
Er is juist geen enkele reden voor die bank apps om niet te draaien op bv alternatieve OSen / ROMs. De enige reden waarom die apps niet werken is omdat de banken/... menen dat Google Play Integrity of mogelijk dit alternatief veiligheid toevoegen. Maar effectief doen ze dat niet. Mijn antieke OnePlus 3 met Lineage up-to-date tot 2024 voldoet niet aan Google Play Integrity, terwijl die met originele ROM met laatste update uit 2019 wel zou voldoen. Mag jij raden welk OS ik veiliger acht.

En het draadje van Graphene waar @joint_me hierboven naar linkt stelt zelfs dat enkele van de fabrikanten die meedoen aan dit alternatief ook outdated ROMs leveren, of zelfs claimen dat de security patches van / tot <moment X> er in zitten terwijl dat helemaal niet het geval is (en dus de gebruiker misleiden / schijnveiligheid geven).
Reageer
astro_volt @RobertMe10 maart 2026 15:37
En straks met dit Play Integrity alternatief 'UnifiedAttestation' (als het aanslaat) mag je dus op je "antieke OnePlus 3 met Lineage up-to-date tot 2024" gewoon bankieren alsof het dezelfde security heeft als een nieuwe telefoon met de laastste software & security patches.

Het gaat echt niet om beveiliging van je telefoon. Alleen maar om het zorgen dat je niet de software van de concurrent gebruikt.
Reageer
astro_volt @Enjoyer10 maart 2026 15:27
Dit heeft niks te maken met veiligheid. Net zoals met de huidige Play Integrity dat ook niks met veiligheid heeft te maken.

Google probeert, net zoals deze bedrijven dat nu proberen, dit systeem te verkopen als een security-feature.

Het enige wat het juist doet is er voor zorgen dat je een OS moet gebruiken die voldoet aan een certificatie die word bepaalt door een paar bedrijven die zelf hun operating system maken. Net zoals Google dat nu doet. Het certificeer proces gaat dan ook 0 over de security van de telefoon zelf of op welke hardware het draait, alleen maar welke OS er op draait. Dit is geen hardware attestation.
Reageer
Enjoyer @astro_volt10 maart 2026 15:52
Hmmm, ik dacht juist dat die "attestation" bedoeld was om er zeker van te zijn dat je de juiste bank app installeert, om even voort te borduren op het bank app voorbeeld.

Maar aan de andere kant, als ik gewoon vanaf de bank website een app kan downloaden, en installeren, lijkt mij dat net zo veilig. Je moet het dan alleen niet vanaf een onbetrouwbare bron halen.
Reageer
astro_volt @Enjoyer10 maart 2026 16:00
Nee het checkt niet alleen of je de juiste app installeerd, het kijkt ook o.a. of je OS gecertificeerd is voor gebruik met de app.

Dus deze attestation bestaat alleen om op OS-niveau toe te wijzen of je wel of niet bepaalde apps mag gebruiken.

Bijvoorbeeld met Play Integrity bepaald Google welke apps je wel of niet mag gebruiken. Dit gebeurd wanneer een bedrijf de Play Integrity API implementeerd in hun app.

Dan word er gekeken of de app via de Play Store is geinstalleerd op een apparaat met Play Services die volledige toegang heeft op je telefoon (anders geeft Google je niet die certificaat).

[Reactie gewijzigd door astro_volt op 10 maart 2026 16:01]

Reageer
Enjoyer @astro_volt10 maart 2026 18:37
Okay interessant, hopelijk gaat /e/OS dit dan niet toepassen om hun OS ook te "locken".
Reageer
William_H @astro_volt10 maart 2026 21:42
Het gaat wel degelijk om hardware attestation. Play Integrity kijkt naar of je een geroote telefoon gebruikt. Met alle alternatieve OS-en is dat natuurlijk het geval. Dus daarom draait een app als de Rabobank dan niet omdat zij niet weten welke low-level apps er op de achtergrond draaien (en bijv meekijken met je scherm terwijl je een transactie verricht).

Natuurlijk ben ik het met de rest eens dat het deels een wassen neus is. Op de computer of laptop met Ubuntu of illegale Windows kun je ook gewoon internetbankieren. Een ASN bank gebruikt bijvoorbeeld zoiets als een browsercode (zelf gekozen pincode) in samenhang met een cookie. Daarmee kun je gewoon bankierhandelingen verrichten. Overigens wel alleen lagere bedragen overmaken dan met je telefoon of Digipas (decodeerapparaatje).
Daarmee lijkt het alsof de banken, wat ze feitelijk ook doen, je telefoon willen inzetten als vervanging van hun decodeerapparaatjes. En heeft dit met risico-mitigatie te maken. Bij zo'n browsercode hoort niet voor niets een lagere daglimiet dan bij de app of RandomReader (Rabobank).
Dus uiteindelijk gaat het wel degelijk om de hard en software integriteit. Maar de manier waarop de banken dit afdwingen is uiteraard niet fijn en geliefd. Dan kan dit initiatief wel degelijk helpen om alternatieve OS-en te accepteren binnen banken, want die gaan de integriteitseis toch niet laten vallen (mede vanwege KYC en anti-terrorismewetgeving).
Reageer
astro_volt @William_H11 maart 2026 00:20
Play Integrity kijkt naar of je een geroote telefoon gebruikt. Met alle alternatieve OS-en is dat natuurlijk het geval.
Dat is niet waar. Root, oftewel root access, is iets anders dan het installeren van een andere OS. In veel alternatieve OS heb je juist geen root access.

Waar jij het waarschijnlijk over hebt is een unlocked bootloader. Maar zelfs dat is niet waar. GrapheneOS bijvoorbeeld heeft bij een standaard installatie een locked bootloader, en zelfs met een locked bootloader voldoet het niet aan Play Integrity. GrapheneOS word zelfs soms geflagged door Play Integrity als "rooted".
Het gaat wel degelijk om hardware attestation.
Play Integrity is niet direct een hardware attestation. De Android Hardware Attestation heeft alleen wel de requirement dat de telefoon op softwareniveau Play Services support. Oftewel ze noemen het een hardware attestation maar je hebt hun volledige Google Play software nodig by default om hardware certified te zijn.

GrapheneOS implementeerd de hardware attestation met hun eigen keys. Echter betekent dit dat app ontwikkelaars die keys apart moeten whitelisten in hun app omdat die niet by-default zijn ge whitelist door de Play Integrity API.
Dus daarom draait een app als de Rabobank dan niet omdat zij niet weten welke low-level apps er op de achtergrond draaien (en bijv meekijken met je scherm terwijl je een transactie verricht).
De Rabobank app werkt wel als je hem niet installeerd via de Play Store (bijvoorbeeld via de Aurora Store) omdat ie dan niet checked op Play Integrity. Dus dankzij Play Integrity moet iedereen zonder een Google verified OS via een sketchy omweg die app downloaden. Erg veilig.

Echter zorgt Play Integrity er ook niet voor dat een low level app wel of niet mee kijkt op je scherm. Het is geen beveiligingslaag voor je telefoon. Het verifieerd alleen maar of je OS en hardware voldoet aan de eisen van Google. Je kan met een 10 jaar oude telefoon die 4 jaar achterloopt met security patches met 100 spyware apps erop gewoon lekker bankieren. En dan ben je Play Verified :)
Dus uiteindelijk gaat het wel degelijk om de hard en software integriteit. Maar de manier waarop de banken dit afdwingen is uiteraard niet fijn en geliefd. Dan kan dit initiatief wel degelijk helpen om alternatieve OS-en te accepteren binnen banken, want die gaan de integriteitseis toch niet laten vallen
Als dit initiatief echt zou willen helpen met de integriteit van software én hardware voor beveiligde apps zouden ze juist moeten pleiten voor regels binnen de EU tégen zoiets als Play Integrity.

En juist moeten inzetten voor het gebruik van een hardware attestation zonder software eisen die kijkt of de software, hardware, firmware én app integrity goed geregeld is. Dit bestaat dus al met de Android Hardware attestation. Alleen voegt Google de sleutels van alternatieve OS niet toe aan Android omdat ze niet Play Services preinstalled hebben. Dit moet juist illegaal en afgestraft worden, en alle OS die voldoen aan de veiligheidsregels moeten automatisch aan de hardware attestation checks kunnen voldoen.
Reageer
William_H @astro_volt11 maart 2026 00:37
Ik zie dat ik het hier niet (zo) duidelijk beschreef. Maar ergens onder dit artikel of een andere artikel hier op Tweakers vandaag, wat over booten ging, schreef ik de volgende vergelijking en waarom dit dus wel klopt.

Hardware attestation en "rooted" zijn is hetzelfde verhaal als wat Linux heeft gehad op computers met Secure Boot en TPM(2.0). Ook hier werden de keys (door Microsoft) niet toegelaten in de TPM. Waardoor je er omheen moest werken om toch Secure Boot aan te kunnen houden. Of je ging naar Bios mode. Maar dan was je feitelijk niet "beschermd". Gelukkig vereisten er geen apps op je computer Secure Boot... Ook de banken niet 😉
Uiteindelijk na protest zijn de keys van de Linux OS-en toch toegevoegd.

Maar de overeenkomst met Play Integrity en hardware attestation en OS key signing is gauw gemaakt en klopt ook. Secure Boot en OS keysigning kan je zien als het bootlocked zijn bij computers, met geldige keys wordt het dan geschikt voor Play Integrity. Ja, oke, Google vereist Play Services daarbij. En zoiets wordt niet bij PC's geeist (hoewel je een link met de TPM2.0 eis van Microsoft kan leggen is dat niet helemaal volledig), hoewel banken dan wel weer vereisen dat je afdoende beveiliging actief hebt op je PC.
Ik ben het ook met je eens dat het een debiele situatie is en dat er wat aan moet veranderen. Een vijf jaar oud OS met dito security updates is veiliger dan een geroot OS met recente updates volgens Google? Dat is natuurlijk een rare situatie.

Alleen denk ik niet dat het totaal verwerpen van attestation geaccepteerd gaat worden, vanwege de banken en de rede voor banken om dit te eisen, zoals ik eerder uiteenzette aan je.
Dus kun je als GrapheneOS een achterhoede gevecht gaan leveren, of je komt met een beter alternatief, zodat je ook weer een goede optie bent. En dat is wat e/OS et all doet.

[Reactie gewijzigd door William_H op 11 maart 2026 00:42]

Reageer
astro_volt @William_H11 maart 2026 00:51
Alleen denk ik niet dat het totaal verwerpen van attestation geaccepteerd gaat worden, vanwege de banken en de rede voor banken om dit te eisen, zoals ik uiteenzette.

Dus kun je als GrapheneOS een achterhoede gevecht gaan leveren, of je komt met een beter alternatief, zodat je ook weer een goede optie bent.
Zoals ik al in mijn reactie omschreef is het antwoord op deze vraag:

- Er moeten regels komen tegen een systeem als Play Integrity.

- Hardware integrity attestations moeten zo geregeld zijn dat het niet iets zoals Play Services vereist: alleen checks op software-versies, hardware en firmware.

Deze hardware integrity attestation bestaat al en word gebruikt door GrapheneOS. App ontwikkelaars en banken kunnen het nu al gebruiken als alternatief voor de Play Integrity API. Maar het word veelal niet ondersteund omdat ze maar gewoon Play Integrity gebruiken en niet beter weten. Daarom moet hier wetgeving voor gemaakt worden om het af te dwingen.

Laatste dingetje:
... met geldige keys wordt het dan geschikt voor Play Integrity. Ja, oke, Google vereist Play Services daarbij.
Dit zou met computers dus zijn alsof Microsoft zegt: wij hebben een programma genaamt "Windows Protect" dat root access heeft tot je hele PC en alles wat je er op doet. Het verzorgt ook Windows Services en stuurt persoonlijke gebruikersinformatie op naar Microsoft. Je krijgt alleen een geldige Verified Boot key als je "Windows Protect" gebruikt.

Nou dat zou toch eens wat zijn ;)
Reageer
allabouteve 10 maart 2026 15:32
Door deze check werkt sinds vorig jaar onder meer de Rabobank-app niet meer op custom roms.
Ik weet niet welke ervaring andere hebben maar hier werkt de Rabobank app op grapheneos gewoon nog wel dus dit klopt niet helemaal.

[Reactie gewijzigd door allabouteve op 10 maart 2026 15:36]

Reageer
voorstad @allabouteve10 maart 2026 16:38
En de Rabobank app geinstalleerd vanuit de Aurora appstore op een Murena /e/os Fairphone werkt ook gewoon. Begrijp niet zo goed waarom de Rabo app iedere keer als problematisch genoemd wordt in dit verband.

Ik vind het wel problematisch dat NL banken klanten dwingen om alleen met Android of iOS apps nog klant te kunnen zijn, zoals Triodos nu lijkt te gaan doen (https://www.triodos.nl/service/particulieren/bankieren/identificeren/mobiel-bevestigen)

Om nog maar niet te spreken van het afstappen van eigen NFC contactloos betalen oplossingen ten gunste van Google Pay en Apple Pay.
Reageer
jotheman @allabouteve10 maart 2026 20:26
Dit dus idd. Ik draai sinds kort op /e/OS en de Rabo-app doet het prima.

Alleen betalen via NFC werkt niet (want dat steunt op Google Pay, wat weer steunt op Google Play Integrity), maar dat is zoals verwacht.

Dit zou een super alternatief zijn voor bank apps om ook die NFC betalingen te gaan ondersteunen. Hopelijk wordt het snel geadopteerd, maar.... ik heb er een hard hoofd in, zal wel een aantal jaren duren vrees ik. Oh well, we moeten ergens beginnen!
Reageer
drdelta 10 maart 2026 15:04
Je kunt veel zeggen, maar Google Play Integrity rolt een stuk makkelijker van je tong dan Attestation.

Tof dat er nu een Europees open source alternatief is.

[Reactie gewijzigd door drdelta op 10 maart 2026 15:05]

Reageer
n0elite 10 maart 2026 15:15
Überhaupt belachelijk dat je bepaalde apps niet kan draaien puur en alleen omdat je een custom rom draait.
Reageer
hlubach 10 maart 2026 16:32
Er is in de custom ROM community een vervanger voor dé Google Play Integrity te weten MicroG.

In de custom rom die ik met microg v=heb uitgeprobeerd werkte de ING app gewoon.

Enkel betalen via nfc was uit den boze

Nu gebruik ik een Gsi van LeOS op de telefoon . waarbij het microg ontdaan is van elke connectie naar een Google server, alles is vervangen door Open Source equivalent

Je zou de vraag kunnen stellen ,waarom niet alle ballen op microG

Zodat je op die manier het data slurpen van Google tegen gaat en alle apps gewoon kunnen werken


Eigenlijk zou er een OS moeten komen Google onafhankelijk .
Totaal Google vrij

[Reactie gewijzigd door hlubach op 10 maart 2026 18:10]

Reageer
uiltje @hlubach10 maart 2026 16:53
Onleesbaar. Neem of de tijd of post niet.
Reageer
William_H @hlubach10 maart 2026 21:45
Eigenlijk zou er een OS moeten komen Google onafhankelijk .
Totaal Google vrij
Dat is er dus, en heet GrapheneOS. Gebaseerd op de AOSP tak van Android, dus voordat Google al haar spul erin zet.
Reageer
Ethnic 10 maart 2026 15:44
Zeg Volla!?
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq