CalyxOS brengt bijna jaar na leiderschapswissel weer beveiligingsupdate uit

De makers van Android-customrom CalyxOS hebben hun eerste update uitgebracht na de leiderschapswissel van afgelopen augustus. De nieuwe versie bevat beveiligingsupdates. De ontwikkelaars beloven nieuwe beveiligings- en functie-updates uit te brengen en zeggen aan de Android 17-upgrade te werken.

De 7.2.2.0-update 'betekent dat CalyxOS officieel terug is van de hiatus!', schrijft het team. Deze pauze van de op privacy en beveiliging gefocuste customrom begon in augustus toen de oprichter en tech lead vertrokken. Dat vertrek 'had veel impact'. In de afgelopen periode heeft het team ook gewerkt aan de techstack, een 'gestabiliseerde' releasecyclus voor ondersteunde telefoons en bijgewerkte documentatie.

Het besturingssysteem gebruikt nu nieuwe signingkeys. Die zijn opensource en gebaseerd op hardware security modules (hsm's). De nieuwe signingkeys betekenen dat 'het gehele signingproces veiliger en redundanter is, en neemt single points of failure weg. Het team heeft ook scripts gemaakt om de maandelijkse beveiligingspatches en -updates van Android makkelijker door te voeren.

Het team is naar eigen zeggen van plan om na de 7.2.2.0-versie weer beveiligings- en functie-updates uit te brengen. De ontwikkelaars zijn ook in een vroeg stadium bezig met de Android 17-upgrade en CalyxOS 8. Ze beloven binnenkort een tijdlijn hiervoor te delen.

CalyxOS

Door Hayte Hugo

Redacteur

06-07-2026 • 14:42

25

Submitter: Vanquish92

Reacties (25)

Sorteer op:

Weergave:

Geen regelmatige updates zou voor mij een no go zijn. :-(
Als iedereen opeens opstapt dan is het wel logisch natuurlijk.

Al klinkt het alsof daar ook een heel verhaal achter zat.
Als iedereen opeens opstapt is dat voor mij een teken dat het wellicht niet echt een geschikt product is voor op een productie telefoon. Er zal absoluut een verhaal achter zitten wat er aan de hand is, maar ik heb een product nodig dat beveiligingsupdates ontvangt. Dat is iets dat Calyxos blijkbaar niet kan (of kon) leveren.
edit:
Ik lees nu in de reactie van PureTryOut dat ze van te voren hadden geadviseerd om in die tijd een ander OS te gebruiken. Dat veranderd het verhaal al wel iets.

[Reactie gewijzigd door Lagonas op 6 juli 2026 15:53]

Anders dan @Llopigat zegt was niet iedereen opgestapt, enkel de tech-lead.

Ook was er toen al kritiek. Nou had CalyxOS altijd al wat kritiek, maar in dit specifieke geval was het wel een dingetje dat een security-focussed OS besloot geen security updates meer uit te brengen omdat ze volle kracht aan interne zaken wouden werken. Dat gaf toen wel een beetje een gevoel van je prioriteiten niet op de juiste plek hebben (voor de markt die je bediend. Beveiligingupdates stoppen op een security-product is het laatste wat je wil, maar ze vonden andere dingen toch belangrijker dan die updates). Hoewel het zeker netjes is dat het gemeld werd, blijft het wel een beetje een rare casus.

Ben benieuwd of de nieuwe tech-lead ook een nieuwe insteek brengt. Gezien CalyxOS altijd al kritiek kreeg zou dat aan zich ook goed uit kunnen pakken, mits deze hiatus is gebruikt om de boel echt op te schonen en het nu beter aan te pakken. Hoewel sommige geruchten ook buiten de tech zelf vielen, maar op de bedrijfsvoering en steekhouders gingen en daarvia wel impact hadden op het product zelf (maar ik niet weet in hoe verre die klopten).

We gaan het zien. Ik juich meer security-focussed OS'en enkel toe, mits ze geen false-safety verkopen en ook echt effectief zijn. Of CalyxOS het vanaf nu goed gaat doen, is een kwestie van afwachten. Ik hoop het, en het kan, maar tijd moet het leren.
Ik heb CalyxOS nooit gezien als security-focused, maar privacy-focused aftermarket ROM (zoals LineageOS en pmOS ook aftermarket ROMs zijn). Security-focused zat en zit het niet in de buurt van GrapheneOS, dat ik niet als een aftermarket ROM beschouw. Er zijn hordes mensen die een smartphone kopen om daar direct GrapheneOS op te zetten. Privacy en security hebben overlap (zonder het laatste kun je het eerste vergeten) maar geeft ook een beetje aan over threat model.

Als je na een jaar nog eens terugkomt, dan vind ik dat behoorlijk pijnlijk. Je mag dan hopen dat iedereen naar iets anders is gemigreerd. Dat CalyxOS in het rijtje van DivestOS kwam te staan, was jammer. Maar dat ze nu weer uit dat rijtje gehaald zijn, houdt nog niet in dat je het nu maar gewoon kunt vertrouwen. Want dat vertrouwen is wel geschaad, en je draait nu inmiddels iets anders. En er zijn natuurlijk ook interessante vragen te stellen. Wie is bijvoorbeeld de nieuwe developer?

Ik gebruikte CalyxOS enkele jaren geleden overigens met veel plezier op enkele smartphones (had er diverse, nodig voor werk).
Ik ben het met je eens hoor. Maar CalyxOS was wel altijd gemarket als security-focussed en stond ook bij veel mensen zo bekend. Aardig deel van de kritiek waar ik het over had was dan ook altijd juist op hun tekortkomingen daarin, want er waren idd echt wel wat opmerkingen op hun security te maken. GrapheneOS is in dat veld momenteel idd onverschrokke lijder, gebruik het zelf ook al jaren. Maar CalyxOS had tot hun uitval wel een eigen aanhang alsnog, for better or worse.

Dat security en privacy overlap hebben is zeker waar, maar dat staat los van het punt dat ik maakte. Zelfde met dat het van je threat model afhangt wat je het beste kan gebruiken.

Ik zou ze nu ook niet zomaar vertrouwen. Ze staan in princiepe al 0-1 achter. Het zal echt werk kosten om weer een reputatie op te bouwen. Maar met veranderd leiderschap is het wel mogelijk. Ook is het mogelijk dat het juist slechter wordt. Vandaar, tijd zal het leren.

[Reactie gewijzigd door Cambionn op 6 juli 2026 17:59]

GrapheneOS security leider, maar die werkt enkel op dure Google pixel apparaten. Dus als je een simpele GS 190 kocht in de Gigaset eol Clearance voor 60 euro, moet je uiteindelijk iets anders. Tot nu toe dus gewoon de weinig opsmuk Android waar hij mee kwam.
Niet alleen de tech lead, ook de oprichter.
Ze hebben dan ook aangekondigd toendertijd dat ze een hiatus zouden nemen en raadde iedereen aan in de tussentijd iets anders te gebruiken. Een geweldige situatie was het niet maar ze erkende ook wel dat het niet top was en liever zo dan dat stilletjes de updates wegvallen.
Ach, mijn telefoon heeft ondertussen geen beveiligingsupdate meer gekregen sinds december 2021..
Dan is het echt wel tijd om daar iets aan te doen.
Tegenwoordig zit je telefoon aan zoveel accounts gekoppeld dat als hij wordt gehacked je echt zwaar de sigaar bent.

Misschien kun je op je telefoon een andere rom installeren?
Anders misschien toch maar is denken aan een overstap naar een ander model, ik weet het dat is zonde maar soms is er niks aan te doen, je kunt er hooguit bij je volgende aankoop meer rekening mee houden.
Ik heb hetzelfde probleem gehad met de LG Velvet, een maand na aankoop besloot LG te stoppen met de telefoonmarkt.
Als je nooit iets verandert aan je apps, en je doet weinig met je smartphone, waarom zou het dan een probleem zijn om geen updates te ontvangen? Het is vaak niet zo dat je "ineens" gehackt bent...
Omdat ontdekte lekken niet worden gerepareerd? Dat is toch het hele idee van security updates? Of ga jij nog lekker met Windows XP online?
Dat lek moet dan ook maar eerst misbruikt worden door een handeling van jou of iemand anders. Al dan niet door iemand die weet dat jij geen beveiligingsupdates meer ontvangt. Of door het installeren van een applicatie met een virus.

Denk je dat je namelijk, als je een website bezoekt met Windows XP, meteen gehackt bent?
Dat is namelijk niet hoe het werkt, en voor een hacker ben je dan ook niet interessant. Volgens mij draait de F-35 zelfs op Windows XP en dat is een oorlogmachine.

Ander voorbeeld, kijk maar eens hoeveel moderne auto's en zelfs bussen er rondrijden die geen beveiligingsupdates meer ontvangen, dat zijn er intussen ook een hoop, en toch hebben we geen complete chaos op dat vlak.
Het besturingssysteem zelf is de basis van je telefoon, als die al lek is maakt het verder weinig uit dat de apps wel up to date zijn. Jouw kernel wordt namelijk niet beschermt door die apps.

Het bezoeken van een website kan inderdaad genoeg zijn om dergelijke malware binnen te halen, je hoeft verder niet perse iets aan te klikken of te starten.
En je hoeft ook geen shady website te bezoeken, zelfs via google worden er regelmatig ads met malware geserveerd.
Surfen op internet met een zwaar verouderd besturingssysteem is dus een beetje als Russisch roulette, je weet nooit wanneer je de kogel krijgt.

En nee de F35 draait niet op Windows XP maar op zijn eigen OS, RTOS, speciaal gebouwd voor die machines.
Zou ook wel een beetje gek zijn als je een straaljager van zo'n 100 miljoen uitrust met software die een kind van 10 nog kan kraken.

Doe de volgende keer eerst ff wat onderzoek voor je mensen slechte adviezen geeft.
Beveiliging van je telefoon en computer is nog nooit zo belangrijk geweest als in de turbulente tijd waarin we nu leven.
Eigenlijk beweer je hiermee dat beveiligingsupdates niet nodig zouden zijn. Succes met je digitale leven verder dan.
Ik zou het voor geen meter niet meer vertrouwen. Zeker niet als je banking doet met je telefoon
Aan de ene kant snap ik dat, aan de andere kant lopen er genoeg mensen rond met hele oude androids en hoor ik nou nooit van incidenten oid.
Doen die ook nog bank zaken op hun smartphone?
Lijkt me reden genoeg om een veilige smartphone te willen hebben. ;)
Maar dit ontwijkt de vraag, want heb jij ooit gehoord (de afgelopen jaren) dat iemand echt last heeft van een end of life telefoon? De enige die we zien is die EU parlementariër die met een iphone rondloop die niet EOL was en wel besmet was met de software die alleen gebruikt wordt door de extreme. Dat is niet iets wat een gemiddeld persoon mee wordt aangevallen, juist omdat het dan gepatched / bekend wordt.
Er zijn talloze gedocumenteerde gevallen van mensen die succesvol zijn gehackt omdat hun smartphone verouderd was en geen beveiligingsupdates meer ontving. Wanneer fabrikanten stoppen met het ondersteunen van een telefoon, blijven nieuw ontdekte kwetsbaarheden (beveiligingslekken) voor altijd openstaan. Hackers maken hier actief misbruik van.
1. Massale 'Drive-by' aanvallen (zoals DarkSword en Coruna)
2. De beruchte Stagefright-kwetsbaarheid (Android)
3. Gerichte spionage via commerciële spyware (Pegasus)

Ik wil het risico niet lopen, heel raar ik weet het. ;) :P
Op die Pegasus na, waar een normaal persoon niet voor te vrezen heeft, is het allemaal 10+ jaar oud....
Wat niet is, kan nog komen... :P
Voor mij te laat. Ben inmiddels over naar GrapheneOS. De communicatie vanuit Calyx was zeer ondermaats sinds augustus. En er was continu sprake van zodra er weer een update uitgebracht zou worden, dan je een clean install zou moeten doen. Dat vind ik hier niet in het nieuwsbericht terug, en zou opvallend zijn als dit niet meer het geval zou zijn.

Het vertrouwen in deze partij heeft iig wel een flinke deuk opgelopen en kwam erachter dat GrapheneOS ook een prima alternatief is, die je nagenoeg hetzelfde kunt inrichten. Heb zelf het idee dat het allemaal net wat robuuster ingericht is qua security.
Als ik kijk naar hoeveel merken en daar ook van welke telefoons er worden ondersteund dan snap ik best dat bijna niemand van deze heeft gehoord dan wel in gebruik hebben.
Zelfs Xiaomi staat er niet eens meer tussen op een niet meer ondersteunende Mi A2.

Om te kunnen reageren moet je ingelogd zijn