Google Play op GrapheneOS: hoe werkt de sandbox?
GrapheneOS biedt sandboxed Google Play — een geïsoleerde versie van de Play Store. We leggen uit wat het kan, wat het niet kan, en wanneer je het wel of niet installeert.
Google Play op GrapheneOS: hoe werkt de sandbox?
De meest gestelde vraag over GrapheneOS: “Kan ik nog gewoon mijn apps gebruiken?” Het antwoord is genuanceerd — en dat is precies waarom dit artikel bestaat.
Normale Google Play vs. sandboxed Google Play
Op een gewone Android-telefoon heeft Google Play Diensten vrijwel onbeperkte toegang tot het systeem. Het loopt op de achtergrond, heeft toegang tot locatie, contacten, microfoon en meer — zelfs als je de Play Store zelf niet gebruikt. Dit is geen bug, het is ontwerp.
Sandboxed Google Play draait als een gewone app in een geïsoleerde omgeving. Het heeft geen speciale systeemrechten. Het kan alleen zien wat jij het expliciet toestaat — net als elke andere app op GrapheneOS.
Wat het wél kan: apps installeren, updates downloaden, pushmeldingen doorsturen. Wat het niet kan: op de achtergrond locatiedata verzamelen zonder jouw toestemming, toegang krijgen tot andere apps of systeemdata.
Bankieren-apps: werken die?
Grotendeels ja. De meeste Nederlandse bankieren-apps werken op sandboxed Google Play.
ING, ABN AMRO, Rabobank en bunq zijn gerapporteerd als werkend door de GrapheneOS-gemeenschap. DigiD-app werkt ook.
Er zijn uitzonderingen. Sommige apps gebruiken Google Play Integrity API om te controleren of het toestel “gecertificeerd” is. GrapheneOS slaagt die check niet altijd — dit verandert per update en per app.
Als een bankieren-app weigert te starten: controleer of de app bijgewerkt is, en check de GrapheneOS-gemeenschap voor de actuele status van jouw app.
Alternatieven voor Google Play
F-Droid
Open-source apps, geen account vereist, geen tracking. De selectie is beperkter dan Google Play maar bevat de meeste privacyvriendelijke alternatieven die je nodig hebt.
Aurora Store
Een open-source client die anoniem apps downloadt uit de Google Play Store — zonder Google-account. Niet alle apps werken via Aurora (apps met DRM of complexe licentiecontroles kunnen problemen geven), maar de meeste doen het goed.
Directe APK-installatie
Voor apps die een officiële APK aanbieden (Signal, Brave, ProtonMail) kun je direct van de ontwikkelaar installeren. Dit omzeilt de Play Store volledig.
Wanneer installeer je sandboxed Google Play wel?
- Je hebt apps nodig die echt niet anders beschikbaar zijn
- Je bankieren-app werkt niet via Aurora
- Je wil een zo normaal mogelijk Android-ervaring met betere beveiliging dan standaard
Wanneer installeer je het niet?
- Je wil maximale isolatie van Google-diensten
- Je bent bereid open-source alternatieven te gebruiken voor alle functies
- Je accepteert dat sommige apps niet werken
De afweging uitgesproken
Sandboxed Google Play is een compromis. Het is aanzienlijk veiliger dan normale Google Play, maar je deelt nog steeds data met Google — minder dan voorheen, maar niet nul. Als Google als onderdeel van je dreigingsmodel staat, installeer het dan niet.
Als je dreigingsmodel gaat over adverteerders, datalekken en algemene tracking — dan is sandboxed Google Play prima. Het is een realistisch middenpunt tussen volledig open en volledig gesloten.
Je kunt het altijd installeren, testen, en weer verwijderen. GrapheneOS maakt dat makkelijk.