PrivacyGear.nl
EN
GrapheneOS

GrapheneOS hardening gids: elke instelling uitgelegd

De complete gids voor het beveiligen van GrapheneOS. Alle privacy- en beveiligingsinstellingen stap voor stap — van schermvergrendeling tot exploit-mitigaties.

GrapheneOS hardening gids: elke instelling uitgelegd

GrapheneOS hardening gids: elke instelling uitgelegd

Je hebt GrapheneOS geïnstalleerd. De eerste setup is klaar. Nu is de vraag: hoe ver ga je?

GrapheneOS heeft tientallen beveiligings- en privacy-instellingen die op standaard Android niet bestaan of standaard uit staan. Dit artikel loopt ze allemaal door. Niet als verplichte checklist — maar zodat je begrijpt wat elke instelling doet en zelf kunt kiezen.

Niveau: Je hebt GrapheneOS al geïnstalleerd en de basisinstellingen gedaan. Leestijd: ~20 minuten

Hoe te lezen

Per sectie staat:

  • Wat de instelling doet
  • Waarom het relevant is
  • Aanbeveling (→)

De aanbevelingen zijn voor een gemiddelde privacy-gebruiker. Journalist, activist of andere hoge-risicogebruikers kunnen strenger gaan.

1. Schermvergrendeling en toegang

Pincode vs wachtwoord vs biometrie

GrapheneOS biedt drie opties voor ontgrendeling:

Pincode (6+ cijfers) Goed voor dagelijks gebruik. Minimaal zes cijfers. Vermijd geboortedata of 123456.

Alfanumeriek wachtwoord Sterkste optie. Moeilijker te raden, moeilijker te kijken. Trager in te voeren.

Vingerafdruk / gezichtsherkenning Handig, maar: biometrie is juridisch niet beschermd in Nederland. Politie of douane kan je telefoon houden terwijl ze je vinger op het scherm drukken. Een pincode is anders — dat is kennis, geen fysiek kenmerk.

Gebruik minimaal een 6-cijferige pincode. Voeg vingerafdruk toe als aanvulling, niet als vervanging.

Auto-lock instellen

Instellingen → Beveiliging → Scherm automatisch vergrendelen → Direct

Na het uitschakelen van het scherm vergrendelt de telefoon meteen. Geen vertraging, geen venster.

Zet op Direct.

Lockdown-modus

GrapheneOS heeft een lockdown-knop: houd de aan/uit-knop ingedrukt → Lockdown. Dit:

  • Schakelt biometrie tijdelijk uit
  • Vereist pincode voor ontgrendeling
  • Verbergt meldingen op vergrendelscherm

Gebruik dit als je verwacht dat je telefoon gecontroleerd wordt — bij een grensovergang, politiecontrole, of als je hem iemand geeft.

Ken dit en gebruik het wanneer relevant.

2. USB en fysieke toegang

USB-verbindingen beperken

Instellingen → Beveiliging → USB-verbindingen toestaan → Opladen alleen

Standaard staat USB op “altijd toestaan”. Dat betekent dat een kwaadaardige USB-poort — in een hotel, vliegveld, of openbare laadpunt — mogelijk data kan uitlezen of malware kan installeren.

Met “Opladen alleen” communiceert de telefoon niet via USB tenzij je hem actief ontgrendelt.

Zet op Opladen alleen.

USB-verbindingen volledig uitschakelen

Je kunt USB helemaal uitzetten: geen opladen, geen data.

Instellingen → Beveiliging → USB-verbindingen toestaan → Nooit toestaan

Dit is zinvol als je alleen draadloos oplaadt. Je kunt dit tijdelijk weer aanzetten wanneer nodig.

Overweeg dit als je draadloos laadt en geen USB nodig hebt.

3. Netwerk en verbindingen

MAC-adres randomisatie

Elke wifi-verbinding identificeert je standaard met hetzelfde MAC-adres — een uniek nummer van je netwerkkaart. Netwerken en trackers kunnen dit gebruiken om je te volgen, ook zonder je naam.

GrapheneOS randomiseert het MAC-adres standaard per netwerk. Dit is al goed. Je kunt ook per-verbinding randomiseren (nieuw MAC bij elke verbinding):

Instellingen → Wifi → [netwerk] → Geavanceerd → Privacyinstelling → Willekeurig MAC-adres gebruiken

Laat MAC-randomisatie aan. Per-verbinding is het strengste optie.

DNS instellen

Standaard gebruikt je telefoon de DNS van je provider. Die kan zien welke domeinen je opzoekt.

GrapheneOS ondersteunt DNS-over-HTTPS (DoH) en DNS-over-TLS (DoT):

Instellingen → Netwerk en internet → Privé DNS → Privé DNS-provider instellen

Betrouwbare opties:

  • dns.quad9.net — Quad9, geen logging, filtert malware
  • base.dns.mullvad.net — Mullvad, geen logging, geen filtering
  • 1dot1dot1dot1.cloudflare-dns.com — Cloudflare, snel, beleidsmatige privacygaranties

Kies Quad9 of Mullvad. Vermijd Google (8.8.8.8) voor privacy.

Per-app netwerktoegang

GrapheneOS heeft een ingebouwde firewall per app. Elke app kan je beperken tot:

  • Wifi alleen
  • Mobiele data alleen
  • Geen internet

Instellingen → Apps → [app] → Rechten → Netwerk

Gebruik dit voor apps die geen internet nodig hebben. Een notitie-app, rekenmachine, of fotobewerker heeft geen reden om data te sturen.

Loop je apps door. Blokkeer internet voor alles wat het niet nodig heeft.

Bluetooth en NFC uitschakelen als je ze niet gebruikt

Bluetooth en NFC zijn aanvalsvectoren. Bluetooth-exploits bestaan. NFC kan onbedoeld betalingen of dataverzendingen triggeren.

Zet ze uit via de snelinstelling als je ze niet gebruikt. Of gebruik:

Instellingen → Verbonden apparaten → Verbindingsvoorkeuren → NFC → Uit

Uit als je ze niet nodig hebt. Aanzetten wanneer nodig.

4. Sensorrechten en toegang

Sensortoegang per app

GrapheneOS geeft je controle over welke sensoren een app mag gebruiken: camera, microfoon, locatie, versnellingsmeter, barometer.

Instellingen → Privacy → Rechtenbeheer

Ga elke categorie door:

Locatie

  • Gebruik “Alleen tijdens gebruik” — nooit “Altijd toestaan” tenzij noodzakelijk
  • Schakel “Nauwkeurige locatie” uit voor apps die dat niet nodig hebben
  • Locatie volledig intrekken voor apps zonder duidelijke reden

Camera en microfoon

  • Verleen alleen als de app het actief nodig heeft
  • GrapheneOS toont een indicator wanneer camera of microfoon actief zijn

Sensoren GrapheneOS heeft een extra categorie “Sensoren” die toegang tot bewegingssensoren, barometer en andere hardware beheert. Dit bestaat niet op standaard Android.

Instellingen → Privacy → Rechtenbeheer → Sensoren

Veel apps vragen toegang tot sensoren voor tracking (stappentellers, activity monitoring voor advertenties).

Intrek sensorrechten voor alle apps die het niet duidelijk nodig hebben.

Camera en microfoon toggle

GrapheneOS heeft hardware-level toggles voor camera en microfoon:

Instellingen → Privacy → Camera-toegang (Uit = geen enkele app kan de camera gebruiken) Instellingen → Privacy → Microfoon-toegang (Uit = geen audio-input)

Dit is anders dan per-app rechten: dit is een globale blokkade, hardware-onafhankelijk.

Gebruik dit als je de camera of microfoon langere tijd niet nodig hebt.

5. Meldingen en vergrendelscherm

Meldingen op vergrendelscherm

Instellingen → Meldingen → Gevoelige meldingen op vergrendelscherm → Toon geen inhoud

Zonder dit kunnen berichten, namen, en inhoud zichtbaar zijn als je telefoon op tafel ligt.

Zet op “Geen inhoud” of “Verberg gevoelige inhoud”.

Meldingsgeschiedenis

Instellingen → Meldingen → Meldingsgeschiedenis → Uit

Android slaat standaard meldingen op. Iemand met toegang tot je ontgrendelde telefoon kan de geschiedenis zien.

Uit.

6. Exploit-mitigaties

Dit is waar GrapheneOS fundamenteel verschilt van andere Android-versies.

Memory tagging (MTE)

Op ondersteunde Pixels (Pixel 8 en nieuwer) biedt GrapheneOS Memory Tagging Extension — hardware-level bescherming tegen een klasse van aanvallen (buffer overflows, use-after-free). Dit kan apps crashen die slecht geschreven zijn.

Instellingen → Beveiliging → Exploit-mitigaties

Je kunt MTE inschakelen per app. Begin met apps die je weinig vertrouwt.

Schakel in voor apps van onbekende herkomst. Op Pixel 8+ standaard inschakelen.

Hardened malloc

GrapheneOS gebruikt een aangepaste geheugenallocator (hardened malloc) die een klasse van memory-exploits moeilijker maakt. Dit is standaard actief — je hoeft niets te doen.

Auto-reboot

Instellingen → Beveiliging → Auto-reboot

Na een instelbare periode (standaard 72 uur) herstart de telefoon automatisch als hij niet ontgrendeld is geweest. Dit zet de encryptie terug naar “Before First Unlock” (BFU) — de sterkste versleutelingstoestand.

Een forensisch hulpmiddel als Cellebrite kan aanzienlijk minder als de telefoon in BFU-toestand is.

Laat aan. Verlaag naar 18-24 uur voor hogere beveiliging.

Secure delete (verwijderde opslag)

GrapheneOS overschrijft data bij verwijdering. Dit maakt herstel van verwijderde bestanden moeilijker.

Standaard actief, geen instelling nodig.

7. Apps en installatie

Onbekende bronnen per app beheren

Instellingen → Apps → Speciale app-toegang → Onbekende apps installeren

Op standaard Android is dit een algemene instelling. GrapheneOS maakt het per-app: alleen de apps die je aanwijst mogen APKs installeren (zoals F-Droid of Obtainium).

Verleen alleen aan F-Droid of Obtainium. Nooit aan een browser.

App sandboxing en profielen

Elke app draait in een eigen sandbox. Aanvullend kun je apps scheiden in profielen (zie de profielgids).

Gebruik een apart profiel voor:

  • Apps die je niet vertrouwt maar wel nodig hebt
  • Werkgerelateerde apps
  • Apps met sandboxed Google Play

Zie de profielgids voor de volledige uitleg.

App-rechten na installatie controleren

Na het installeren van een app: ga naar de app-rechten en trek alles in wat de app niet nodig heeft.

Instellingen → Apps → [app] → Rechten

Vraag jezelf per recht: heeft deze app dit echt nodig om te functioneren?

8. Versleuteling

GrapheneOS versleutelt opslag standaard. Er is geen instelling om dit in te schakelen — het staat altijd aan.

Wat je wel kunt controleren:

Versleuteling status

Instellingen → Beveiliging → Versleuteling en referenties

Hier zie je of de opslag volledig versleuteld is.

Before First Unlock (BFU) vs After First Unlock (AFU)

Dit is een belangrijk begrip:

  • BFU: Telefoon net opgestart, nog niet ontgrendeld. Versleuteling maximaal. Forensische tools hebben nauwelijks toegang.
  • AFU: Telefoon ontgrendeld geweest. Sleutels in geheugen geladen. Meer aanvalsoppervlak.

Auto-reboot (zie boven) brengt je periodiek terug naar BFU.

9. Netwerk-isolatie en anonimiteit

Tor-integratie

GrapheneOS ondersteunt directe Tor-routing per app via Orbot. Installeer Orbot vanuit F-Droid (Guardian Project repo) en wijs apps toe die via Tor moeten lopen.

Tor is trager maar anonimiseert je IP-adres. Gebruik het voor apps waarbij je anonimiteit belangrijk vindt.

Gebruik Orbot + Tor voor browsers en communicatie waarbij IP-anonimiteit belangrijk is.

VPN

Zie de VPN-gids voor volledige uitleg. Kort samengevat:

  • VPN verbergt je verkeer voor je provider
  • VPN verschuift vertrouwen naar de VPN-aanbieder
  • Mullvad is de meest privacyvriendelijke keuze (no-log, geen account vereist, betaalbaar met cash of Monero)

GrapheneOS heeft ingebouwde “VPN kill switch”: als de VPN wegvalt, blokkeert het internet automatisch.

Instellingen → Netwerk en internet → VPN → [jouw VPN] → Slotpictogram (altijd aan + kill switch)

Kill switch inschakelen als je een VPN gebruikt.

10. Aanbevolen apps

Apps die goed passen bij een geharde GrapheneOS-setup:

Browser

Vanadium — de standaard browser van GrapheneOS. Hardened Chromium, geen telemetrie, sandboxed.

Tor Browser — via Guardian Project repo in F-Droid. Voor anoniem browsen.

Communicatie

Molly — geharde Signal-fork. Database-encryptie op het toestel, RAM-wissen bij vergrendeling. Via Molly’s eigen F-Droid repo.

Element — Matrix-client voor gedecentraliseerde chat.

Wachtwoorden

KeePassDX — lokale wachtwoordmanager. Geen cloud, geen sync tenzij je dat zelf inricht.

DNS en Tor

Orbot — Tor-proxy. Routeer specifieke apps via Tor-netwerk.

App store

F-Droid — open-source app store. Zie de F-Droid gids.

Obtainium — haal apps direct van GitHub-releases. Handige aanvulling op F-Droid voor apps die niet in een repo zitten.

11. Checklist — samenvattend

Kopieer dit als werklijst:

Toegang en vergrendeling

  • Pincode 6+ cijfers (of wachtwoord)
  • Auto-lock op Direct
  • USB op Opladen alleen
  • Meldingen op vergrendelscherm uitgeschakeld

Netwerk

  • Privé DNS ingesteld (Quad9 of Mullvad)
  • Per-app netwerktoegang ingesteld
  • Bluetooth en NFC uit als niet in gebruik
  • VPN kill switch aan (als je VPN gebruikt)

Privacy

  • Locatierechten doorgelopen per app
  • Camera/microfoon-rechten minimaal
  • Sensorrechten ingetrokken waar niet nodig
  • Meldingsgeschiedenis uit

Beveiliging

  • Auto-reboot aan (72u of lager)
  • MTE ingeschakeld op Pixel 8+ (optioneel)
  • Onbekende bronnen alleen voor F-Droid/Obtainium

Hoe ver moet je gaan?

Dat hangt af van je situatie. Een handige vuistregel:

Basisprivacy: Doe de USB, DNS, pincode en per-app netwerkinstellingen. Dat dekt 80% van het risico voor de meeste gebruikers.

Gevorderd: Voeg per-app sensorrechten, auto-reboot, VPN met kill switch en Tor toe.

Maximaal: Alles hierboven plus: enkel BFU-gebruik (telefoon uitzetten als je hem niet gebruikt), profielen voor isolatie, geen sandboxed Google Play.

Er is geen “verkeerde” keuze — elke stap maakt het moeilijker. Doe wat haalbaar is voor je dagelijks gebruik, en bouw van daaruit verder.

Zie ook:

← Terug naar GrapheneOS