PrivacyGear .nl
Actueel Zoeken EN
PrivacyGear .nl
GrapheneOS

GrapheneOS hardening gids: elke instelling uitgelegd

Je hebt GrapheneOS geïnstalleerd. De eerste setup is klaar. Nu is de vraag: hoe ver ga je?

GrapheneOS hardening gids: elke instelling uitgelegd

GrapheneOS hardening gids: elke instelling uitgelegd

Je hebt GrapheneOS geïnstalleerd. De eerste setup is klaar. Nu is de vraag: hoe ver ga je?

GrapheneOS heeft tientallen beveiligings- en privacy-instellingen die op standaard Android niet bestaan of standaard uit staan. Dit artikel loopt ze allemaal door. Niet als verplichte checklist — maar zodat je begrijpt wat elke instelling doet en zelf kunt kiezen.

Basisprofiel: privacy-bewuste GrapheneOS-gebruiker Niveau: Je hebt GrapheneOS al geïnstalleerd en de basisinstellingen gedaan. Leestijd: ~20 minuten

Hoe te lezen

Per sectie staat:

  • Wat de instelling doet
  • Waarom het relevant is
  • Aanbeveling (→)

De aanbevelingen zijn voor een privacy-bewuste GrapheneOS-gebruiker die extra hardening wil zonder alles als standaardmaatregel te behandelen. Journalist, activist of andere hoge-risicogebruikers kunnen strenger gaan.

Gebruik deze gids in drie lagen:

  • Basis: instellingen die voor de meeste GrapheneOS-gebruikers logisch zijn
  • Privacy-bewust: extra hardening met beperkte extra frictie
  • Higher-risk: zwaardere keuzes die alleen zinvol zijn als je de operationele discipline ook echt hebt

1. Schermvergrendeling en toegang

Pincode vs wachtwoord vs biometrie

GrapheneOS biedt drie opties voor ontgrendeling:

Pincode (6+ cijfers) Goed voor dagelijks gebruik. Minimaal zes cijfers. Vermijd geboortedata of 123456.

Alfanumeriek wachtwoord Sterkste optie. Moeilijker te raden, moeilijker te kijken. Trager in te voeren.

Vingerafdruk / gezichtsherkenning Handig, maar: biometrie is juridisch niet beschermd in Nederland. Politie of douane kan je telefoon houden terwijl ze je vinger op het scherm drukken. Een pincode is anders — dat is kennis, geen fysiek kenmerk.

Gebruik minimaal een 6-cijferige pincode. Voeg vingerafdruk toe als aanvulling, niet als vervanging.

Auto-lock instellen

Instellingen → Beveiliging → Scherm automatisch vergrendelen → Direct

Na het uitschakelen van het scherm vergrendelt de telefoon meteen. Geen vertraging, geen venster.

Zet op Direct.

Lockdown-modus

GrapheneOS heeft een lockdown-knop: houd de aan/uit-knop ingedrukt → Lockdown. Dit:

  • Schakelt biometrie tijdelijk uit
  • Vereist pincode voor ontgrendeling
  • Verbergt meldingen op vergrendelscherm

Gebruik dit als je verwacht dat je telefoon gecontroleerd wordt — bij een grensovergang, politiecontrole, of als je hem iemand geeft.

Ken dit en gebruik het wanneer relevant.

2. USB en fysieke toegang

USB-verbindingen beperken

Instellingen → Beveiliging → Exploit-beveiliging → USB-C poort

GrapheneOS zet de USB-C poort standaard al op “Opladen alleen bij vergrendeling” — beter dan stock Android, waar USB standaard altijd open staat. Na het vergrendelen worden nieuwe USB-verbindingen direct geblokkeerd, zowel op hardware- als OS-niveau.

Je kunt dit verder aanscherpen:

Laat dit standaard zo staan (Opladen alleen bij vergrendeling). Zet het alleen volledig uit als je draadloos laadt en USB in de praktijk niet nodig hebt.

USB-verbindingen volledig uitschakelen

Je kunt USB helemaal uitzetten: geen opladen, geen data.

Instellingen → Beveiliging → Exploit-beveiliging → USB-C poort → Nooit toestaan

Dit is zinvol als je alleen draadloos oplaadt. Je kunt dit tijdelijk weer aanzetten wanneer nodig.

Alleen doen als je draadloos laadt en USB bewust wilt uitschakelen. Dit is geen standaardstap.

3. Netwerk en verbindingen

MAC-adres randomisatie

Elke wifi-verbinding identificeert je standaard met hetzelfde MAC-adres — een uniek nummer van je netwerkkaart. Netwerken en trackers kunnen dit gebruiken om je te volgen, ook zonder je naam.

GrapheneOS randomiseert het MAC-adres standaard per verbinding — bij elke nieuwe verbinding krijg je een ander MAC-adres. Dit is strenger dan standaard Android, dat een vast willekeurig MAC per netwerk gebruikt.

Instellingen → Wifi → [netwerk] → Geavanceerd → Privacyinstelling → Willekeurig MAC-adres gebruiken

Als je per-verbinding randomisatie compatibiliteitsproblemen geeft (sommige routers weigeren wisselende MACs), kun je terugschakelen naar per-netwerk. Dat is minder sterk maar nog altijd beter dan een vaste fabrieks-MAC.

Laat de standaard staan (per verbinding). Schakel alleen terug naar per-netwerk als dat echt nodig is.

DNS instellen

Standaard gebruikt je telefoon de DNS van je provider. Die kan zien welke domeinen je opzoekt.

GrapheneOS ondersteunt DNS-over-HTTPS (DoH) en DNS-over-TLS (DoT):

Instellingen → Netwerk en internet → Privé DNS → Privé DNS-provider instellen

Betrouwbare opties:

  • dns.quad9.net — Quad9, geen logging, filtert malware
  • base.dns.mullvad.net — Mullvad, geen logging, geen filtering
  • 1dot1dot1dot1.cloudflare-dns.com — Cloudflare, snel, beleidsmatige privacygaranties

Kies Quad9 of Mullvad. Vermijd Google (8.8.8.8) voor privacy.

Per-app netwerktoegang

GrapheneOS voegt een Network permission toe per app — een schakelaar die alle netwerkverkeer blokkeert, zowel direct als indirect (ook via OS-componenten). Dit is binair: netwerk aan of uit per app.

Instellingen → Apps → [app] → Rechten → Netwerk

Gebruik dit voor apps die geen internet nodig hebben. Een notitie-app, rekenmachine, of fotobewerker heeft geen reden om data te sturen.

Loop je apps door. Blokkeer internet voor alles wat het niet nodig heeft.

Bluetooth en NFC uitschakelen als je ze niet gebruikt

Bluetooth en NFC zijn aanvalsvectoren. Bluetooth-exploits bestaan. NFC kan onbedoeld betalingen of dataverzendingen triggeren.

Zet ze uit via de snelinstelling als je ze niet gebruikt. Of gebruik:

Instellingen → Verbonden apparaten → Verbindingsvoorkeuren → NFC → Uit

Uit als je ze niet nodig hebt. Aanzetten wanneer nodig.

4. Sensorrechten en toegang

Sensortoegang per app

GrapheneOS geeft je controle over welke sensoren een app mag gebruiken: camera, microfoon, locatie, versnellingsmeter, barometer.

Instellingen → Privacy → Rechtenbeheer

Ga elke categorie door:

Locatie

  • Gebruik “Alleen tijdens gebruik” — nooit “Altijd toestaan” tenzij noodzakelijk
  • Schakel “Nauwkeurige locatie” uit voor apps die dat niet nodig hebben
  • Locatie volledig intrekken voor apps zonder duidelijke reden

Camera en microfoon

  • Verleen alleen als de app het actief nodig heeft
  • GrapheneOS toont een indicator wanneer camera of microfoon actief zijn

Sensoren GrapheneOS heeft een extra categorie “Sensoren” die toegang tot bewegingssensoren, barometer en andere hardware beheert. Dit bestaat niet op standaard Android.

Instellingen → Privacy → Rechtenbeheer → Sensoren

Veel apps vragen toegang tot sensoren voor tracking (stappentellers, activity monitoring voor advertenties).

Intrek sensorrechten voor alle apps die het niet duidelijk nodig hebben.

Camera en microfoon toggle

GrapheneOS heeft hardware-level toggles voor camera en microfoon:

Instellingen → Privacy → Camera-toegang (Uit = geen enkele app kan de camera gebruiken) Instellingen → Privacy → Microfoon-toegang (Uit = geen audio-input)

Dit is anders dan per-app rechten: dit is een globale blokkade, hardware-onafhankelijk.

Gebruik dit als je de camera of microfoon langere tijd niet nodig hebt.

5. Meldingen en vergrendelscherm

Meldingen op vergrendelscherm

Instellingen → Meldingen → Gevoelige meldingen op vergrendelscherm → Toon geen inhoud

Zonder dit kunnen berichten, namen, en inhoud zichtbaar zijn als je telefoon op tafel ligt.

Zet op “Geen inhoud” of “Verberg gevoelige inhoud”.

Meldingsgeschiedenis

Instellingen → Meldingen → Meldingsgeschiedenis → Uit

Android slaat standaard meldingen op. Iemand met toegang tot je ontgrendelde telefoon kan de geschiedenis zien.

Uit.

6. Exploit-mitigaties

Dit is waar GrapheneOS fundamenteel verschilt van andere Android-versies.

Memory tagging (MTE)

Op ondersteunde Pixels (Pixel 8 en nieuwer) biedt GrapheneOS Memory Tagging Extension — hardware-level bescherming tegen een klasse van aanvallen (buffer overflows, use-after-free). Dit kan apps crashen die slecht geschreven zijn.

GrapheneOS past MTE al standaard toe op de kernel en vrijwel alle OS-componenten. Voor geïnstalleerde apps kun je MTE uitbreiden naar alle apps tegelijk, of per app beheren.

Instellingen → Beveiliging → Exploit-beveiliging

Op Pixel 8+: dit is een logische extra stap voor privacy-bewuste gebruikers die kleine compatibiliteitsfrictie accepteren. Zet het aan voor alle apps en schakel het alleen per app uit als iets daadwerkelijk crasht.

Hardened malloc

GrapheneOS gebruikt een aangepaste geheugenallocator (hardened malloc) die een klasse van memory-exploits moeilijker maakt. Dit is standaard actief — je hoeft niets te doen.

Auto-reboot

Instellingen → Beveiliging → Exploit-beveiliging → Auto-herstart

Na een instelbare periode (standaard 18 uur) herstart de telefoon automatisch als hij niet ontgrendeld is geweest. Dit zet de encryptie terug naar “Before First Unlock” (BFU) — de sterkste versleutelingstoestand.

Een forensisch hulpmiddel als Cellebrite kan aanzienlijk minder als de telefoon in BFU-toestand is. De standaard van 18 uur is al een stevige instelling. Voor maximale bescherming kun je dit verder verlagen (bijv. 8-12 uur).

Laat aan op de standaard (18 uur). Verlaag naar 8-12 uur als je maximale bescherming wilt.

Secure delete (verwijderde opslag)

GrapheneOS overschrijft data bij verwijdering. Dit maakt herstel van verwijderde bestanden moeilijker.

Standaard actief, geen instelling nodig.

7. Apps en installatie

Onbekende bronnen per app beheren

Instellingen → Apps → Speciale app-toegang → Onbekende apps installeren

Op standaard Android is dit een algemene instelling. GrapheneOS maakt het per-app: alleen de apps die je aanwijst mogen APKs installeren (zoals F-Droid of Obtainium).

Verleen dit alleen aan F-Droid of Obtainium. Niet aan een browser of willekeurige app.

App sandboxing en profielen

Elke app draait in een eigen sandbox. Aanvullend kun je apps scheiden in profielen (zie de profielgids).

Gebruik een apart profiel voor:

  • Apps die je niet vertrouwt maar wel nodig hebt
  • Werkgerelateerde apps
  • Apps met sandboxed Google Play

Zie de profielgids voor de volledige uitleg.

App-rechten na installatie controleren

Na het installeren van een app: ga naar de app-rechten en trek alles in wat de app niet nodig heeft.

Instellingen → Apps → [app] → Rechten

Vraag jezelf per recht: heeft deze app dit echt nodig om te functioneren?

8. Versleuteling

GrapheneOS versleutelt opslag standaard. Er is geen instelling om dit in te schakelen — het staat altijd aan.

Wat je wel kunt controleren:

Versleuteling status

Instellingen → Beveiliging → Versleuteling en referenties

Hier zie je of de opslag volledig versleuteld is.

Before First Unlock (BFU) vs After First Unlock (AFU)

Dit is een belangrijk begrip:

  • BFU: Telefoon net opgestart, nog niet ontgrendeld. Versleuteling maximaal. Forensische tools hebben nauwelijks toegang.
  • AFU: Telefoon ontgrendeld geweest. Sleutels in geheugen geladen. Meer aanvalsoppervlak.

Auto-reboot (zie boven) brengt je periodiek terug naar BFU.

9. Netwerk-isolatie en anonimiteit

Tor-integratie

GrapheneOS ondersteunt directe Tor-routing per app via Orbot. Installeer Orbot vanuit F-Droid (Guardian Project repo) en wijs apps toe die via Tor moeten lopen.

Tor is trager maar anonimiseert je IP-adres. Gebruik het voor apps waarbij je anonimiteit belangrijk vindt.

Gebruik Orbot + Tor alleen voor concrete anonimiteitsdoelen. Ook op GrapheneOS is dit geen standaardstap, maar een apart pad met duidelijke extra frictie.

VPN

Kies een VPN niet speciaal “voor GrapheneOS”. De aanbiederkeuze is dezelfde als op andere apparaten: gebruik eerst de VPN vergelijking en lees eventueel wat een VPN wel en niet doet. Kort samengevat:

  • VPN verbergt je verkeer voor je provider
  • VPN verschuift vertrouwen naar de VPN-aanbieder
  • Mullvad is de meest privacyvriendelijke keuze (no-log, geen account vereist, betaalbaar met cash of Monero)

Wat wél GrapheneOS-specifiek is: Androids always-on VPN en kill switch zijn netjes bruikbaar per profiel. Als de VPN wegvalt, kan GrapheneOS internet voor dat profiel blokkeren.

Instellingen → Netwerk en internet → VPN → [jouw VPN] → Slotpictogram (altijd aan + kill switch)

Kill switch inschakelen als je een VPN gebruikt. Maar gebruik geen VPN alsof het een verplichte GrapheneOS-instelling is.

10. Aanbevolen apps

Apps die goed passen bij een geharde GrapheneOS-setup:

Browser

Vanadium — de standaard browser van GrapheneOS. Hardened Chromium, geen telemetrie, sandboxed.

Tor Browser — via Guardian Project repo in F-Droid. Voor anoniem browsen.

Communicatie

Molly — geharde Signal-fork. Database-encryptie op het toestel, RAM-wissen bij vergrendeling. Installeer via Molly’s eigen F-Droid repo — voeg https://molly.im/fdroid/repo toe in F-Droid → Instellingen → Repositories.

Voor de meeste lezers blijft gewone Signal ook op GrapheneOS een prima keuze. Molly wordt pas logisch als je die extra lokale hardening ook echt wilt dragen.

Element — Matrix-client voor gedecentraliseerde chat.

Wachtwoorden

KeePassDX — lokale wachtwoordmanager. Geen cloud, geen sync tenzij je dat zelf inricht.

DNS en Tor

Orbot — Tor-proxy. Routeer specifieke apps via Tor-netwerk.

App store

F-Droid — open-source app store. Zie de F-Droid gids.

Obtainium — haal apps direct van GitHub-releases. Handige aanvulling op F-Droid voor apps die niet in een repo zitten. Download via obtainium.imranr.dev of zoek het op in F-Droid.

F-Droid en Obtainium zijn geen basisvereiste voor GrapheneOS. Gebruik ze als ze je appkeuze echt verbeteren en je die extra bronnen ook wilt beheren.

11. Checklist — samenvattend

Kopieer dit als werklijst:

Toegang en vergrendeling

  • Pincode 6+ cijfers (of wachtwoord)
  • Auto-lock op Direct
  • USB op Opladen alleen
  • Meldingen op vergrendelscherm uitgeschakeld

Netwerk

  • Privé DNS ingesteld (Quad9 of Mullvad)
  • Per-app netwerktoegang ingesteld
  • Bluetooth en NFC uit als niet in gebruik
  • VPN kill switch aan (als je VPN gebruikt)

Privacy

  • Locatierechten doorgelopen per app
  • Camera/microfoon-rechten minimaal
  • Sensorrechten ingetrokken waar niet nodig
  • Meldingsgeschiedenis uit

Beveiliging

  • Auto-reboot aan (standaard 18u — verlaag naar 8-12u voor maximale bescherming)
  • MTE ingeschakeld op Pixel 8+ (optioneel)
  • Onbekende bronnen alleen voor F-Droid/Obtainium

Hoe ver moet je gaan?

Dat hangt af van je situatie. Een handige vuistregel:

Basisprivacy: Doe de USB, DNS, pincode en per-app netwerkinstellingen. Dat dekt 80% van het risico voor de meeste gebruikers.

Balanced privacy-aware: Voeg per-app sensorrechten, auto-reboot en eventueel VPN met kill switch toe als je daar een concreet doel voor hebt.

Higher-risk: Voeg alleen dan Tor, striktere profielen, minder Google-compatibiliteit en zwaardere operationele routines toe.

Overkill wordt het wanneer:

  • je anonimiteits- of Tor-routines toevoegt zonder concreet doel
  • je F-Droid, Obtainium, VPN en profielen allemaal tegelijk uitrolt zonder ze te willen onderhouden
  • je “maximale” hardening gebruikt terwijl je dagelijkse gebruik daardoor slordiger of instabieler wordt

Er is geen “goede” GrapheneOS-setup die voor iedereen hetzelfde is. De juiste setup is de sterkste versie die je ook echt correct blijft gebruiken.

Volgende stap

App-scheiding

Basissetup

← Terug naar gidsen