F-Droid review — de open-source app store voor Android
Voor wie is dit? Voor Android-gebruikers die bewust willen kiezen welke app-bron ze vertrouwen. F-Droid is geen vervanging voor Google Play, maar een aanvulling of alternatief voor wie open-source apps en transparante distributiepaden waarde geeft.
F-Droid review
Voor wie is dit? Voor Android-gebruikers die bewust willen kiezen welke app-bron ze vertrouwen. F-Droid is geen vervanging voor Google Play, maar een aanvulling of alternatief voor wie open-source apps en transparante distributiepaden waarde geeft.
F-Droid bestaat al sinds 2010 en is een vrijwilligersproject. Er zit geen bedrijf achter dat geld verdient aan jouw gebruiksdata. De app store biedt alleen vrije en open-source software (FOSS) aan — geen commerciële apps, geen reclame, geen verborgen code.
Wat F-Droid anders maakt
Het fundamentele verschil met Google Play: F-Droid vertrouwt de app-ontwikkelaar niet blind. In plaats van de APK van de ontwikkelaar te distribueren, bouwt F-Droid apps zelf opnieuw vanuit de broncode.
| F-Droid | Google Play | Aurora Store | Obtainium | |
|---|---|---|---|---|
| Alleen open-source | Ja | Nee | Nee | Optioneel |
| Bouwt apps zelf | Ja | Nee | Nee | Nee |
| Tracker-scan | Ja — openbaar zichtbaar | Nee | Nee | Nee |
| Google-account vereist | Nee | Ja | Nee (anoniem Play-account) | Nee |
| Reproduceerbare builds | Deels — actief uitbreidend | Nee | Nee | Afhankelijk van bron |
| Update-snelheid | Trager | Snel | Snel (mirror van Play) | Snel (direct van GitHub/etc.) |
| App-aanbod | ~3.800 (officieel) + repos | Miljoenen | Miljoenen (Play-mirror) | Onbeperkt (GitHub, GitLab, etc.) |
Aurora Store is een anonieme client voor Google Play — je haalt daar dezelfde apps als van Play, maar zonder je Google-account te hoeven opgeven. Het beveiligingsmodel is anders dan F-Droid: Aurora distribueert wat Play distribueert, inclusief gesloten apps.
Obtainium haalt apps rechtstreeks van GitHub, GitLab of de eigen download-pagina van de ontwikkelaar. Snelle updates, maar geen centrale controle of tracker-scan.
Het beveiligingsmodel
F-Droid’s kernbelofte is dat de broncode van elke app publiek en controleerbaar is. Dat lost een specifiek aanvalsvector op: een kwaadaardige update die de ontwikkelaar insluist zonder dat het zichtbaar is in de code. Als dat in de broncode staat, ziet de gemeenschap het.
Waar het model sterk is:
- Tracker-scan is geautomatiseerd en het resultaat is openbaar per app. Je ziet welke trackingbibliotheken erin zitten.
- Geen verborgen signing keys van ontwikkelaars — F-Droid signeert met eigen sleutels.
- App-verificatie is mogelijk via Reproducible Builds: de build van F-Droid en die van de ontwikkelaar moeten byte-voor-byte overeenkomen. F-Droid breidt dit actief uit, maar niet alle apps in de officiële repo zijn al reproduceerbaar.
Waar het model zwakker is dan Play:
- F-Droid’s signing keys zijn een vertrouwenspunt. Als F-Droid’s sleutelinfrastructuur gecompromitteerd raakt, vertrouwde je iets wat je niet had moeten vertrouwen. Google’s Play-infrastructuur is groter maar ook niet immuun.
- F-Droid bouwt apps centraal, wat een bottleneck is. Apps komen later beschikbaar dan bij Play.
- De vrijwilligersinfrastructuur is smaller dan Google’s. Incidentele downtime en bouwvertragingen komen voor.
Update-lag: de praktische afweging
F-Droid bouwt apps uit broncode, en dat kost tijd. In de praktijk krijg je updates van F-Droid soms dagen of weken later dan Play-gebruikers. Bij beveiligingsupdates is dat een reëel nadeel.
Hoe je dit beperkt:
- Gebruik Obtainium voor apps waar update-snelheid kritisch is en de ontwikkelaar betrouwbaar is.
- Houd IzzyOnDroid als extra repo aan — deze distribueert apps dichter op de release-cyclus van de ontwikkelaar.
- Accepteer dat F-Droid voor de meeste privacy-apps voldoende snel is. Signal-fork Molly, Aegis, Organic Maps en OsmAnd zijn niet zo tijdkritisch als een bank-app.
Google’s toekomstige beleid
Google heeft aangekondigd dat certified Android-apparaten strenger zullen controleren of app-ontwikkelaars geregistreerd zijn. De initiële uitrol in september 2026 geldt alleen voor Brazilië, Indonesië, Singapore en Thailand — bredere uitrol daarna is aangekondigd maar nog niet bevestigd.
Wat dit voor F-Droid betekent hangt af van hoe Google dit in de praktijk handhaaft. F-Droid bouwt en signeert apps met eigen sleutels — niet die van de oorspronkelijke ontwikkelaar. Dat maakt F-Droid anders dan reguliere sideloading maar ook anders dan Play-distributie.
Op GrapheneOS heeft dit beleid minder impact: GrapheneOS heeft een eigen app-compatibiliteitsmodel en is niet gebonden aan Google’s certified-Android-vereisten. Op standaard stock Android valt dit onder Googles eigen handhavingsdomein.
Volg de actuele stand op keepandroidopen.org.
Aan de slag
Installeren
F-Droid is niet beschikbaar via Google Play. Je installeert het als APK:
- Ga op je Android-telefoon naar f-droid.org
- Download de APK
- Open het bestand — Android vraagt om bevestiging voor installatie van onbekende bron
- Installeer F-Droid
Op GrapheneOS is sideloading standaard toegestaan. Op stock Android ga je naar Instellingen → Apps → Speciale app-toegang → Onbekende apps installeren en geef je toestemming aan je browser.
Optioneel: APK-hash verifiëren
F-Droid publiceert de SHA-256 hash van de APK op f-droid.org. Vergelijk deze met je download:
sha256sum fdroid.apkHandige extra repositories toevoegen
Ga in F-Droid naar Instellingen → Repositories → +:
- IzzyOnDroid — meer apps, snellere updates, goed onderhouden:
https://apt.izzysoft.de/fdroid/repo - Molly — als je de Signal-fork Molly wilt gebruiken:
https://molly.im/fdroid/repo - Guardian Project — Tor Browser voor Android en verwante tools:
https://guardianproject.info/fdroid/repo
Wat je direct kunt installeren
- Aegis Authenticator — 2FA-codes, versleutelde lokale backup
- Molly — geharde Signal-fork, geen Google-afhankelijkheden vereist
- Organic Maps — offline navigatie zonder account
- KeePassDX — lokale wachtwoordmanager in KeePass-formaat
- NetGuard — firewall zonder root, blokkeert per app
Kanttekeningen
Populaire apps zijn er niet. Instagram, TikTok, bankingapps en de meeste commerciële apps zijn niet open-source en dus niet beschikbaar via F-Droid.
Apps met Google Play Services. Apps die afhankelijk zijn van Firebase Push Notifications of andere Google-diensten werken niet of beperkt zonder sandboxed Google Play. Op GrapheneOS kun je sandboxed Google Play apart draaien.
Minder gepolijste UX. F-Droid is functioneel maar minder gestroomlijnd dan de Play Store. Zoeken is minder intuïtief, app-pagina’s zijn technischer van toon.
Vertaalde interface niet altijd compleet. De Nederlandse vertaling van F-Droid zelf is deels onvolledig.
Updates komen later. Zie bovenstaand punt over update-lag. Dit is een reëel nadeel bij beveiligingsgevoelige software.
Voordelen en nadelen
Voordelen
- Alleen open-source apps — geen verborgen code, geen gesloten trackers
- Tracker-scan per app is publiek zichtbaar
- Geen Google-account nodig
- F-Droid bouwt apps opnieuw — minder vertrouwen vereist in de ontwikkelaar
- Actief Reproducible Builds-programma
- Gratis, geen commercieel verdienmodel
Nadelen
- Minder apps dan Play Store — commerciële apps ontbreken volledig
- Updates komen later aan dan bij Play of Obtainium
- Vrijwilligersinfrastructuur — incidentele downtime en bouwvertragingen
- Google’s aankomende sideloading-beleid kan frictie toevoegen op stock Android
- Minder gepolijste UX dan Play Store
Conclusie
F-Droid is de meest transparante manier om apps op Android te installeren. De combinatie van open-source vereiste, tracker-scan en eigen buildinfrastructuur lost een aanvalsvector op die Play Store open laat.
De afweging is reëel: minder apps, tragere updates, en niet de beste keuze voor wie banking of overheidsapps soepel wil houden. Voor een privacy-bewuste basis — 2FA, wachtwoordmanager, kaarten, communicatie — haal je alles wat je nodig hebt.
Kies F-Droid als je bewust open-source apps wilt installeren en accepteert dat je er actief mee omgaat. Gebruik het als aanvulling op Play of sandboxed Google Play, niet per se als volledige vervanging.
Volgende stap
Heb je F-Droid gekozen?
- F-Droid gids — repositories instellen, aanbevolen apps en wat je kunt verwachten
Vergelijkbare opties
- Aurora Store review — Play-apps downloaden zonder Google-account
- Obtainium review — apps direct van de ontwikkelaar, sneller dan F-Droid
- Aegis Authenticator review — de aanbevolen 2FA-app, beschikbaar via F-Droid
- Signal en Molly review — Molly als geharde Signal-fork, via de Molly F-Droid repo
Wil je verder gaan?
- Android privacy zonder custom ROM — bredere basisinstellingen voor stock Android-gebruikers
- GrapheneOS eerste setup — F-Droid op GrapheneOS, sandboxed Google Play en app-isolatie