F-Droid ist so ziemlich die einfachste Möglichkeit, um Open-Source-Software auf einem Android zu installieren. Leider nehmen sie es mit der Sicherheit nicht so genau.
Bei neuen Apps hat die Zertifikatsprüfung ein paar Lücken. Das ist nicht schön, aber eigentlich sind solche Fehler dramatisch. Jeder Entwickler macht Fehler. Der Umgang mit Fehlern ist der wahrhaft entscheidende Aspekt.
Aufmerksam sollte dieses Statement machen:
NB: no new updates will be provided solely to correct any further counterfactual statements by F-Droid. We implore them to take responsibility for their mistakes instead of spreading misinformation in order to downplay our findings
Github: FDroid Fakesigner
Erschreckend auch, was im Überblick zu dem Fehler zu lesen ist. Kurzum: Die F-Droid-Entwickler werfen lieber Nebelkerzen, anstatt das Problem anzugehen.
Leider sind das nicht die einzigen Sicherheitsprobleme. Hier gibt es eine ganze Liste an Problemen zu lesen. Vernichtend auch die offizielle Einschätzung bei GrapheneOS:
F-Droid has had major unaddressed security issues for years which have been repeatedly raised. The development team have demonstrated an extremely anti-security attitude. They disregard basic security best practices for Android development and are highly resistant to improving it. This is one symptom of the poor security of F-Droid rather than even being one of the major issues with it. The entire approach of automatically fetching and building apps in an outdated environment on outdated, poorly maintained infrastructure which are then signed with their own keys while using the official app ids is horrible. The whole thing needs to be thrown out and replaced. They also don’t follow the security model for app sources, don’t support key rotation and many other issues. F-Droid causes major usability issues with profiles due to not following Android development best practices, which has put a substantial support burden on us. Steering people away from it is important to avoiding them having a bad experience using profiles due to their misuse of app ids not belonging to them.
GraphenOS Dicuss
An anderer Stelle hatte ich ja bereits etwas zu den F-Droid Anti-Features geschrieben. Auch in dem Fall hatten die Entwickler lieber Nebelkerzen geworfen, anstelle wirklich das Problem zu diskutieren.
Zusammengefasst ergibt dies ein sehr merkwürdiges Bild der Entwickler hinter F-Droid. Lieber werden irgendwelche Anti-Features identifiziert oder Open-Source-Apps wegen irgendwelcher APIs oder angeblich unfreier Dienste an den Pranger gestellt, als grundlegende Sicherheitsprobleme anzugehen.
Es ist wirklich bedauerlich, weil F-Droid genau der zentrale Anlaufpunkt ist, den es braucht, um freie Android-Apps attraktiv zu machen. So kann man das aber immer weniger empfehlen.
Da finde ich den Ansatz von IzzyOnDroid doch interessanter. Da werden die APKs von den Quellen (Github etc.) gesucht und eingebunden. Sofern die meisten Aspekte sauber erscheinen, bindet Izzy die in sein Repo ein. Ich denke, in diesem Fall dürften die Punkte betreffend Sicherheit etc. dann passen. Aber ich bin da eben auch kein Experte…
Ich finde die F-Droid Idee auch gut, weil es mir als User ermöglicht, nach solchen Apps zu suchen. Was ich dann für Features als „verträglich“ erachte, sollte mir als Nutzer überlassen bleiben. In den Settings der F-Droid-App (und auch Alternativen wie Neo Store) kann ich das durchaus vorfiltern. Am Ende bin ich als Anwender immer noch selbst in der Pflicht, mittels „Brain API“ zu überlegen, ob ich eine bestimmte App installieren will oder nicht. Es ist eben auch viel Schei… da draußen, von denen einige meinen, des könnte für andere interessant sein. Muss es aber eben nicht.
Bei den meisten Apps ist es doch so, dass der Entwickler entweder sich nicht bei Google anmelden will oder kann (kostet ja auch was, wenn ich mich nicht irre), und Google macht ziemlich interessante Vorgaben, was die Apps angeht. Eine freie Wahl habe ich als Nutzer also ohnehin nicht, wenn es nach Google geht. Ein nettes Beispiel: Es gibt eine Netzwerk Scanner App im Playstore, bei der im Changelog steht, dass die Angabe der MAC-Adressen aus Datenschutzgründen (Google hat das gefordert) künftig wegfällt. Finde ich insofern lustig, weil so mancher das bei seiner FritzBox einstellt im WLAN. Kann sich jeder selbst seinen Reim drauf machen.
Das Grundproblem ist doch, dass so ein „App Store“ (egal für welche Plattform) immer die Hoheit des jeweiligen Unternehmens (Google, Apple, etc.) bleibt und die sich wie die Könige aufführen. Wären solche Stores grundsätzlich offen, gäbe es diese Notwendigkeit gar nicht. Am Ende bin ich sonst dann doch wieder gezwungen, APKs so im Internet zu suchen und zu installieren, womit ich mich einem viel höheren Risiko aussetze.
Ein anderes Problem ist, dass solche Alternativen wie F-Droid nur einer kleinen Benutzergruppe wirklich bekannt und bedeutsam ist.
Haben sie schon was von Droidify gehört? Das nutze ich.
Ändert nichts, weil Droid-ify nur ein Client für F-Droid ist, aber die Probleme teils serverseitig bestehen.