F-Droid: Freie und quelloffene Apps – Take back control! Teil5

1. App-Store mit KlasseF-Droid

Durch die Installation von LineageOS haben wir uns von den herstellereigenen Android-Systemen losgesagt und mit AFWall+ die Kontrolle über den ausgehenden Datenverkehr übernommen. Unsere Reise ist allerdings noch lange nicht beendet, denn um uns weiter von Google zu befreien bzw. die Herrschaft und Kontrolle zurückzuerlangen, müssen wir uns vom Google Play Store lossagen.

Die meisten Apps aus dem Google Play Store beinhalten ein überdurchschnittliches Maß an Tracker- und Werbemodulen. Auf absehbare Zeit wird sich an diesem Geschäftsmodell vermutlich auch nichts ändern, da Android quasi ein Selbstbedienungsladen für Daten ist, mit dem (fragwürdige) Entwickler jede Menge Umsatz machen. Indirekt verdient natürlich auch Google kräftig mit – auf eine Besserung können Android-Nutzer daher vergeblich warten.

Im vorliegenden Beitrag möchte ich euch daher den Alternativen App-Store F-Droid vorstellen. F-Droid ist eine verbraucherfreundliche Alternative zu Googles Play Store, in dem ausschließlich »freie« und »quelloffene« Apps zum Download angeboten werden. Die beiden Eigenschaften »frei« und »quelloffen« bedeuten grundsätzlich nichts anderes, als dass der App-Quellcode von jedem eingesehen, genutzt, verändert und weiterentwickelt werden darf. Mit dem strengen »Free-Open-Source-Software (FOSS)«-Konzept hebt sich F-Droid damit deutlich vom Google Play Store und anderen, vergleichbaren Stores ab.

Dieser Beitrag ist Teil einer Artikelserie:

2. F-Droid Store

Langfristig sollte euer Ziel sein, die proprietären Apps aus dem Google Play Store durch quelloffene Apps aus dem F-Droid Store zu ersetzen, die weder ungefragt sensible Daten übermitteln, noch mit Tracker und Werbemodulen vollgestopft sind. Nach meiner Erfahrung ist es deutlich weniger Arbeit, von vornherein auf datenschutzfreundliche Apps zurückzugreifen, als den datenhungrigen Apps bzw. Diensten »Benehmen« beizubringen. Aus diesem Grund sollte die Hauptquelle für eure Apps der F-Droid Store sein, denn in der Artikelserie »Take back control!« geht es im Wesentlichen auch um die Gewährleistung von Transparenz.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Die Intransparenz der Datenverarbeitung

Eine größtmögliche Kontrolle über unsere Daten können wir nach meiner Ansicht nach nur dann erreichen, wenn wir bzw. andere Personen (außer dem App-Entwickler) in der Lage sind, die Funktionsweise der installierten Apps nachzuvollziehen. Außerdem zeigt ein Entwickler mit der Offenlegung des Quellcodes, dass bei ihm nicht (nur) finanzielle Interessen im Vordergrund stehen und signalisiert damit auch, im Hinblick auf den Programmcode, nichts »verbergen« zu wollen. Diese Offenheit ist ein essenzieller Schritt zu mehr Transparenz der Anwendung.

Und ja, mir ist bewusst, dass manche Apps so komplex sind, dass auch die vorstehend beschriebene Offenheit der Entwickler kein Garant dafür ist, dass im Quellcode der App nicht irgendwelche mysteriösen Code-Schnipsel versteckt sind, deren Sinnhaftigkeit und Bedeutung man sich nur schwerlich erklären kann. Daher kann man sich auch bei diesen Apps nie 100%ig sicher sein, durch die App ausspioniert zu werden. Daher sollten wir auch den FOSS-Apps nicht blind vertrauen.

Trotz alledem stellt meiner Ansicht nach die Offenlegung des Quellcodes einen Weg in die richtige Richtung dar, denn somit ermöglicht man jemandem mit den entsprechenden Ressourcen, den Code selbst nachzuprüfen und ggf. an seine Bedürfnisse anzupassen. Ein großer Nachteil der überwiegend proprietären Apps, die sich im Google Play Store befinden, ist deshalb die mit ihrer Proprietät verbundene Intransparenz der Datenverarbeitung. Denn bei diesen proprietären Apps wissen wir nicht und können es auch oftmals nicht überprüfen, was sie eigentlich (ohne unser Wissen) so anstellen.

Unter Referenzen liste ich diverse Sicherheits- und Datenschutzprobleme auf. Über die Hälfte der dort gelisteten Einträge betrifft proprietäre Apps aus dem Google Play Store. Vor diesem Hintergrund ist es nach meiner Auffassung essentiell, so viele Apps wie möglich aus dem F-Droid Store zu beziehen, auch wenn wir dort bei der App-Auswahl klare Abstriche machen müssen. Dass dieses nicht immer leicht ist, ist mir bewusst. Im Sinne der Artikelserie »Take back control!« aber ein erstrebenswertes und notwendiges Ziel.

2.2 Besonderheiten des F-Droid Stores

Mit dem F-Droid Store hat sich ein alternativer App-Store etabliert. Vom Angebot der dort verfügbaren FOSS-Apps profitieren insbesondere kritische Anwender, die Wert auf freie und quelloffene Anwendungen legen. Die im Vergleich zum Google Play Store geringere App-Auswahl im F-Droid Store mag euch auf den ersten Blick ein wenig »verschrecken«. Apps, die ihr bisher aus dem Google Play Store kennt, werdet ihr mit hoher Wahrscheinlichkeit vergeblich in F-Droid suchen. Im F-Droid Store werdet ihr jedoch zu den meisten Apps von Google Play auch brauchbare quelloffene Alternativen finden, denen ihr unbedingt eine Chance geben solltet

Gerade Anwender, bei denen Datenschutz bzw. der Geheimnisschutz eine wichtige Rolle spielt, wie bspw. Anwälte oder Ärzte, sollten alleine aus berufsethischen Gründen immer darauf achten, keine (proprietären) Apps zu installieren, bei denen die Datenverarbeitung intransparent ist und damit immer die Gefahr besteht, dass Apps auf Informationen ihrer Mandanten bzw. Patienten zugreifen, was wiederum u.a. auch mit strafrechtlichen und berufsrechtlichen Konsequenzen verbunden sein kann.

Trotz der Sympathie, die ich F-Droid Store entgegenbringe, möchte ich an dieser Stelle aber auch nicht verschweigen, dass dieser alternative App-Vertriebskanal auch ein paar Besonderheiten und »Mankos« hat, die im Nachfolgenden kurz dargestellt werden:

  • Benutzung auf eigene Gefahr: In den Nutzungsbedingungen zum F-Droid Store weisen die Betreiber darauf hin, dass sie trotz aller Anstrengungen nicht vollständig gewährleisten können, dass keine Schadsoftware über den F-Droid Store angeboten wird:

    Although every effort is made to ensure that everything in the repository is safe to install, you use it AT YOUR OWN RISK.

    Vor der Veröffentlichung einer App prüfen die F-Droid-Betreiber jedoch den Quellcode der jeweils einzustellenden App auf potenzielle Sicherheits- bzw. »Datenschutz«-Probleme. Stellen sie keine Probleme fest, kompilieren sie diese und stellen die App im F-Droid Store bereit. Weil dieses Prozedere kein tiefes bzw. vollständiges »Code-Audit« darstellt, sollte man den F-Droid Store nicht als Garant für einen schadsoftwarefreien Marktplatz verstehen. Vielmehr müssen wir auch diesen Apps immer ein gesundes Misstrauen entgegenbringen. Denn die Frage, ob eine App schadhaft ist oder nicht, lässt sich oftmals erst durch ausgiebige und umfangreiche Langzeittests der App beantworten. Diese kann und will der F-Droid-Betreiber (verständlicherweise) nicht leisten. Ein erstes »Manko« des F-Droid Stores ist daher, dass eine neu einzustellende App grundsätzlich nicht vollumfänglich geprüft wird bzw. werden kann. Dieses ist, jedenfalls nach Angaben von Google bspw. beim Google Play Store anders. Bevor eine neue App in den Google Play Store aufgenommen wird, prüfen u.a. sog. Bouncer diese automatisch auf »Schadsoftware«. Dabei werden die Apps in einer virtuellen Umgebung (ähnlich wie bei Antivirenscannern) zur Ausführung gebracht und abgeschirmt vom Hauptsystem auf ihr Verhalten und ihre Funktionsweise untersucht. Diese Maßnahme klingt sehr vielversprechend, aber wie die nachfolgend dargestellten Beispiele verdeutlichen sollen, kann auch Google einen schadsoftwarefreien Store dadurch nicht gewährleisten:

    Für den F-Droid Store ist mir hingegen bisher nicht bekannt, dass dort eine schadhafte App gefunden wurde. Ein wenig überspitzt gesagt, lässt sich deshalb der Schluss ziehen, dass F-Droid damit eigentlich der »schadsoftwarefreie« Store zu sein scheint.

  • Verschleppte (Sicherheits-)Updates: Im Gegensatz zum Google Play Store haben App-Entwickler im F-Droid Store praktisch keine Kontrolle / keinen Einfluss über den Release- und Update-Prozess ihrer App. Vielmehr sind sog. Maintainer für das Einstellen der Releases und Updates der Apps in den F-Droid Store verantwortlich. Falls der Maintainer also nachlässig ist oder gerade »verhindert« ist, kann dies zur Folge haben, dass im schlimmsten Falle auf bekanntgewordene Sicherheitslücken in Apps nicht zeitnah reagiert wird, obwohl der Entwickler diese bereits geschlossen hat. Zumindest können wir uns bei einigen Apps darauf verlassen, dass ein App-Maintainer keine Veränderungen am Quellcode vorgenommen hat, die sich womöglich negativ auf unsere Daten oder Geräte auswirken können. F-Droid unterstützt nämlich reproduzierbare Builds (engl. Reproducible Builds).
  • Schwachstellen: Wie jede Software hat auch F-Droid mit Fehlern zu kämpfen, die zu Sicherheitslücken führen können. Anfang 2015 hat ein Security-Audit in der F-Droid App und der Service-Infrastruktur diverse Sicherheitslücken identifiziert, die jedoch alle zeitnah behoben wurden. Sicherheitslücken lassen sich generell nicht vermeiden. Vielmehr muss man einfach damit rechnen, dass jede Software irgendwelche Lücken hat. Entscheidend ist deshalb umso mehr ein professioneller Umgang nach Bekanntwerden etwaiger Sicherheitslücken. Da das F-Droid-Team professionell und offen mit den gefundenen Sicherheitslücken umgeht, ist dieses ein gutes Indiz dafür, dass sich das Team seiner Verantwortung bewusst ist. Weiterhin positiv hervorzuheben sind die kontinuierlich durchgeführten Security Audits. Der letzte Audit ist bspw. auf den September 2018 datiert.

Trotz der vorstehend dargestellten, von mir als »Mankos« angesehenen Aspekte, möchte ich eine Besonderheit bzw. »Service« des F-Droid Stores nicht unerwähnt lassen. Diese Besonderheit ist den im F-Droid Store aufgenommenen FOSS-Apps geschuldet. Aufgrund der Tatsache, dass grundsätzlich jedermann bei FOSS-Apps in der Lage ist, unter Einhaltung bestimmter Vorgaben, den Quellcode zu verändern, macht auch das F-Droid-Team von dieser Option von Zeit zu Zeit gerne Gebrauch. So entfernt es manchmal (eigenmächtig) sogenannte »Antifeatures« aus der ursprünglichen App-Version. Zu den Antifeatures in Apps zählt das F-Droid-Projekt unter anderem:

  • Ads (Werbung)
  • Tracking
  • NonFreeNet (nutzt unfreie Dienste im Netz)
  • NonFreeAdd (empfiehlt unfreie Add-ons)
  • NonFreeDep (hängt von unfreien Komponenten ab – etwa von den Google Play Services)
  • UpstreamNonFree (es fehlen Funktionalitäten, da unfreie Komponenten entfernt werden mussten)
  • NonFreeAssets (enthält unfreie Komponenten – meist Multimedia-Daten, die unter unfreier Lizenz stehen)

Ein prominentes Beispiel, in dem das Team des F-Droid Stores tätig wurde und entsprechende Antifeatures aus der entsprechenden App entfernt hat, war der Telegram-Messenger. Diesbezüglich gab das Team die Mitteilung aus:

Several proprietary parts were removed from the original Telegram client, including Google Play Services for the location services and HockeySDK for self- updates. Push notifications through Google Cloud Messaging and the automatic SMS receiving features were also removed.

Die Vorgehensweise des F-Droid-Teams auf Services bzw. Funktionen, die dem »Datenschutz« nicht gerade zuträglich sind, zu verzichten bzw. diese aus dem Quellcode zu entfernen, hat mich zusätzlich in meiner Entscheidung bestärkt, F-Droid als App-Quelle für die Artikelserie »Take back control!« zu wählen.

3. Inbetriebnahme F-Droid

Zunächst müsst ihr euch den F-Droid Store als APK-File auf den Rechner laden. Öffnet dazu einfach die F-Droid-Seite und klickt auf den Button Download F-Droid.

  • Download: Bezieht zunächst die neueste Version von F-Droid direkt über die Webseite. Klickt auf den Button mit der Aufschrift Download F-Droid.
  • PGP-Signatur: Optional könnt ihr die PGP-Signatur der heruntergeladenen APK-Datei prüfen und so sicherstellen, dass die Datei nicht beschädigt oder verändert wurde. Dazu müsst ihr zunächst den öffentlichen F-Droid-Signing-Key importieren:
    gpg --keyserver pgp.mit.edu --recv-keys 0x41e7044e1dba2e89

    Anschließend kann der Fingerabdruck geprüft werden:

    gpg --verify FDroid.apk.asc FDroid.apk

    Ist der Haupt- und Unter-Fingerabdruck identisch, mit jenen auf der Webseite von F-Droid?

    Haupt-Fingerabdruck = 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
    Unter-Fingerabdruck = 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
  • Installation: Sofern die PGP-Signatur übereinstimmt könnt ihr die APK-Datei via USB-Kabel auf das Gerät kopieren. Auf eurem Gerät könnt ihr die Datei anschließend antippen und die Installation starten. Vor der Installation von F-Droid wird in Android eine Warnung erscheinen. Dieser Mechanismus soll davor schützen, dass man versehentlich Apps aus »unbekannten Quellen« (fernab des Google Play Stores) installiert und sich darüber Schadsoftware einfängt. Der Hinweis wird mit einem Fingertipp auf Weiter bestätigt und die Installation abgeschlossen.

3.1 F-Droid in Aktion

Nach dem ersten Start der F-Droid-App werden euch zunächst keine Apps angezeigt. Ihr müsst zunächst die sogenannten Paketquellen (eine Liste verfügbarer Apps mit ihren Beschreibungen) aktualisieren, indem ihr mit einem Finger von oben nach unten über den Bildschirm wischt:

Paketquellen aktualisieren

Am oberen Bildschirmrand erscheint dann der Hinweis »Paketquellen werden aktualisiert«. Je nach Internetverbindung und Auslastung der F-Droid-Server kann der Vorgang ein bis zwei Minuten in Anspruch nehmen. Damit dieser Vorgang in Zukunft automatisch geschieht, selektieren wir am unteren Bildschirmrand das Menü »Optionen«. Empfehlenswerte Einstellungen:

  • [Optional] Über Mobilfunk: Slider ganz nach links (um das Datenvolumen zu schonen)
  • Automatisches Aktualisierungsintervall: Täglich

Unter Paketquellen solltet ihr zusätzlich F-Droid Archive selektieren:

Paketquellen

Anschließend könnt ihr nach Apps stöbern, wofür sich das Menü »Kategorien« am unteren Bildschirmrand anbietet. Die Apps sind jeweils in unterschiedlichen Kategorien, wie bspw. Internet, Multimedia oder Navigation geordnet:

Kategorien

Wenn ihr eine App gefunden habt und installieren wollt, dann klickt zunächst einfach auf den blauen Download-Pfeil neben dem App-Namen und stoßt damit den Download an. Sobald sich die App auf eurem Gerät befindet, verwandelt sich der Pfeil in einen Button mit der Beschriftung Installieren. Ihr werdet anschließend nochmal gefragt, ob ihr die App tatsächlich installieren wollt und bekommt alle Berechtigungen einer App aufgelistet. Auch wenn uns bisher kein »Missbrauch« von Berechtigungen einer F-Droid App bekannt ist, so solltet ihr die Berechtigungen grundsätzlich vor jeder Installation prüfen:

Installation

4. App-Vorschläge

Aufgrund der Intransparenz der gesamten Datenverarbeitung eines Smartphones ist es extrem aufwendig zu ermitteln, welche Daten das Smartphone (tatsächlich) verarbeitet bzw. versendet. Das Gleiche gilt natürlich auch für die eingesetzten Apps aus dem Google Play Store. Die meisten dieser Apps sind, wie bereits dargestellt, Closed-Source und erlauben deshalb (ohne weitere technische Hilfsmittel) keinen Einblick in die eigentliche Datenverarbeitung bzw. welche Daten bei der Nutzung übermittelt werden.

Es wäre eine Illusion zu glauben, dass App-Anbieter stets zu unseren eigenen Gunsten unsere Daten verarbeiten. Vielmehr sollte jedem, der die heutigen Geschäftsmodelle der Anbieter und Hersteller kennt, bewusst sein, dass vielmehr das Gegenteil der Fall ist. Sehr häufig tauschen die »Protagonisten« die von uns gesammelten Daten untereinander zu kommerziellen Zwecken aus, ohne dass wir es merken, geschweige denn verhindern könnten. Insofern ist es essentiell und für jeden datenschutzbewussten Anwender schon fast eine Pflicht, für sich selbst zu hinterfragen, ob er nicht vielleicht besser auf die proprietären Apps verzichten will.

Daher sollte unser Ziel sein, so viele Apps wie möglich durch datenschutzfreundliche Alternativen zu ersetzen. Um aufzuzeigen, was meiner Ansicht nach eine »datenschutzfreundliche« App ausmacht, habe ich die wesentlichen Kriterien einer datenschutzfreundlichen App zusammengefasst:

  • Im Optimalfall keine Kommunikation der App mit Hersteller bzw. Anbieter (auch nicht etwa zur Übertragung von »bedeutungslosen« Telemetrie-Daten)
  • Transparenz durch offenen Quellcode und ggf. entsprechender transparenter Datenschutzerklärung
  • Einfordern der (nur) notwendigen Zugriffs-Berechtigungen, die erforderlich sind, damit die App entsprechend ihrer Zweckbestimmung funktioniert
  • Datensparsamkeit (Verarbeitung von so wenig Daten wie möglich bzw. nur die Daten, die wirklich für die Funktionalität der App notwendig sind)
  • Widerspruchsmöglichkeiten gegen entsprechende Datenverarbeitungen
  • Apps, die dabei helfen, dass wir unsere Daten nicht jedem offenlegen müssen

Das sind natürlich hohe Maßstäbe, die ich hier ansetze. In diesem Zusammenhang sollten wir uns vielleicht aber nochmal das erklärte Ziel der Artikelserie vor Augen führen: Zurückerlangen der Herrschaft und Kontrolle über unsere Daten.

Hinweis

In diesem Zusammenhang ist die Arte-Reportage »Software-Rebellen: Die Macht des Teilens« interessant. Sie zeigt auf, wie anonyme Entwickler und bekannte Persönlichkeiten versuchen, einer neuen Art des Wissenskapitalismus entgegenzuwirken.

4.1 Empfehlenswerte Apps

Auf die Gefahr hin, dass dieser Teil des Beitrags seine Aktualität zu schnell verliert, verweise ich an dieser Stelle auf die Empfehlungsecke. Dort werden alle datenschutzfreundlichen Apps aus dem F-Droid Store aufgelistet und ständig aktualisiert. Ein Auszug:

Kategorie / Anwendungszweck App
Internet / Browser / E-Mail
Browser Fennec, FOSS Browser, Tor Browser
E-Mail K-9 Mail
RSS-Reader Feeder, Tiny Tiny RSS (Client für TinyTinyRSS)

Die App-Auswahl soll lediglich die »Basics« abdecken, um euch den Umstieg auf datenschutzfreundliche Apps etwas zu erleichtern. In F-Droid gibt es natürlich noch weitaus mehr Apps und weitere Alternativen zu entdecken. Geschmäcker sind bekanntlich verschieden und nicht jede von mir empfohlene App wird dem Einzelnen gefallen. Daher ist mein Rat an euch, im F-Droid Store zu stöbern und selbst weitere Apps zu finden, die euren Geschmack am ehesten Treffen.

5. Weitere App-Stores

Wer einen Großteil seiner Apps ausschließlich aus dem F-Droid Store bezieht, der kommt dem hehren Ziel, die Herrschaft und Kontrolle über die eigenen Daten auf einem Smartphone zu haben, ein gutes Stück näher.

Die Umstellung auf den F-Droid Store ist zugegebenermaßen nicht einfach. Das liegt weniger an einer schlechten Bedienbarkeit dieses Stores, sondern vielmehr am vergleichsweise geringen App-Angebot. Aktuelle (Blockbuster-) Spiele oder »Trend-Apps«, wie bspw. WhatsApp werden wir im F-Droid Store nicht finden, denn wie dargestellt finden wir im F-Droid Store grundsätzlich nur freie und quelloffene Apps.

5.1 Aurora Store | Yalp Store

Üblicherweise wird der Google Play Store über die App »Play Store« angesteuert. In F-Droid finden wir allerdings eine Alternative, die auf Google-Abhängigkeiten verzichtet und auch für Nutzer eines Custom-ROMs interessant sein kann, falls kein Google Services Framework installiert ist. Der in F-Droid verfügbare Aurora Store ermöglicht den Download von Apps (bzw. APKs) direkt über den Google Play Store. Allerdings befinden wir uns bei der Nutzung dieser Apps in einem Graubereich bzw. in einem rechtlich noch nicht abschließend geklärten Bereich. Dieses insbesondere deshalb, weil der Aurora Store | Yalp Store nicht offiziell von Google angeboten bzw. von Google stammt, sondern bei dieser App / bei diesem Dienst lediglich die Play Store API zum Zugriff genutzt wird. Dies stellt im Grunde ein Verstoß gegen die Nutzungsbedingungen des Play Stores dar:

You agree not to access (or attempt to access) Google Play by any means other than through the interface that is provided by Google, unless you have been specifically allowed to do so in a separate agreement with Google. You specifically agree not to access (or attempt to access) Google Play through any automated means (including use of scripts, crawlers, or similar technologies) and shall ensure that you comply with the instructions set out in any robots.txt file present on the Google Play website.

Dass wir uns bei der Nutzung von Apps wie Aurora | Yalp oder Diensten wie APKPure, die die APKs vom Playstore herunterladen, durchaus in einer rechtlich hoch umstrittenen Grauzone befinden, wird deutlich, wenn wir uns ein Interview mit einem Rechtsanwalt und die darauf entbrannte Diskussion auf areamobile anschauen. Ohne sich vorliegend intensiv mit den ganzen dort angerissenen rechtlichen Implikationen auseinandersetzen zu wollen, ist es meiner Ansicht nach für die Beantwortung der Frage nach der Legalität der Nutzung dieser Dienste essenziell, differenziert vorzugehen. Es gilt nämlich zu aller erst die Frage zu beantworten, welche »Urheberrechte« (von wem) bei dem Herunterladen von Apps aus dem Play Store mit diesen Diensten potenziell verletzt werden.

Dabei spielt es meiner Ansicht nach eine große Rolle, danach zu unterscheiden, wie bzw. mit welchen Lizenzbedingungen die Apps veröffentlicht wurden. Handelt es sich um »proprietäre« Software, die ausschließlich im Google Play Store angeboten wird, dürfte eine Verletzung von Urheberrechten durchaus naheliegen. Anders sieht es jedoch bei FOSS-Apps aus, die bspw. sowohl im Play Store, aber auch im F-Droid Store oder auf der Webseite des Entwicklers eingestellt wurden. Lädt man diese App mittels etwaiger Dienste wie Aurora | Yalp aus dem Play Store herunter, dürfte man zunächst einmal nicht das Recht des eigentlichen Urhebers (des App-Entwicklers), der die App ja eigentlich »offen« und »frei« gestaltet hat, verletzen. Vielmehr stehen hier maßgeblich die (vermeintlichen) Rechte von Google in Frage, die der Urheber Google einräumen musste, damit er seine Apps in den Play Store einstellen durfte.

Um sich gar nicht erst dieser vorstehend aufgezeigten Problematik auszusetzen, solltet ihr deshalb besser komplett auf die Apps im Google Play Store verzichten und auf Apps aus dem F-Droid Store zurückgreifen. Ist euch das – aus welchen Gründen auch immer – nicht möglich, kann der Aurora Store bzw. Yalp Store eine Alternative zum Play Store darstellen und ist für alle jene interessant, die Custom-ROMs wie LineageOS benutzen, allerdings auf die Installation der proprietären GAPPS lieber verzichten:

Yalp Store

5.2 Realität vs. Wunschgedanken

Persönlich komme ich vollständig ohne Apps aus dem Google Play Store aus. Vor ein paar Jahren war dies für viele datenschutzsensible Nutzer noch undenkbar, weil das Angebot an Apps in F-Droid noch relativ überschaubar war. Im Jahr 2019 hat sich die Situation etwas gebessert. Dennoch gibt es auch weiterhin Apps, die lediglich im Play Store angeboten werden. Es wäre daher realitätsfern, einfach davon auszugehen, dass jeder mit den im F-Droid angebotenen Apps auskommt.

Wer also für seine »Lieblingsapp« aus dem Google Play Store keine Alternative in F-Droid findet, der wird nicht umhinkommen, einen Teil seiner Apps weiterhin aus dem Play Store zu beziehen. Da mit den Apps aus dem Play Store vielfach auch ein »Kontrollverlust« einhergeht, werde ich euch in weiteren Teilen der Artikelserie aufzeigen, wie ihr diesen mit Apps wie AdAway oder Shelter minimieren könnt.

6. Fazit

Mit dem F-Droid Store erhalten wir Zugriff auf FOSS-Apps, die uns als Alternative zu bekannten Apps dienen sollen. Insbesondere profitieren wir als kritischer Anwender von den freien und quelloffenen Anwendungen, die im F-Droid Store angeboten werden. Damit gelingt es uns, ein großes Stück Datenherrschaft auf unserem Smartphone zurückzuerlangen.

Idealerweise könnt ihr euch komplett vom Google Play Store lossagen. Wem das nicht gelingt und wer auf seinem Gerät auf die zusätzliche Installation von GAPPS lieber verzichtet, der findet im Aurora Store eine mögliche Alternative – bewegt sich damit allerdings in einem rechtlichen Graubereich.

Im nachfolgenden Beitrag der Artikelserie werden wir uns dem Tracking- und Werbeblocker AdAway widmen. AdAway ist vergleichbar mit einem lokalen Pi-hole, der direkt auf dem Gerät arbeitet. Für alle jene, die auch weiterhin Apps aus dem Play Store beziehen, stellt AdAway eine effektive Möglichkeit dar, die integrierten Tracker- und Werbemodule »unschädlich« zu machen.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

28 Ergänzungen zu “F-Droid: Freie und quelloffene Apps – Take back control! Teil5”

  1. Comment Avatar Martin sagt:

    Dank für einen weiteren Artikel. Wie sieht es mit dem Aurora Store aus?
    Ich habe den Yalp vorgezogen, weil dieser wohl besser sein soll.
    Was sind die Meinungen der Community?

    • Comment Avatar Herbst Freud sagt:

      Ehrlich gesagt finde ich den Aurora Store wesentlich „besser“. Er wirkt aufgeräumter, das UI ist generell moderner, die Ignore-Liste funktioniert verlässlicher (hatte hierbei mit Yalp manchmal Probleme) und es ist eine Exodus-Abfrage integriert, so dass Apps schon auf Tracker hin untersucht werden können, bevor sie installiert werden.

      Generell stimme ich aber Mike Kuketz zu – wenn es nicht unbedingt nötig ist, würde ich auf Apps aus dem Play Store verzichten. Allerdings sind Apps wie Titanium, Folder Sync und Threema eben nur dort zu finden…

    • Comment Avatar AntiiHeld sagt:

      Aurora Store ist ein Fork des Yalp Store. Es ist quasi Yalp, bloß mit einem anderen Design. Mir persönlich gefällt der originale Yalp Store besser, brauche nicht so viel Design Schnick Schnack.

  2. Comment Avatar Hannes sagt:

    Tiny Tiny RSS würde ich persönlich nicht unbedingt empfehlen wollen, insbesondere vor dem Hintergrund solch komischer, kleingeistiger Ideologien: https://discourse.tt-rss.org/t/a-category-named-gas-chamber/649/6

    Wer anderen den Gang in eine Gaskammer nahelegt und sich darüber hinaus diesbezüglich auch noch stur und uneinsichtig zeigt, den würde ich in keinster Weise mehr unterstützen wollen.

    https://flameeyes.blog/2017/09/03/tiny-tiny-rss-dont-support-nazi-sympathisers/

    Das ist halt meine persönliche Meinung dazu. Opinions may well differ, though.

  3. Comment Avatar Christian sagt:

    Hallo und vielen Dank für die Anleitungen! Gab es da nicht die Möglichkeit den Store „tiefer“ zu integrieren um automatisch Updates zu installieren?

    • Comment Avatar Mike Kuketz sagt:

      Das geht. Dazu muss man via TWRP ein Zip-File flashen und benötigt Root-Rechte: F-Droid Privileged Extension

      Selbst habe ich das bisher nicht getestet.

      • Comment Avatar Izzy sagt:

        „LineageOS for microG“ hat die „Privileged Extension“ integriert, daher ist sie auch auf meinen Geräten im Einsatz. Es erfolgt dann keine separate Abfrage durch den „Package Installer“ mehr. Automatische Updates sind damit möglich, wenn man dies in den Einstellungen aktiviert; ich bevorzuge es dennoch, diese vorher in Augenschein zu nehmen. Und sei es nur um zu sehen, was ein solches Update an Neuerungen mitbringt.

        Btw: Wer tiefer in die Details einsteigen will, dem darf ich hier vielleicht auch meine F-Droid Artikelserie empfehlen, die zum Jahreswechsel auch in der c’t erschien (in Heise’s „Android Spezial“ von Anfang des Jahres sind alle drei Artikel noch einmal zusammen enthalten). Ein vierter Artikel wurde von Nico Alt (ebenfalls aus dem F-Droid Team) bereits fertig gestellt, und folgt in Kürze™ – sowohl bei Heise als auch ein paar Wochen später bei mir.

      • Comment Avatar Jim sagt:

        Funktioniert gut. Wenn man den „Installationsverlauf“ in F-Droid aktiviert, kann man auch die Übersicht behalten!

  4. Comment Avatar Jonas L. sagt:

    Verschleppte (Sicherheits-)Updates: Im Gegensatz zum Google Play Store haben App-Entwickler im F-Droid Store praktisch keine Kontrolle / keinen Einfluss über den Release- und Update-Prozess ihrer App.

    Da ich Apps bei F-Droid veröffentlicht habe, kann ich dem nicht zustimmen. Der Update-Prozess ist automatisiert. Der Maintainer bei F-Droid (oder man selbst per Pull Request) gibt an, wie man neue Versionen kennzeichnet (z.B. per Tag in Git). Dann wird (täglich, so wie ich es verstanden habe) gerpüft, ob der Entwickler eine neue Version bereitgestellt hat und diese wird dann automatisch gebaut und bei F-Droid veröffentlicht.

    Bei dem automatisch liegt manchmal das Problem. Wegen beabsichtigten Einschränkungen im Build-System (damit man nicht versehentlich irgendwelche Closed-Source-Libraries versehentlich einbindet) oder Änderungen am Build-System (neue Android-Studio/ Gradle-Version) schlägt das kompilieren dann erstmal fehl, bis sich jemand manuell um das Problem gekümmert hat (aber da sowas oft viele Apps gleichzeitig betrifft, wird das relativ schnell zentral behoben). Solche Probleme fallen selten mit Sicherheitsupdates von Apps zusammen.

    • Comment Avatar Mike Kuketz sagt:

      In dem Fall hast du von dir aus selbst veröffentlich. Es gibt aber auch Fälle, bei denen F-Droid den vorhandenen Quellcode nimmt und die Apps baut. Hierbei hat der Entwickler dann keinen aktiven Einfluss.

      • Comment Avatar Izzy sagt:

        Auch in dem Fall werden Updates meist automatisch erstellt. Wir achten bei der Aufnahme bereits darauf, dass dies weitgehend möglich ist („AutoUpdateCheck“; die finale Freigabe erfolgt in jedem Fall manuell: nur Ciaran kann derzeit Apps signieren). Ist dies nicht der Fall wirken wir auf den jeweiligen Entwickler ein, die entsprechenden Voraussetzungen zu schaffen (Releases zu „taggen“ etc.).

        „Benutzung auf eigene Gefahr“: Immer und überall. Auch Google und Amazon werden Dir keine Garantie geben. Aber ja, auch bei F-Droid gibt es, in Grenzen, automatische Scans. Wir arbeiten daran, dies zu verbessern – auch wenn es kaum eine „flächendeckende Prüfung“ geben wird.

        „reproduzierbare Builds“: Ein komplexes Thema. Bislang ist dies nur bei wenigen Apps umgesetzt. Wo dies jedoch der Fall ist, lässt sich eine solche App auch aus F-Droid aktualisieren, wenn sie ursprünglich vom Playstore installiert wurde – und umgekehrt, da sie in beiden Quellen vom Entwickler signiert wurde.

        Ich schreibe „wir“. Damit das niemanden verwirrt, „full disclosure“: Ich bin einer der F-Droid Maintainer. Mein Aufgabenbereich bezieht sich allerdings hauptsächlich auf die „Metadaten“ – also App Beschreibungen, Links etc. – da ich über keinerlei „Build Experience“ verfüge.

      • Comment Avatar Jonas L. sagt:

        Indirekt hat der Entwickler weiterhin einen Einfluss, wenn er neue Versionen irgendwie einheitlich kennzeichnet, weil dann ein Maintainer es passend einpflegt, dass die neuen Versionen automatisch erkannt werden.

        Wenn der Entwickler die Bereitstellung bei F-Droid nicht aktiv unterstützt, dann läuft das wahrscheinlich nicht gut. Dazu habe ich im F-Droid-Forum jetzt nachgefragt.

        F-Droid unterstützt nämlich reproduzierbare Builds

        Dazu verweise ich mal auf https://f-droid.org/de/2019/02/01/twif-41-the-third-reproducible-app-edition.html. Das bezieht sich auf die Reproduzierbarkeit der APKs des eigentlichen Entwicklers, die dann übernommen werden können.

        F-Droid ist bemüht, dass die von F-Droid gebauten APKs reproduzierbar gebaut sind. Allerdings sind es nicht alle (um nicht zu sagen nur sehr wenige). Dazu verweise ich auf https://verification.f-droid.org/. Für „.verified.txt“ gibt es 373 Einträge, für „diffoscope.txt“ mehr als 1000 Einträge (so zeigt es mir die Suche von meinem Browser an).

        Der Nutzen bei F-Droid ist, dass man „nur“ F-Droid vertrauen muss, dass die APKs zum Quelltext passen und das man sich nicht auf alle Entwickler verlassen muss. Das ist so gut, aber nicht perfekt.

  5. Comment Avatar Manuela sagt:

    Danke für die Serie! Konnte bisher folgen und Lineare installieren, F Droid auch. Doch wo finde ich einen Taschenrechner ohne Antifeatures, der M+ M- MR Tasten hat? Lineare bringt den nicht mit und F Droid auch nicht. Hat jemand einen Hint?

  6. Comment Avatar Rhinos sagt:

    Kann ich nun bei F-Droid: Freie und quelloffene Apps – Take back control! Teil5 das WLAN also bei meinem BQ Aquaris X aktivieren ?

    Weil bis AFWall+: Digitaler Türvorsteher – Take back control! Teil4 hab ich davon noch nix gelesen.

  7. Comment Avatar Robert sagt:

    Hallo,

    ich hab alles so gemacht, wie beschrieben mit dem aquaris x pro. Aber 3punkte häte ich:

    – wie kann man die Hardware-buttons recent-apps und back vertauschen? Generic.kl hab ich schon angepasst, hat aber leider nichts gebracht

    – ich hab wi-fi matic installiert. Diese und andere apps können das WLAN ausschalten aber leider nicht einschalten. Weiss hier jemand Rat?

    – hat schon jemand Erfahrung bzw weiss jemand Vorteile mit lineageos 16.0, dass mittlerweile für aquaris x pro draussen ist?

    Danke euch

    • Comment Avatar Anonymous sagt:

      Nutze seit ca. einer Woche LOS 16 auf meinem BQ Aquaris X Pro und bin sehr zufrieden.
      Läuft sehr stabil und macht keine Probleme.

  8. Comment Avatar Anonymous sagt:

    Ich bin mit meinem Aquaris X Pro der Anleitung Schritt für Schritt gefolgt, bekomme aber offensichtlich keine Internetverbindung für F-Droid (SIM + Wlan). Fehlermeldung:
    „Mobilfunk/Wlan Einstellungen verhindern sämtliche Aktualisierungen“
    In AF-Wall+ habe ich die Häkchen für den Internetzugang von F-Droid gesetzt. Was muss ich noch machen?

    • Comment Avatar Sebastian sagt:

      Eventuell vergessen, die Einstellungen zu übernehmen?
      Ist mir selbst mehrfach passiert.

      Nach dem Häckchen setzen -> Menü (3 Punkte) -> Anwenden

      Erst danach werden die Regeln neu geladen und aktiv.

      • Comment Avatar Anonymous sagt:

        Vielen Dank, Sebastian. Damit funktioniert es.
        Interessante Beobachtung die ich beim herumsuchen gemacht habe: Das Protokoll in AF-Wall+ zeigt, dass eine App „Gps“, eine IP-Adresse von Amazon versucht zu erreichen, obwohl ich noch nicht einmal GPS benutze! Tsss

  9. Comment Avatar Sebastian sagt:

    Einige der hier im Artikel und in der Empfehlungseckegenannten Apps „ersetzen“ ja die LineageOS Systemapps (Browser, EMail, etc.)
    Kann/Sollte man diese dann deinstallieren?

  10. Comment Avatar Anonymous sagt:

    Zu: 4.1 Empfehlenswerte Apps
    Ich bin ein wenig irritiert, dass auf der f-droid Seite über den empfohlenen Browser „Fennec“ steht, er hätte „Tracking“ als „Antifeature“. Vermutlich trackt er ja nicht uns – oder?

    • Comment Avatar Anonymous sagt:

      Lt. F-Droid heißt es: „Diese App verfolgt und versendet Ihre Daten“. Die Frage ist ja: Kann man das in den Optionen der App vollständig deaktivieren, oder funkt Fennec trotzdem was nach Hause?

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.