F-Droid und App-Alternativen – Android unter Kontrolle Teil3

1. Verbraucherfreundlicher StoreF-Droid

Im zweiten Teil unserer Artikelserie »Android unter Kontrolle« wollten wir euch vor Augen führen, wie wichtig es ist, sein (Android-) System, inklusive aller installierten Apps, stets auf dem aktuellsten Stand zu halten. Wie wir jedoch im Artikel aufgezeigt haben, stellt dies in der Android-Welt ein großes (Sicherheits-) Problem dar, weil insbesondere Hersteller älterer Android-Geräte, diese überhaupt nicht mehr oder nicht regelmäßig mit den neuesten Updates versorgen. Mithin bleiben diese Geräte für Angreifer mittels der bekanntgewordenen Schwachstellen ein durchaus lohnenswertes Ziel, ohne dass sich ein (Android-) Nutzer dieser Problematik auch nur ansatzweise bewusst ist.

Ein Ausweg aus diesem Dilemma kann die Installation eines Custom-ROMs, wie etwa das LineageOS darstellen, bei dem auch noch für ältere Geräte weiterhin Updates herausgebracht werden, mit denen neu entdeckte Schwachstellen geschlossen werden. Wir wissen natürlich auch, dass gerade dieser Weg für viele Nutzer wenig praktikabel ist. Dennoch war es uns ein großes Anliegen, euch die Update-Problematik bei Android vor Augen zu führen und einen möglichen Ausweg aufzuzeigen.

Eines wollen wir hier nochmals explizit, weil es vielleicht im letzten Artikel wohl nicht so richtig rübergekommen ist, deutlich sagen:

Ihr könnt unserer, mit dem vorliegenden Projekt angetretenen Reise ins Android-Universum natürlich auch dann folgen, wenn euer Android-Gerät nicht über die aktuellsten Sicherheitspatches verfügt. Wie dargestellt, ist jedoch aus unserer Sicht ein aktuelles Android-System eine der wichtigsten Voraussetzungen zur Gewährleistung eines ausreichenden Sicherheitsniveaus und damit letzten Endes der Schlüssel zum Behalten der »Kontrolle« / Datenherrschaft bei einem Android-Gerät.

Nun aber genug der einführenden Worte. Wir wollen jetzt unsere Reise weiter fortsetzen und euch mit dem vorliegenden Beitrag eine Alternative zum oftmals alternativlos erscheinenden Google Play Store vorstellen. Dieses insbesondere deshalb, weil wir für unser Projekt unserer Ansicht nach einen App-Store benötigen, aus dem wir verbraucher- und datenschutzfreundliche Apps beziehen können. Mit dem vorliegenden Artikel möchten wir euch daher den alternativen App-Store F-Droid vorstellen, der sich mit seinem strengen »Free Open-Source-Software (FOSS)«-Konzept deutlich vom Google Play Store und anderen, vergleichbaren Stores abhebt.

Letztendlich sollte eines der Ziele unserer Reise sein, die proprietären Apps aus dem Google Play Store durch quelloffene Apps aus dem F-Droid Store zu ersetzen, die weitestgehend weder sensible Daten ungefragt übermitteln, noch mit Tracker und Werbemodulen »zugepflastert« sind. Denn wie unsere Erfahrungen zeigen, macht es oftmals deutlich weniger Arbeit, von vornherein auf »datenschutzfreundliche« Apps zurückzugreifen, als den »datenhungrigen« Apps »Benehmen« beizubringen. Aus diesem Grund wollen wir euch in diesem Artikel einige weniger datenhungrige Apps vorstellen, die ihr bequem aus dem F-Droid Store herunterladen könnt und die unserer Ansicht nach einen sehr guten Ersatz für einige beliebte, im Play Store angebotene Apps darstellen.

Dieser Beitrag ist Teil einer Artikelserie:

2. F-Droid Store

Android’s Beliebtheit und hoher Verbreitungsgrad ist zu einem großen Teil auf die vermeintliche »Offenheit« des Systems zurückzuführen. Als Anwender bekommt man das Gefühl vermittelt, dass man mit seinem Android-Smartphone praktisch alles machen kann, ohne in irgendeiner Weise »bevormundet« zu werden.

Auch bei der Installation neuer Apps sind dem Anwender im Prinzip keine Grenzen gesetzt. Er darf vielmehr grundsätzlich »frei« darüber entscheiden, welche App, er aus welcher Quelle beziehen und installieren will.

Wie vorstehend dargestellt, haben wir uns für unser Projekt für den F-Droid Store als (Haupt-) Bezugsquelle für unsere Apps entschieden, da auf diesem »Marktplatz« ausschließlich »freie« und »quelloffene« Apps zum Download angeboten werden.
Die beiden Eigenschaften »frei« und »quelloffen« bedeuten grundsätzlich nichts anderes, als dass der Programmcode / Quellcode von jedem eingesehen, genutzt, verändert und weiterentwickelt werden darf. Aus diesem Grund stellen freie und quelloffene Apps für unser Projekt, in dem es im Wesentlichen auch um die Gewährleistung von Transparenz geht, unsere erste Wahl dar.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Die Intransparenz der Datenverarbeitung

Eine größtmögliche Kontrolle über unsere Daten können wir unserer Ansicht nach immer nur dann erreichen, wenn wir bzw. andere Personen (außer dem App-Entwickler) in der Lage sind, die Funktionsweise der installierten Apps nachzuvollziehen. Außerdem zeigt ein Entwickler mit der Offenlegung des Quellcodes, dass bei ihm nicht (nur) finanzielle Interessen im Vordergrund stehen und signalisiert damit auch, im Hinblick auf den Programmcode, nichts »verbergen« zu wollen. Diese Offenheit ist ein essenzieller Schritt zu mehr Transparenz der Anwendung.

Und ja, wir wissen auch, dass manche Apps / Programme so komplex sind, dass auch die vorstehend beschriebene Offenheit der Entwickler kein Garant dafür ist, dass im Quellcode / der App nicht irgendwelche mysteriösen Code-Schnipsel enthalten sind, deren Sinnhaftigkeit und Bedeutung man sich nur schwerlich erklären kann. Daher kann man sich auch bei diesen Apps nie 100%ig sicher sein, durch die App ausspioniert zu werden. Daher sollten wir auch den FOSS-Apps nicht blind vertrauen.

Trotz alledem stellt unserer Ansicht nach die Offenlegung des Quellcodes ein Weg in die richtige Richtung dar, denn somit ermöglicht man jemanden, mit den entsprechenden Ressourcen, den Code selbst nachzuprüfen und ggf. an seine Bedürfnisse anzupassen.
Ein großer Nachteil der überwiegend proprietären Apps, die sich im Google Play Store befinden, ist deshalb die mit ihrer Proprietät verbundene Intransparenz der Datenverarbeitung. Denn bei diesen proprietären Apps wissen wir nicht und können es auch oftmals nicht überprüfen, was sie eigentlich (ohne unser Wissen) so anstellen.

Hinweis

Wer sich einmal einen Eindruck davon verschaffen möchte, was sich so manche in den Stores angebotene Apps hinter unserem »Rücken« erlauben, der kann gerne mal einen Blick auf Mikes App-Rezensionen auf mobilsicher.de werfen. Während herkömmliche App-Rezensionen meist Funktionalität oder Nutzen einer App beleuchten, liegt der Fokus bei den von Mike veröffentlichten Rezensionen bewusst darauf aufzuzeigen, was sich bei einer App-Nutzung, unsichtbar, im Hintergrund des Smartphones so alles abspielt.

Eine weitere Problematik von proprietären Apps, ist die oftmals schwer überprüfbare »Überwachung« des Nutzers durch Tracker- und Werbemodule, wie Andreas Itzchak Rehberg (Izzy) in seiner lesenswerten Analyse »Was hat es mit den Modulen in Android Apps auf sich?« aufzeigt.

Vor diesem Hintergrund ist es unserer Auffassung nach essentiell, so viele Apps wie möglich aus dem F-Droid Store zu beziehen, auch wenn wir dort bei der App-Auswahl klare Abstriche machen müssen. Dass dieses nicht immer leicht ist, ist uns bewusst. Im Sinne des Projektes aber ein erstrebenswertes und notwendiges Ziel.

2.2 F-Droid Store Besonderheiten

Mit dem F-Droid Store hat sich ein alternativer App-Store etabliert. Vom Angebot der dort verfügbaren FOSS-Apps profitieren wie gesagt vor allem kritische Anwender, die Wert auf freie und quelloffene Anwendungen legen. Die im Vergleich zum Google Play Store geringere App-Auswahl im F-Droid Store mag euch auf den ersten Blick ein wenig »verschrecken«. Apps, die ihr bisher aus dem Google Play Store kennt, werdet ihr mit hoher Wahrscheinlichkeit vergeblich in F-Droid suchen.

Wie wir vorstehend dargelegt haben, gibt es jedoch im F-Droid Store zu den meisten Google Play Store Apps auch brauchbare quelloffene Alternativen, denen man unbedingt eine Chance geben sollte.

Gerade Anwender, bei denen Datenschutz bzw. der Geheimnisschutz eine wichtige Rolle spielt, wie bspw. Anwälte oder Ärzte, sollten alleine aus berufsethischen Gründen immer darauf achten, keine (proprietären) Apps zu installieren, bei denen die Datenverarbeitung intransparent ist und damit immer die Gefahr besteht, dass Apps auf Informationen ihrer Mandanten bzw. Patienten zugreifen, was wiederum u.a. auch mit strafrechtlichen und berufsrechtlichen Konsequenzen verbunden sein kann.

Trotz der Sympathie, die wir dem F-Droid Store entgegenbringen, wollen wir an dieser Stelle aber auch nicht verschweigen, dass dieser alternative App-Vertriebskanal auch ein paar Besonderheiten und »Mankos« hat, die wir im Nachfolgenden kurz darstellen:

  • In den Nutzungsbedingungen zum F-Droid Store weisen die Betreiber darauf hin, dass sie trotz aller Anstrengungen nicht vollständig gewährleisten können, dass keine Schadsoftware über den F-Droid Store angeboten wird. Vor der Veröffentlichung einer App prüfen die F-Droid-Betreiber jedoch den Quellcode der jeweils einzustellenden App auf potenzielle Sicherheits- bzw. »Datenschutz«- Probleme. Stellen sie keine Probleme fest, kompilieren sie diese und stellen die App im F-Droid Store bereit. Weil dieses Prozedere kein tiefes bzw. vollständiges »Code-Audit« darstellt, sollte man den F-Droid Store nicht als Garant für einen schadsoftwarefreien Marktplatz verstehen. Vielmehr müssen wir auch diesen Apps immer ein gesundes Misstrauen entgegenbringen. Denn die Frage, ob eine App schadhaft ist oder nicht, lässt sich oftmals erst durch ausgiebige und umfangreiche Langzeittests der App beantworten. Diese kann und will der F-Droid-Betreiber (verständlicherweise) nicht leisten. Ein erstes »Manko« des F-Droid Store ist daher, dass eine neu einzustellende App grundsätzlich nicht vollumfänglich geprüft wird bzw. werden kann. Dieses ist, jedenfalls nach Angaben von Google bspw. beim Google Play Store anders. Bevor eine neue App in den Google Play Store aufgenommen wird, prüfen u.a. sog. Bouncer diese automatisch auf »Schadsoftware«. Dabei werden die Apps in einer virtuellen Umgebung (ähnlich wie bei Antivirenscannern) zur Anwendung gebracht und abgeschirmt vom Hauptsystem auf ihr Verhalten und ihre Funktionsweise untersucht. Diese Maßnahme klingt sehr vielversprechend aber wie die nachfolgend dargestellten Beispiele verdeutlichen sollen, kann auch Google einen schadsoftwarefreien Store dadurch nicht gewährleisten:

    Für den F-Droid Store ist uns hingegen bisher nicht bekannt, dass dort bisher eine schadhafte App gefunden wurde. Ein wenig überspitzt gesagt, lässt sich deshalb der Schluss ziehen, dass F-Droid damit eigentlich der »schadsoftwarefreie« Store zu sein scheint.

  • Im Gegensatz zum Google Play Store haben App-Entwickler im F-Droid Store praktisch keine Kontrolle / keinen Einfluss über den Release- und Update-Prozess ihrer App. Vielmehr sind sog. Maintainer für das Einstellen der Releases und Updates der Apps in den F-Droid Store verantwortlich. Falls der Maintainer also nachlässig ist oder gerade »verhindert« ist, kann dies zur Folge haben, dass im schlimmsten Falle auf bekanntgewordene Sicherheitslücken in Apps nicht zeitnah reagiert wird, obwohl der Entwickler diese bereits geschlossen hat. Ferner müssen wir uns bei der Nutzung des F-Droid Stores bei jedem App-Release oder Update darauf verlassen, dass der jeweilige Maintainer keine Quellcodeveränderungen vorgenommen hat, die sich u.U. negativ auf unsere Daten oder Gerät auswirken können.
  • Wie jede Software hat auch F-Droid mit Fehlern zu kämpfen, die zu Sicherheitslücken führen können. Anfang 2015 hat ein Security-Audit in der F-Droid App und der Service-Infrastruktur diverse Sicherheitslücken identifiziert, die jedoch alle zeitnah behoben wurden. Wie wir in diversen Artikeln bereits angemerkt haben, lassen sich Sicherheitslücken generell nicht vermeiden. Vielmehr muss man einfach damit rechnen, dass jede Software irgendwelche Lücken hat. Entscheidend ist deshalb umso mehr, ein professioneller Umgang nach Bekanntwerden etwaiger Sicherheitslücken. Da das F-Droid-Team professionell und offen mit den gefundenen Sicherheitslücken umgegangen ist, ist dieses ein gutes Indiz dafür, dass sich das Team seiner Verantwortung bewusst ist. Als Manko in diesem Zusammenhang könnte man höchstens anmerken, dass ein weiteres Audit so langsam wünschenswert wäre. Weitere Informationen zum »Security Model« von F-Droid könnt ihr im Wiki des Projekts nachlesen.

Trotz der vorstehend dargestellten, von uns als »Mankos« angesehenen Aspekte, wollen wir eine Besonderheit bzw. »Service« des F-Droid Stores nicht unerwähnt lassen. Diese Besonderheit ist den im F-Droid Store aufgenommenen FOSS-Apps geschuldet. Aufgrund der Tatsache, dass grundsätzlich jedermann bei FOSS-Apps in der Lage ist, unter Einhaltung bestimmter Vorgaben, den Quellcode zu verändern, macht auch das F-Droid Team von dieser Option von Zeit zu Zeit gerne Gebrauch. So entfernt es manchmal (eigenmächtig) sogenannte »Antifeatures« aus der ursprünglichen App-Version. Zu den Antifeatures in Apps zählt das F-Droid Projekt unter anderem:

  • Ads (Werbung)
  • Tracking
  • NonFreeNet (nutzt unfreie Dienste im Netz)
  • NonFreeAdd (empfiehlt unfreie AddOns)
  • NonFreeDep (hängt von unfreien Komponenten ab – etwa von den Google Play Services)
  • UpstreamNonFree (es fehlen Funktionalitäten, da unfreie Komponenten entfernt werden mussten)
  • NonFreeAssets (enthält unfreie Komponenten – meist Multimedia-Daten, die unter unfreier Lizenz stehen)

Ein prominentes Beispiel, in dem das Team des F-Droid Stores tätig wurde und entsprechende Antifeatures aus der entsprechenden App entfernt hat, war der Telegram-Messenger. Diesbezüglich gab das Team die Mitteilung aus:

Several proprietary parts were removed from the original Telegram client, including Google Play Services for the location services and HockeySDK for self- updates. Push notifications through Google Cloud Messaging and the automatic SMS receiving features were also removed.

Die Vorgehensweise des F-Droid Teams auf Services bzw. Funktionen, die dem »Datenschutz« nicht gerade zuträglich sind, zu verzichten bzw. diese aus dem Quellcode zu entfernen, hat uns zusätzlich in unserer Entscheidung bestärkt, F-Droid als App-Quelle für unser Projekt zu wählen. Solltet ihr euch auch, trotz der beschriebenen »Mankos« bzw. Besonderheiten dafür entscheiden, F-Droid auf eurem Androiden zu installieren, solltet ihr hierbei wie folgt vorgehen.

2.3 Installation der F-Droid App

Über einen mobilen Browser lässt sich die Installation der F-Droid App rasch erledigen. Öffnet dazu den Link über euren Android-Browser. Alternativ könnt ihr das Android APK-File auch erst auf den Rechner laden und mittels USB auf das Android-Endgerät übertragen. Um die F-Droid-App installieren zu können müsst ihr, weil diese ja nicht aus dem »vertrauenswürdigen« Google-Play Store stammt, die Funktion »Installation von Apps aus unbekannten Quellen zulassen« aktivieren. Diese findet ihr unter »Einstellungen -> Sicherheit -> Unbekannte Herkunft«. Auch nach Abschluss der F-Droid Installation solltet ihr, wenn ihr Apps mittels der F-Droid-App installieren wollt, diese Option aktiviert lassen.

Unbekannte Herkunft

Diese aktivierte Android-Option stellt zunächst einmal, für sich gesehen kein besonderes Sicherheitsrisiko dar, denn es liegt immer an euch, was ihr installieren wollt. Im Grunde genommen ist dieses »Feature« eures Android-Geräts daher eine Art »Schutzfunktion« gegen schadhafte Apps, die sich vornehmlich über dubiose Webseiten verbreiten und von unbedarften Anwendern einfach installiert werden. Für eure eigene Sicherheit ist es daher empfehlenswert, Apps ausschließlich aus »vertrauenswürdigen« Quellen zu beziehen und die angeforderten Berechtigungen vor der Installation genau zu überprüfen. Zu den »vertrauenswürdigen« Quellen zählen wir jedoch auch gerade den F-Droid Store. Wenn ihr ganz sichergehen wollt, dann aktiviert nur für die Installation gewisser Apps aus dem F-Droid diese Funktion und wenn ihr diese Apps installiert habt, deaktiviert sie einfach wieder.

Nochmal in aller Deutlichkeit: Bitte bezieht eure Apps nur aus Quellen (bspw. Google Play Store, F-Droid Store), denen man »Vertrauen« schenken kann. Das ist jedoch für sich gesehen wie aufgezeigt auch kein Garant für 100%ige Sicherheit, reduziert allerdings erheblich die Wahrscheinlichkeit, dass ihr euch gedankenlos aus dubiosen Quellen eine schadhafte App installiert.

Hinweis

In Android erhalten lediglich System-Apps die Berechtigung, Apps »direkt« zu installieren, also auch dann, wenn das Häkchen bei » Unbekannte Herkunft« nicht aktiviert ist. Ihr könnt F-Droid ebenfalls zu einer System-App »aufwerten«. Dazu benötigt ihr allerdings Root-Rechte. Wir sehen daher davon ab, den Vorgang der »Aufwertung der Berechtigungen« im Zuge dieser Artikelserie näher zu erläutern und verweisen auf den Wiki-Eintrag »Installing F-Droid as a system-app«.

Habt ihr F-Droid erfolgreich installiert, gilt es die App zu starten und die ersten Apps zu installieren.

2.4 F-Droid in Aktion

Nach dem ersten Start der F-Droid App werden euch zunächst keine Apps angezeigt. Ihr müsst zunächst die sogenannten Paketquellen (eine Liste verfügbarer Apps mit ihren Beschreibungen) aktualisieren, indem ihr mit dem einem Finger von oben nach unten über den Bildschirm wischt.

Paketquellen

Hinweis

F-Droid befindet sich gerade in der Umstellung zu einem neuen User-Interface. Die folgenden Beschreibungen gelten für die NEUE Oberfläche.

Am oberen Bildschirmrand erscheint dann der Hinweis »Paketquellen werden aktualisiert«. Je nach Internetverbindung und Auslastung der F-Droid Server kann der Vorgang ein bis zwei Minuten in Anspruch nehmen. Damit dieser Vorgang in Zukunft automatisch geschieht, selektieren wir am unteren Bildschirmrand das Menü »Optionen«. Hier stellen wir ein:

  • Automatisches Aktualisierungsintervall: Täglich
  • [Optional] Nur über WLAN: Häkchen setzen (um das Datenvolumen zu schonen)

und aktivieren unter Paketquellen

  • F-Droid Archive: Häkchen

Kategorien

Anschließend könnt ihr nach Apps stöbern, wofür sich das Menü »Kategorien« am unteren Bildschirmrand anbietet. Die Apps sind jeweils in unterschiedlichen Kategorien, wie bspw. Internet, Multimedia oder Navigation geordnet. Wenn ihr eine App gefunden habt und installieren wollt, dann klickt zunächst einfach auf den blauen Download-Pfeil neben dem App-Namen und stoßt damit den Download an. Sobald sich die App auf eurem Gerät befindet, verwandelt sich der Pfeil in einen Button mit der Beschriftung »Installieren«. Ihr werdet anschließend nochmal gefragt, ob ihr die App tatsächlich installieren wollt und bekommt alle Berechtigungen einer App aufgelistet. Auch wenn uns bisher kein »Missbrauch« von Berechtigungen einer F-Droid App bekannt ist, so solltet ihr die Berechtigungen grundsätzlich vor jeder Installation prüfen.

App-Installation

Berechtigungen

Hinweis

Wer sich für die Schwächen des Android Berechtigungsmodell interessiert, dem sei Mikes Beitrag »Das Android Berechtigungsmodell: Ein perfides Konstrukt« ans Herz gelegt.

3. Unsere App-Vorschläge aus dem F-Droid Store

Aufgrund der Intransparenz der gesamten Datenverarbeitung eines Smartphones, ist es extrem schwer (besonders auf einem nicht gerooteten Gerät) zu ermitteln, welche Daten das Smartphone (tatsächlich) verarbeitet bzw. versendet. Das Gleiche gilt natürlich auch für die eingesetzten Apps aus dem Google Play Store. Die meisten dieser Apps sind wie gesagt Closed-Source und erlauben deshalb (ohne weitere technische Hilfsmittel) keinen Einblick in die eigentliche Datenverarbeitung bzw. welche Daten bei der Nutzung übermittelt werden.

Es wäre eine Illusion zu glauben, dass App-Anbieter stets zu unseren eigenen Gunsten unsere Daten verarbeiten. Vielmehr sollte jedem, der die heutigen Geschäftsmodelle der Anbieter und Hersteller kennt bewusst sein, dass vielmehr das Gegenteil der Fall ist. Sehr häufig tauschen die »Protagonisten« die von uns gesammelten Daten untereinander zu kommerziellen Zwecken aus, ohne dass wir es merken, geschweige denn verhindern könnten. Insofern ist es essentiell und für jeden datenschutzbewussten Anwender schon fast eine Pflicht, für sich selbst zu hinterfragen, ob er nicht vielleicht besser auf die proprietären Apps verzichten will.

Daher sollte unser Ziel sein, so viele »althergebrachte« Apps wie möglich durch »datenschutzfreundliche« Alternativen zu ersetzen. Um aufzuzeigen, was unserer Ansicht nach eine »datenschutzfreundliche« App ausmacht, haben wir einen Katalog entwickelt, der euch die wesentlichen Kriterien einer datenschutzfreundlichen App aufzeigt. Eine datenschutzfreundliche App sollte im Idealfall deshalb Folgendes erfüllen:

  • Im Optimalfall keine Kommunikation der App mit Hersteller bzw. Anbieter (auch nicht Etwa zur Übertragung von »bedeutungslosen« Telemetrie-Daten)
  • Transparenz durch offenen Quellcode und ggf. entsprechender, transparenter Datenschutzerklärung
  • Einfordern der (nur) notwendigen Zugriffs-Berechtigungen, die erforderlich sind, damit die App entsprechend ihrer Zweckbestimmung funktioniert
  • Datensparsamkeit (Verarbeitung von so wenig Daten wie möglich bzw. nur die Daten, die wirklich für die Funktionalität der App notwendig sind)
  • Widerspruchsmöglichkeiten gegen entsprechende Datenverarbeitungen
  • Apps, die dabei helfen, dass wir unsere Daten nicht jedem offenlegen müssen bspw. durch Verschlüsselungsmaßnahmen sicherstellen, dass sich nicht Anbieter von anderen Apps mittels dieser Apps ungefragt Zugriff auf unsere Daten verschaffen

Die im nun folgenden Kapitel aufgeführten Apps erfüllen die von uns gestellten Kriterien mehr oder weniger umfangreich, so dass wir diese euch gerne ans Herz legen wollen. Gerne könnt ihr mittels der Kommentarfunktion weitere Apps nennen, die wir, nach entsprechender Prüfung, in unsere Liste mit aufnehmen werden.

3.1 Empfehlenswerte Apps aus dem F-Droid Store

Internet

Büro

Messenger / Kommunikation

Multimedia

System

Navigation / Wetter

Soziale Netzwerke

Cloud

3.2 Geschmäcker sind verschieden

Unsere kleine App-Auswahl soll lediglich die »Basics« abdecken, um euch den Umstieg auf »datenschutzfreundliche« Apps etwas zu erleichtern. In F-Droid gibt es natürlich noch weitaus mehr Apps und weitere Alternativen zu entdecken. Geschmäcker sind bekanntlich verschieden und nicht jede von uns empfohlene App wird dem einzelnen gefallen. Daher ist unser Rat an euch, im F-Droid Store zu stöbern und selbst weitere Apps zu finden, die euren Geschmack am ehesten Treffen.

4. Kombination von App-Stores

Wer einen Großteil seiner Apps ausschließlich aus dem F-Droid Store bezieht, der kommt unserem Ziel, die größtmögliche Kontrolle über die eigenen Daten auf einem (nichtgerootetem) Smartphone zu haben, ein gutes Stück näher.

Aus eigener Erfahrung können wir allerdings berichten, dass die Umstellung auf den F-Droid Store anfangs nicht leicht ist. Das liegt weniger an einer schlechten Bedienbarkeit dieses Stores, sondern vielmehr am vergleichsweise geringen App-Angebot. Aktuelle (Blockbuster-) Spiele oder »Trend-Apps«, wie bspw. WhatsApp werden wir im F-Droid Store nicht finden, denn wie dargestellt finden wir im F-Droid Store grundsätzlich nur freie und quelloffene Apps.

Wer also für seine »Lieblingsapp« aus dem Google Play Store keine Alternative findet, der wird nicht umhinkommen, einen Teil seiner Apps weiterhin aus dem Play Store zu beziehen. Da mit den Apps aus dem Play Store vielfach auch ein »Kontrollverlust« einhergeht, werden wir euch in einem weiteren Teil der Artikelserie aufzeigen, wie ihr diesen minimieren könnt.

Hinweis

An dieser Stelle wollen wir euch nicht verheimlichen, dass wir den Google Play Store für den Erwerb einer Pro-Lizenz für die NetGuard-Firewall benötigen, die wir in einem weiteren Teil der Artikelserie vorstellen möchten. Die NetGuard-Firewall stellt einen wichtigen Eckpfeiler zur Erreichung unseres Projektziels dar, weshalb wir auf diese und somit (derzeit) auf den Google-Playstore nicht verzichten können. Aktuell befindet sich Mike jedoch im E-Mail Austausch mit dem NetGuard-Entwickler Marcel Bockhorst, um einen alternativen Bezahlweg zu finden, damit man für den Bezug dieser nützlichen App nicht auf den Google Play Store angewiesen ist.

4.1 Google Play Store

Viele von euch werden wie dargestellt vermutlich nicht vollständig auf den Google Play Store verzichten können bzw. wollen. Wir möchten euch allerdings nochmals ans Herz legen, den Bezug von Apps aus dem Google Play Store sehr reflektiert zu betreiben. Denn wie vorstehend bereits aufgezeigt, sind ein Großteil der Android-Apps aus dem Google Play Store mit Tracker- und Werbemodule geradezu »zugepflastert«. Weiterhin haben wir keinen Einblick in die eigentliche Datenverarbeitung bzw. welche Daten bei der Nutzung übermittelt werden.

Wie u.a. die aufwendigen, von Mike durchgeführten App-Rezensionen aufzeigen, bestätigt sich bei einer Vielzahl der im Playstore eingestellten Apps das »mulmige Gefühl«, dass diese wenig verbraucher- und datenschutzfreundlich sind.

4.2 Yalp Store / Raccoon

Üblicherweise wird der Google Play Store über die App »Play Store« angesteuert. In F-Droid finden wir allerdings eine Alternative, die auf Google-Abhängigkeiten verzichtet und auch für Nutzer eines Custom-ROMs interessant sein kann, falls kein Google Services Framework installiert ist. Die im F-Droid verfügbare App Yalp Store ermöglicht den Download von Apps (bzw. APKs) direkt über den Google Play Store. Allerdings befinden wir uns bei der Nutzung dieser App in einem Graubereich bzw. in einem rechtlich noch nicht abschließend geklärten Bereich. Dieses insbesondere deshalb, weil der Yalp Store nicht offiziell von Google angeboten bzw. von Google stammt, sondern bei dieser App / bei diesem Dienst lediglich die Play Store API zum Zugriff genutzt wird. Dies stellt im Grunde ein Verstoß gegen die Nutzungsbedingungen des Play Stores dar. Ähnliche Bedenken gelten übrigens für die Desktop-Anwendung Raccoon, mit der ihr ebenfalls Apps aus dem Play Store laden könnt.

Dass wir uns bei der Nutzung von Apps wie Yalp oder Diensten, die die APKs vom Playstore herunterladen durchaus in einer rechtlich hochumstrittenen Grauzone befinden, wird deutlich wenn wir uns ein Interview mit einem Rechtsanwalt und die darauf entbrannte Diskussion auf areamobile anschauen.

Ohne sich vorliegend intensiv mit den ganzen dort angerissenen rechtlichen Implikationen auseinandersetzen zu wollen, ist es unserer Ansicht nach für die Beantwortung der Frage nach der Legalität der Nutzung dieser Dienste essenziell, differenziert vorzugehen. Es gilt nämlich zu aller erst die Frage zu beantworten, welche »Urheberrechte« (von wem) bei dem Herunterladen von Apps aus dem Play Store mit diesen Diensten potenziell verletzt werden.

Dabei spielt es unserer Ansicht nach eine große Rolle danach zu unterscheiden, wie bzw. mit welchen Lizenzbedingungen die Apps veröffentlicht wurden. Handelt es sich um »proprietäre« Software, die ausschließlich im Google Play Store angeboten wird, dürfte eine Verletzung von Urheberrechten durchaus naheliegen. Anders sieht es jedoch bei FOSS-Apps aus, die bspw. sowohl im Play Store aber auch im F-Droid Store oder auf der Webseite des Entwicklers eingestellt wurden. Lädt man diese App mittels etwaiger Dienste wie Yalp aus dem Play Store herunter, dürfte man zunächst einmal nicht das Recht des eigentlichen Urhebers (des App-Entwicklers), der die App ja eigentlich »offen« und »frei« gestaltet hat, verletzen. Vielmehr stehen hier maßgeblich die (vermeintlichen) Rechte von Google in Frage, die der Urheber Google einräumen musste, damit er seine Apps in den Play Store einstellen durfte.

Um diesbezüglich eine rechtlich, fundierte Aussage treffen zu können, müsste man sich sehr intensiv mit dem vertraglichen Lizenzkonstrukt auseinandersetzen, das Google den Entwicklern aufbürdet. In diesem Zusammenhang gilt es insbesondere zu prüfen, ob und welche seiner Rechte der App-Entwickler Google mit dem Einstellen der App in den Play Store überträgt. Weil die Entwicklungsbedingungen von Google einen ellenlangen Wust an Regelungen beinhalten, die zumeist auch nicht von den App-Entwicklern gelesen werden, wollen wir euch deshalb auch damit verschonen.

Um sich gar nicht erst dieser vorstehend aufgezeigten Problematik auszusetzen, solltet ihr deshalb besser komplett auf die Apps im Google Play Store verzichten und auf Apps aus dem F-Droid Store zurückgreifen.

4.3 F-Droid

Aus eigener Erfahrung können wir berichten, dass der vollkommene Verzicht auf Play Store-Apps durchaus möglich ist. Doch wollen wir auch nicht verschweigen, dass dieses auch mit einem gewissen »Verzicht« einhergeht und ggf. sogar mit »sozialen Spannungen« verbunden sein kann. Dieser Verzicht kann allerdings durchaus positive Auswirkungen haben, denn wir kommen damit unserem mit dieser Artikelserie ausgegebenen Ziel die Kontrolle / Datenherrschaft zu behalten, nicht nur ein ganzes Stück näher, sondern wir fokussieren uns auch immer mehr auf das Wesentliche. Denn seien wir mal ehrlich zu uns selbst:

Viele Apps im Play Store bringen uns eigentlich nicht so wirklich großen Nutzen und lenken uns immer mehr im Alltag ab, als das sie uns einen wirklichen Mehrwert bringen können.

Doch dieses Thema hat Mike bereits in Beitrag »Digitaler Minimalismus: Ein Weg zu mehr Datenschutz und Zeit« ausführlich beleuchtet, weshalb wir dieses hochkomplexe u.a. technische, psychologische, soziologische usw. Thema hier nicht weiter vertiefen wollen.

5. Fazit

Mit dem F-Droid Store erhalten wir Zugriff auf FOSS-Apps, die uns als Alternative zu bekannten Apps dienen sollen. Insbesondere profitieren wir als kritischer Anwender von den freien und quelloffenen Anwendungen, die im F-Droid Store angeboten werden. Damit gelingt es uns, ein großes Stück Datenherrschaft auf unserem Smartphone zurückzuerlangen.

Im nächsten Teil der Artikelserie werden wir euch NetGuard vorstellen. Diese Firewall-App ist für unser Projekt äußerst wichtig, um den unkontrollierten Abfluss von Informationen unseres Android-System selbst und insbesondere der Apps aus dem Google Play Store zu minimieren.

Wie aufgezeigt werden wir als Anwender nämlich allzu häufig darüber im Unklaren gelassen, welche Informationen über uns gesammelt und zu welchen Zwecken diese Informationen, von wem alles verarbeitet werden. Daher ist ein Nutzer auch nicht in der Lage abzuschätzen, welche Auswirkungen die Datensammlungen auf sein Leben und seine Umwelt haben können.

Von vielen Nutzern werden deshalb die Risiken der anlasslosen Datenspeicherung nicht wahrgenommen oder schlicht und einfach verdrängt bzw. ignoriert.

Autoren:

Mike Kuketz
Gerald Spyra

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

65 Ergänzungen zu “F-Droid und App-Alternativen – Android unter Kontrolle Teil3”

  1. Comment Avatar Kurt sagt:

    Als Laie und regelmäßiger Leser fiel mir folgendes bei F-Droid auf: Der Download des Browsers „Fennec“ produziert die Meldungen „Diese Anwendung bewirbt nicht freie Erweiterungen“ sowie „Diese Anwendung verfolgt und versendet Ihre Aktivitäten“. Die gleichen Meldungen werden beim Firefox angezeigt und bei diesem zusätzlich „Der Originalcode ist nicht völlig frei“.

    • Comment Avatar Mike Kuketz sagt:

      Moin Kurt,

      auf der F-Droid Seite werden dazu oftmals Zusatzinformationen angeboten. Beispiel Fennec:
      [1] This app has the NonFreeAdd Antifeature.
      Meint: This Antifeature is applied to apps that, although Free Software themselves, promote other non-Free applications or plugins.
      Was könnte das bei Fennec sein? Diverse Firefox Plugins oder auch die voreingestellte Google Suchmaschine.

      [2] This app has the Tracking Antifeature.
      This Antifeature is applied to apps that track you and/or report your activity to somewhere, either without your permission or by default (i.e. you’d have to actively seek out an option to disable it).
      Was könnte das bei Fennec sein? Absturzberichte an Mozilla, automatische Prüfung der Plugins auf Updates (eigentlich gut, wird aber auch als eine Art Tracking definiert)

  2. Comment Avatar Anonymous sagt:

    Hallo Mike,
    vielen Dank für den klasse Blog-Beitrag.

    Ich finde neben der dargestellten Chance die f-Droid dem aufgeklärten Samrtphone Nutzer bietet, die Situation zum Yalp Store gut dargestellt.

    Falls jemand einen Account auf areamobile hat, würde mich die Beantwortung der Frage interessieren, wie das ist, wenn man per Google Play Store die App installiert und dann per Yalp aktuell hält. Wahrschlich ist das dann aber auch wieder eine Frage der Urheber-/Nutzungsrechte der jeweiligen App

    Eine Frage an die Comunity hätte ich, ob es eine FOSS-App für Email gibt, die die lokal gehaltenden Daten verschlüsselt (in einer Art Sandbox) und sich selber über ein eigendes Password schützt (so kenne ich es dienstlich durch die GOOD-App).?

    Ich halte den Emailzugriff auf dem Smartphone per App in teilen für kritisch, da hier m.E. die Gefahr bestehen könnte, dass Dritte Zugriff auf den Email-Account bekommen könnten und so ein Identitätsdiebstahl gemacht werden könnte. In der Regel kann man ja über seinen Email-Account Passwörter zu anderen Accounts neusorgen und …

    Gruß
    Jens

  3. Comment Avatar Anonymous sagt:

    Hallo Autoren,

    was ist bitte mit Orfox und Orbot? Ich dachte das ich mich nur so gut gegen Tracker schütze?!

    • Comment Avatar Mike Kuketz sagt:

      Die Kombination Orfox und Orbot ist eine gute Variante, um sich gegen Tracker zu schützen bzw. spurenarm zu Surfen. Orfox basiert auf Firefox und ist derzeit leider stark veraltet – die Version 1.2.1 ist vom 02.12.16. Momentan ist dies nicht empfehlenswert zu benutzen.

      Dennoch guter Hinweis, ich habe es schlichtweg vergessen.

  4. Comment Avatar Anonymous sagt:

    Für Podcast kann man sich noch AntennaPod anschauen. Funktioniert sehr gut.

  5. Comment Avatar Droide sagt:

    Nabend, also ich lese aus diesem Artikel:

    – nutzt F-Droid, dann bekommt ihr FOSS
    – aber ihr habt keine Garantie die aktuellen Versionen zu haben

    Sonst ist alles wie bei Google.

    Ist das eine korrekte Zusammenfassung? Wenn ja, dann sehe ich für mich keinen Vorteil gegenüber Google Play.

    • Comment Avatar Anonymous sagt:

      Man darf das Tracking über den Playstore und die Google-Dienste nicht unterschätzen. Man hinterlässt eine Menge Metadaten bei Google. Im Idealfall also alle Google Dienste boykottieren.
      Weiters spionieren die meisten nicht FOSS Apps im PlayStore den Nutzer aus.

  6. Comment Avatar noc.jfcbs sagt:

    Ein hervorragender Beitrag. Auch die Empfehlungen bezüglich der Applikationen ist sehr gut, und ich kann sie vollumfänglich unterstützen. Gerade im Zusammenspiel mit K9-Mail würde ich die List aber noch um „OpenKeychain“ ergänzen.
    Ich möchte jedoch nochmals unterstreichen, dass es auch im Google Play Store sehr viele gute Applikationen gibt, die die Privatsphäre achten. Wenn man nach dem Herunterladen und der Installation nicht direkt die Berechtigung erteilt, die Firewall passieren zu dürfen, kann man sich das Programm erst einmal mit „AppBrain Ad Detector“ anschauen und auch alle angefragten Berechtigungen überprüfen. Zur Not wird dann sofort wieder deinstalliert.
    Eine Email-Applikation – und ich beschränke mich jetzt ausschließlich auf solche, die kein Root benötigen – dabei ist z.B. „R2Mail2“ des Wiener Entwicklers Stefan Selbitschka, die bei mir K9-Mail ersetzt hat, da R2Mail2 anders als K9-Mail nicht nur PGP zur Signatur und Verschlüsselung unterstützt sondern auch S/MIME. Derzeit „pausiert“ die Entwicklung etwas, da sich Stefan im Vaterschaftsurlaub befindet und sich derzeit primär um die Familie kümmert.
    Eine hervorragende Applikation des Berliner Entwicklers Andreas Schildbach für den Personennahverkehr ist „Öffi„. Über Andreas‘ Homepage kann man sich auch verschiedene Versionen herunterladen, ferner gibt es ein eigenes F-Droid-Repo (oeffi.schildbach.de/fdroid/repo).
    Wie Ihr aber auch seht, schaue ich mir persönlich auch immer genau an, woher die Applikation kommt und wo z.B. die Server stehen, wenn eine Registrierung zwingend notwendig ist wie z.B. bei Signal als „Alternative“ zu Silence.
    Der Vollständigkeit halber sollte meines Erachtens als Quelle doch teilweise sehr guter und häufig auch quell-offener Applikationen XDA Developer genannt werden, das auch mittels der Applikation „XDA Labs“ (z.B. aus F-Droid) erreicht werden kann.

    • Comment Avatar Mike Kuketz sagt:

      Danke für dein Input noc.jfcbs.
      Entwickler wie Andreas Schildbach sind natürlich vorbildlich, wenn sie ihr eigenes F-Droid-Repo pflegen und darüber ihre App ausliefern. Das sollten unbedingt weitere Entwickler tun.

      Krypto auf dem Smartphone bzw. die Ablage des privaten Schlüssels (GnuPG, OpenPGP) halte ich persönlich für keine gute Idee. Deshalb würde ich Apps wie OpenKeychain nicht explizit empfehlen.

      • Comment Avatar Izzy sagt:

        die Ablage des privaten Schlüssels (GnuPG, OpenPGP) halte ich persönlich für keine gute Idee.

        Damit habe ich auch meine Bauchschmerzen – würde aber dennoch gern verschlüsselte Nachrichten auf meinem Smartphone lesen und verfassen können.

        Einen Zwischenweg beschreibt beispielsweise Use specific subkeys without master key on different device using GPG (bei Stack Exchange’s Security Stack). Kurz zusammengefasst: Auf dem PC hat man seinen „Master-Key“ – für das mobile Gerät exportiert man daraus lediglich zwei Sub-Keys. Werden diese dann etwa „kompromittiert“, erklärt man sie für ungültig („revoke“) – der Master-Schlüssel (und somit auch der gesammelte „Trust“) sind davon jedoch nicht betroffen.

        Die verlinkte Q&A dreht sich übrigens explizit um OpenKeyChain, passt also recht gut :)

      • Comment Avatar Blogleser sagt:

        Mmm … keine Krypto auf Smartphones?

        Wie macht Ihr das mit OMEMO z.B.? Da liegen doch auch Schlüssel auf dem Smartphone.

        • Comment Avatar Mike Kuketz sagt:

          Korrekt Blogleser. Allerdings hat der Weg über die E-Mail Kommunikation für mich nochmal einen ganz anderen Stellenwert, als über Messenger. Ein privater Schlüssel (GnuPG, OpenPGP) ist mir persönlich »heiliger«, als die Krypto-Keys für die Messenger. Wenn ich Krypto auf dem Smartphone einsetze, bspw. im Rahmen der Messenger, weiß ich: Das Gerät ist tendenziell eher als »unsicher« einzustufen. Heißt: Wirklich vertrauliche Kommunikation findet entweder unter 4 Augen statt oder zur Not -je nach Anlass- über verschlüsselte E-Mails.

          Conversations und Co. auf dem Smartphone eignen sich natürlich dennoch, für eine »sichere« und datenschutzfreundliche Kommunikation – auch vor dem Hintergrund der Massenüberwachung damit erstmal zu entgehen, gerade auch im Hinblick auf Metadaten.

      • Comment Avatar Rudi sagt:

        Man kann aber auch GPG via OpenKeychain einsetzen ohne dabei private Schlüssel zu gefährden. Entweder mit einem YubiKey NEO via NFC oder in dem man ausschließlich öffentliche Schlüssel auf dem Handy hat und nur Nachrichten absendet, das Lesen aber zu Hause am Desktop macht.

        • Comment Avatar Mike Kuketz sagt:

          Absolut richtig Rudi. Es gibt natürlich immer einen Weg bzw. »Mittelweg«. Grundsätzlich vertrete ich allerdings den Standpunkt, dass ein privater Schlüssel (GnuPG, OpenPGP) nichts auf dem Smartphone verloren hat.

  7. Comment Avatar Anonymous sagt:

    Hier ein paar App Empfehlungen

    -Die APP: ,,Applications Info “ zeigt alle Berechtigungen von Apps auf und protokolliert deren Verhalten ohne Rootrechte.

    – ,,Diskusage“ zeigt an was (Bilder, apps, usw.) wie viel Speicher belegt. Und zwar grafisch.

    – Für Nachteulen ist ,,red moon“ empfehlenswert

    – Mit den beiden Apps ,,Offline Calender“ und Calender-Import-Export“ kann man Karlendereinträge lokal und extern speichern (BACKUP)

  8. Comment Avatar fragesteller sagt:

    nextcloud und owncloud sind klar, aber welchen provider soll man benutzen? ein eigener server ist zwar schön und gut, aber wenn die wohnung brennt, dann sind keine daten mehr vorhanden.

    • Comment Avatar Mike Kuketz sagt:

      Es gibt diverse Hosting Anbieter. Habe ich direkt dahinter in den Klammern ergänzt.

      • Comment Avatar fragesteller sagt:

        danke für die rasche antwort. die anbieter sind alle vertrauenswürdig? die liste ist doch ziemlich lange und ich fragte mich, ob man hier jeden kontinentaleuropäischen anbieter wählen kann oder ob es hier „bessere“ und „schlechtere“ anbieter gibt. sollte man außer verschlüsselung und serverstandort noch etwas beachten?

        • Comment Avatar Mike Kuketz sagt:

          Es wird dir leider niemand die Frage beantworten können, ob all diese Anbieter vertrauenswürdig sind. Sie sind allerdings jeweils auf der offiziellen Liste der Projekte. Eventuell gibt es dort Aufnahmekriterien.

          Tipp: Deutschen Anbieter aussuchen.

        • Comment Avatar Anonymous sagt:

          AGB, Datenschutzerklärung lesen, Webbkoll und SSL Analyse machen, und Daten bei Upload zusätzlich verschlüsseln. Machste nichts falsch

          • Comment Avatar Mike Kuketz sagt:

            Ok möchte mich hier kurz einklinken – wir besprechen hier jetzt bitte nicht die Vertrauenswürdigkeit der Nextcloud oder ownCloud Anbieter. Das führt am Thema vorbei. Danke euch!

    • Comment Avatar Mike Kuketz sagt:

      Das wird im Beitrag ganz klar als Manko genannt:

      Im Gegensatz zum Google Play Store haben App-Entwickler im F-Droid Store praktisch keine Kontrolle / keinen Einfluss über den Release- und Update-Prozess ihrer App. Vielmehr sind sog. Maintainer für das Einstellen der Releases und Updates der Apps in den F-Droid Store verantwortlich. Falls der Maintainer also nachlässig ist oder gerade »verhindert« ist, kann dies zur Folge haben, dass im schlimmsten Falle auf bekanntgewordene Sicherheitslücken in Apps nicht zeitnah reagiert wird, obwohl der Entwickler diese bereits geschlossen hat.

      Und noch ergänzend:
      – Wenn Apps derart veraltet sind wie Orfox, dann sollten sie eigentlich aus F-Droid entfernt werden und der User eine Warnmeldung angezeigt bekommen, mit der Option die App zu deinstallieren
      – Gerade bei sicherheitskritischen Updates sollten die jeweiligen App-Maintainer mehr Verantwortung übernehmen bzw. schneller handeln. Bei Build-Problemen ist ebenso zu verfahren, wie bei veralteten Apps. Entfernen und User drauf hinweisen, bis die Updates zur Verfügung stehen.

      Im Grunde könnte F-Droid hier eine Vorreiterrolle einnehmen und zeigen, wie sich IT-Sicherheit und Datenschutz die Hände reichen. Leider sehe ich hier gerade wenig Bewegung bei den F-Droid Verantwortlichen.

  9. Comment Avatar Bruno sagt:

    Finde folgende apps nicht in Fdrod: Fennec, Firefox, vlc. Woher laden?
    Sind Repos für fdroid genauso zu empfehlen wie fdroid?
    Was haltet Ihr von IzzyOnDroid Repo?

    • Comment Avatar Mike Kuketz sagt:

      Wie unter Ziffer 2.4 beschrieben. Unter Einstellungen müssen weitere Paketquellen aktiviert werden – nämlich F-Droid Archive.

      Weitere Repos sind eine Vertrauensfrage. Izzy vertraue ich persönlich, also nutze ich auch sein IzzyOnDroid Archive. Letztendlich muss man das für sich selbst entscheiden.

  10. Comment Avatar neuroscope sagt:

    Ich verwende F-Droid schon mehr als ein Jahr und bin sehr zufrieden.
    Das Einbinden von externen F-Droid-Repos und das Downloaden über tor (Orbot) sind sehr nützliche Funktionen die andere Stores so nicht bieten.
    Die Apps tun wirklich nur das was sie sollen und fordern keine unnötigen Berechtigungen oder Daten.
    Das neue Design tut F-Droid definitiv gut, vor allem auch um den Store neuen Benutzern attraktiv zu machen.

    Paar kleine negative Punkte gibt es bei F-Droid auch:
    -Einige Open Source Android Apps sind nicht in F-Droid enthalten.
    -Es gibt viele alte Apps die aber schon neue Alternativen haben. ( Diesen Monat wurden zum Glück viele alte Apps in das Archiv verschoben.)
    -Alltägliche Apps wie zum Beispiel Sprachaufnahme oder Sticky Notes Widget sind seltener vorzufinden. (Sind erst 2016/17 in F-Droid aufgetaucht.) Dafür sind viele exotische Apps vorhanden.
    -Es gibt kein Rating oder Feedback. Ähnliche Apps müssen alle runter geladen und dann verglichen werden, um herauszufinden was einem zusagt.
    -Von der Auswahl der Spiele darf man nicht viel erwarten ;)

    Abgesehen dessen, gibt es einige tolle Apps die sich wirklich lohnen:
    Audio RecorderEine Aufnahme App mit vielen Audioformaten. Wird momentan sehr aktiv weiter entwickelt.
    OsmAndOnline/Offline Navi. Tracking Funktion auch für Sport, Standortnotizen uns vieles mehr.
    Omni Notes FOSSNotizen aller Art, Checklisten und Skizzen. Backup und Passwort Funktion. Hat außerdem ein tolles Widget.
    Open Camera
    und noch weitere die auch Mike erwähnt hat.
    Das durchstöbern lohnt sich.

    Der erste Weg sollte Open Source sein und wenn es da nichts erwünschtes gibt, dann eben proprietär.
    Im PlayStore sind natürlich auch Open Source Apps enthalten oder Apps die Datenschutzfreundlich sind, obwohl letztere wirklich kaum zu finden sind. Sobald eine App die Berechtigung für den Netzwerkzugriff in ihren Details aufweist, ist der Nutzen dieser App zu überdenken.

    Außerdem sammelt der PlayStore fleißig Daten und der Yalp Store oder Raccon sollten nicht mit dem echten Google Account verwendet werden, falls der Account geblockt wird und somit der Zugriff auf andere Google Produkte (aktives YouTube Konto) nicht mehr geht.

    Es gilt die Entwickler zu motivieren ihre Apps auch im F-Droid Store anzubieten und nicht wegen bisschen Einnahmen durch Werbung im PlayStore. Viele der Apps wurden mit dem Android Studio erstellt und der Code könnte einfach offengelegt werden.
    Umso mehr Dank gebührt den Open Source Entwicklern, der gerne durch eine Spende gezeigt werden kann.

    F-Droid Guthaben zum spenden, wäre eine nette Idee ;)

    • Comment Avatar Izzy sagt:

      @neuroscope:

      Es gibt kein Rating oder Feedback. Ähnliche Apps müssen alle runter geladen und dann verglichen werden, um herauszufinden was einem zusagt.

      Vorsicht, „shameless self-promotion“ im Anmarsch: Unter anderem aus diesem Grund (einfachere Vergleichbarkeit von Apps) habe ich in meinen App-Übersichten die Apps nicht nur nach ihrer Bewertung sortiert (wodurch dummerweise „F-Droid only Apps“ dank 0 Sternen und 0 Bewertungen immer am Ende der Liste landen), sondern auch – sofern ich etwas finden konnte – entsprechende Reviews, App-Vorstellungen, Demo-Videos etc. verlinkt. Das sollte einem so manche „Test-Installation“ sparen.

      Sogar das Anklicken mancher dieser Links erübrigt sich oftmals, wenn am Ende des Eintrags gleich eine ganze Kette von „Monitor-Icons“ auf eine Masse Privatsphäre-feindlicher Addons (siehe entsprechende Links im obigen Beitrag) verweist. Das passiert (sicher nicht in massiver Ausprägung) leider auch bei Apps aus meinem Repo (ja, ich bin IzzyOnDroid). Daher empfehle ich Euch bei dessen Verwendung, vor Installation einer App deren Seite in meinem Repo mit dem Web-Browser zu besuchen: Die Details zu enthaltenen Bibliotheken sowie die Ergebnisse der Scans mit VirusTotal werden im F-Droid Client nämlich leider nicht angezeigt (technische Hürde).

      Also auch mein Repo bitte „mit kritischem Blick“ benutzen: Weder habe ich alle Apps selbst ausprobiert, noch gar selbst kompiliert. Gebe aber mein Bestes, sie möglichst objektiv und detailliert zu „beleuchten“. Und habe immer ein offenes Ohr für Kritik, Vorschläge etc. :)

      • Comment Avatar Olga sagt:

        Block This bei Izzy via Repo über Fdroid installiert…. Will Zugriff auf Telefon… Ein Adblocker… VPN mäßig. Datenschutz beim Hersteller? Trackt selbst sogar meine IMEI und was geht. Izzy, hast Du dem auf den Zahn gefühlt, bevor es Dein Tipp bei Schnüffel-Module in Apps: Das können Sie tun wurde? Oder war das noch ne alte Version?

        • Comment Avatar Izzy sagt:

          Olga, wenn ich jeder App erst „auf den Zahn fühlen“ würde, bevor ich sie ins Repo aufnehme, wären da jetzt vielleicht eine Hand voll Apps drin, maximal. Der details Link gibt Dir eine Übersicht, was ich prüfe. Ich kann es zeitlich einfach nicht schaffen, jede App selbst zu installieren und „alle Level durchzuspielen“. Immer daran denken: Ich werde dafür nicht bezahlt, ich mache das in meiner Freizeit. Und die ist leider begrenzt :)

          Block!This möchte in der Tat Zugriff auf READ_PHONE_STATE. Das liegt bei den meisten Apps daran, dass in der entsprechenden Entwickler-Doku drin steht man bräuchte das, um sich bei eingehenden Anrufen in den Hintergrund zu begeben (also die Annahme und das Führen von eingehenden Telefongesprächen nicht zu behindern). Genau das wird auch i.d.R. als Grund angegeben, wenn man fragt. Stimmt so nicht ganz: Es gibt dafür auch andere Möglichkeiten. Die sind aber in der „offiziellen Doku“ nicht einmal erwähnt.

          In dubio pro reo gehe ich davon aus, dass es sich bei Block!This genau darum handelt. Wie sinnvoll das ist, steht auf einem anderen Blatt: Ein AdBlocker sollte ja eigentlich generell im Hintergrund agieren (also Telefonaten gar nicht in den Weg kommen). Ich habe dafür mal ein Issue in deren Bugtracker erstellt.

          Danke für den Hinweis!

          Leider gibt es im Bereich „AdBlocker ohne root“ nicht gerade viel Auswahl. Und wenn Du Dir die Alternativen anschaust wirst Du wissen, warum ich gerade Block!This vorgeschlagen habe. Dummerweise gilt in dem Bereich das jüdische Sprichwort: „Alles was schmeckt ist entweder nicht koscher – oder es macht dick.“ (übertragen: braucht root … ist proprietär und/oder will zu viele Permissions).

        • Comment Avatar Izzy sagt:

          PS: Tolle Sache, der Entwickler von Block!This hat bereits reagiert. Sinngemäß übersetzt: „Ich dachte, das hätte ich schon längst entfernt. Ist wahrscheinlich ein Rückstand von etwas, das ich einmal ausprobiert habe – wird aber m.W. nicht mehr benötigt. Werde mich darum kümmern.“ Ich denke, beim nächsten Update ist das weg.

          Fazit: Nachfragen schadet nicht, und kritische Augen sind gut. Nochmal Danke also an Olga für den Adlerblick :)

          • Comment Avatar Hans sagt:

            BlockThis! Datenverkehr läuft über Amazon. Da weiß man, was man hat. … Statt Google Datenkrake hat man Amazon.

            Könntet Ihr das bitte checken? Danke!

          • Comment Avatar Mike Kuketz sagt:

            Wir prüfen die App an dieser Stelle nicht – ich werde sie auch nicht offiziell empfehlen. Weitere Fragen, Hinweise oder Beschwerden bitte direkt beim Entwickler auf der GitHub-Seite.

            Danke für euer Verständnis.

  11. Comment Avatar Anonymous sagt:

    Bin total neu bei Andoid, habe Lineage auf das Gerät installiert (stolz) und bitte um einen Tipp, wie ich Apps wieder restlos deinstalliere. Bei Windows bleiben Reste im System. Ist das bei Android / Lineage auch so? Gibt es eine Art Ccleaner als FOSS?
    Brauche ich bei Lineage eigentlich auch Alternativen aus FDroid oder sind die Apps von Lineage was Datenschutz angeht genauso gut?

    • Comment Avatar Mike Kuketz sagt:

      Windows ist nicht Linux. Windows ist auch nicht Android. Und Android ist auch nicht Linux (nur ganz entfernt). ;-)

      Genug der Wortspiele. Du brauchst eigentlich keinen Cleaner, wie du ihn von Windows kennst.
      Und die Apps aus F-Droid ergänzen die Apps aus LineageOS, die du aber auch nutzen kannst. In F-Droid findest du eben noch mehr bzw. weitere Alternativen.

    • Comment Avatar woodchuck sagt:

      @Anonymous: Glückwunsch zum Jungfern-Flash deines Geräts! Code-Schnipsel bleiben auch schon mal beim Deinstallieren von Android-Apps zurück, sind aber, wie Mike schon gesagt hat, unproblematisch. Falls sie dich aus ästhetischen Gründen fuchsen, deinstalliere Apps mit Oandbackup. (Ist, wie der Name schon andeutet, eigentlich eine Backup-App, erfasst als solche aber alle Abhängigkeiten.)

  12. Comment Avatar Duffy Duck sagt:

    Hallo Mike,

    erst einmal herzlichen Dank für Euren unermüdlichen Einsatz auf diesen Webseiten.

    Nicht zuletzt aufgrund Deiner Empfehlungen sind jetzt mein Smartphone und mein Tablet komplett(?) Google-frei. Ich habe auch den Ratschlag beherzigt, den F-Droid-Store zu nutzen. Daneben manchmal noch Uptodown, wenn es gar nicht anders geht.
    Allerdings habe ich mit den FOSS-Apps so meine Probleme. Ich bin jetzt nicht der Computerfreak, aber ein gewisses technisches Verständnis schreibe ich mir dann doch zu.
    Trotzdem habe ich z.B. noch keinen Ersatz für die Android-eigene Galerie gefunden, der nicht erhebliche Probleme bei der Darstellung von Bildern hat oder gleich abstürzt. Bei der ÖPNV-App dasselbe, bei Kalenderapps lassen sich manche Termine nicht darstellen, beim Musicplayer Abstürze und, und, und … Ich will auf keinen Fall den Einsatz der Entwickler in Frage stellen, aber es fällt schon schwer, mit dem Umstieg auf das LineageOS und auf den F-Droid wirklich zufrieden zu sein.
    Es würde mich interessieren, ob andere Nutzer ähnliche Probleme haben.

    Trotz allem: ich bleibe am Ball, da mir meine Privatsphäre über alles geht.

    Mike mach‘ weiter so!!!!!!!!!

    • Comment Avatar Fluffy Suck sagt:

      Schon Fossify Gallery getestet? Läuft wunderbar.
      Beim Umstellen auf CustomRom + F-Droid hatte ich bis jetzt keine Schwierigkeiten gehabt.

      Wenn viele Apps abstürzen, dann scheint deine Hardware oder die Software irgendwelche Fehler zu haben.
      Wurde offizielles LineageOs installiert? Verwendest du einen anderen Kernel?
      Sonst Logcat überprüfen und schauen was alles so im RAM läuft.
      Mit AnotherMonitor aus F-Droid lässt sich das schon leicht überprüfen.

    • Comment Avatar Mike Kuketz sagt:

      Das klingt für mich eher wie ein Soft- oder Hardwarefehler. Eventuell versuchst du es mal mit einem anderen Nightly-Build, falls du LineageOS verwendest.

      Kleiner Hinweis: An dieser Stelle werden wir die »Problemsuche« bitte auch beenden. Thema des Beitrags ist F-Droid. Danke für euer Verständnis!

  13. Comment Avatar Bruno sagt:

    Würde gern die Vollversion der AFWall+ kaufen, ohne den G Playstore benutzen zu müssen. Da Ihr schon mit dem anderen Firewallhersteller in Kontakt treten wollt, bitte auch dort klopfen…

  14. Comment Avatar Twingo sagt:

    Bin jetzt auch auf Lineage, danke Mike, dass Du auch blutigen Anfängern Wege aufzeigst, aus den Fangarmen der Google-Krake zu entkommen….
    Wenn ich nun etliche Einstellungen in Lineage setze und F-Droid-Apps lade, diese wiederum konfiguriere, erhalte ich ein (halbweg sicheres) System.
    Was soll ich tun, wenn dann ein neues Update-Rom auf mein Gerät raus kommt? Fange ich dann nach dem Aufspielen mit dem Konfigurieren und Hardening von vorne an?
    Ich würde mir da eine Art Backup wünschen. Gibt es das in F-Droid auch? Woanders? Wo?
    Und die ganzen SMS, Firewall-Einstellungen, Emails… Grusel…

    Und:
    In Lineagekalender ist wohl der Google-Kalender. Wird zumindest bei mir angezeigt. Hab keine Lust auf Google. Kann ich also die Kalender App von Lineage benutzen oder muss ich Etar installieren? Danke!

    • Comment Avatar Anonymous sagt:

      Bei einem Lineage Update in TWRP brauchst du eigentlich nur Cache und Dalvik Cache löschen. In dem Fall verlierst du keine Daten. (man kann auch zusätzlich die System Partition wipen)
      Auf keinen Fall solltest du die Datenpartition wipen oder einen Factory Reset durchführen dann sind deine Daten futsch.
      Somit brauchst du nicht von vorne anfangen. Bei größeren Updates LineageOS 14 auf das kommende 15 (Android O) ist es eine Überlegung wert einen sogenannten Cleanen Flash zu setzten und vor der Installation alles über TWRP zu wipen.

      Als Backuplösung gibt es ein Nandroidbackup in TWRP und oandbackup aus dem Fdroid Store. Das Nandroidbackup sichert alle Partitionen des Systems bis auf den internen Speicher (musst du also zusätzlich noch deine Dateien runterkopieren). Nachteil dabei ist dass du nicht gezielt Daten widerherstellen kannst, sondern nur das gesamte System falls etwas schiefgelaufen ist. Das ganze kann man auch über die Konsole am rechner mittels adb erledigen.
      Die andere Variante bei der Apps und die Appdaten gesichert werden ist oandbackup. Damit kannst du einzelne Apps inklusive den in den Apps enthaltenen Daten (vorsicht es gibt vereinzelt Apps bei denen sich der Appinhalt nicht sichern lässt) sichern. Nachteil dabei: benötigt Root-Rechte.

      Du kannst den AOSP Kalender aus Lineage oder auch Etar verwenden. Gibt bei beiden jedoch eine kleine Hürde. Unter Android kann man out of the box keinen Offline Kalender anlegen, weder mit dem Lineage AOSP Kalender noch mit Etar. Du hast 2 Möglichkeiten:
      1. offline Kalender: gaukelt dem Kalender eine Cloud vor. Daten bleiben lokal am Phone. Lässt sich jedoch nicht mit oandbackup sichern.
      2. selbst gehostete Cloud und Synchronisation mit DAVdroid

      • Comment Avatar Izzy sagt:

        Nachteil dabei ist dass du nicht gezielt Daten widerherstellen kannst, sondern nur das gesamte System falls etwas schiefgelaufen ist.

        Stimmt so nicht ganz. Einige Apps (z.B. Titanium Backup) können aus einem Nandroid-Backup auch einzelne Apps/Dateien wieder herstellen.

        Vor einem „Clean Flash“ sollte man immer ein Nandroid-Backup machen (wenn das neue ROM nix taugt, kommt man damit am bequemsten auf den vorigen Stand zurück). Ich mache i.d.R. beides: Einzelne App-Backups via ADB (mein Adebar erstellt mir dafür die nötigen Skripte, sodass auch das „automatisch“ erfolgt – ohne dass ich bei jeder App das Backup einzeln bestätigen muss); diese Backups nutze ich, um die einzelnen Apps samt ihrer Daten auf dem neuen ROM wieder herzustellen. Das Nandroid ist nur als Fallback (musste ich noch nie wieder herstellen – der Bedarf käme aber garantiert, wenn ich es einmal weglasse; Murphy halt). Die System-Einstellungen gehe ich bei einem neuen ROM ohnehin von Hand durch – allein schon um zu schauen, was dazu/weg gekommen ist ;)

        • Comment Avatar Wichtel sagt:

          Finde Titanium Backup nicht in F-Droid. Ist das FOSS und wo bekomme ich das her?

          „Adebar“ und „adb“ … von Izzy klingt kompliziert – gibt es dafür eine GUI und möglichst deutsche Beschreibung für Anfänger?

        • Comment Avatar Schneewittchen sagt:

          Bevorzuge FOSS aus F-Droid. Frage:
          Wenn ich dann ein Backup meiner APPs habe, die mit OandBackup oder BARIA auf einer SD-Karte sind. Muss ich die nach dem Restore dann manuell pflegen / updaten?

          Oder erkennt F-Droid, die nach dem Restore und ich kann dann per Repository vom F-Droid aktuelle Updates erhalten?

          Sonst kann ich meine Backups eigentlich auf die Daten beschränken und muss immer wieder vom F-Droid alles neu aufsetzen…

  15. Comment Avatar intodarkness sagt:

    Die Beschreibung des Telegram beispiels ist nicht gänzlich korrekt, der Telegram-FOSS client der über f-droid verteilt wird wird von ein paar leuten „entwickelt“ die nicht wirklich etwas mit dem f-droid team zutun haben. Also app-maintainer von Apps in f-droid sind nicht zwingend auch bei f-droid selber weiter involviert. Trotzdem schöner Artikel für neulinge :-)

  16. Comment Avatar Burgerbling sagt:

    Würdet Ihr folgende Apps aus F-Droid / Repos empfehlen?

    – Wi-Fi Privacy Police (be.uhasselt.privacypolice)
    – LocationPrivacy (info.guardianproject.locitionprivacy)
    – TWRP (me.twrp.twrpapp)

  17. Comment Avatar ewu sagt:

    Hallo
    Vorweg auch Danke von meiner Seite für den Artikel.
    Was mir im neuen F-Droid Seiten Design aufgefallen ist das es auf der Seite Text keine Suche mehr gibt.
    Das finde ich einen großen Rückschritt und sehr bedauerlich. So kann man nicht mal schnell im Browser auf dem Desktop nachschauen ob es eine APP auch in F-Droid gibt.

    Weiß jemand warum das deaktiviert wurde?

    Weiterhin habe ich festgestellt das viele der Links zu APPs die hier im Beitrag gesetzt wurden nicht aufgerufen werden können.

    Liegt das am neuen Design der F-Droid Seite oder wird das nur hier bei mir geblockt?

    • Comment Avatar Mike Kuketz sagt:

      Die Suche wird gerade neu implementiert – kann etwas dauern, bis die Suche wieder geht bzw. die Links im Artikel.

      • Comment Avatar ewu sagt:

        Schön, das die Suche wiederkommt. War schon am Zweifeln was der Sinn wäre die suche abzuschaffen.

        Noch eine Frage zu F-Droid.
        Man kann ja dort Spenden.
        Auf der Hauptseite werden Bankdaten angezeigt.
        Wenn man aber auf die Unterseite einer App geht auch.
        Für was werden die Spenden verwendet?
        Geht das an die Betreiber von F-Droid oder auf der Unterseite an den App Entwickler?

  18. Comment Avatar Superbingo sagt:

    Braucht man eigentlich noch einen Werbe-Blocker, wenn man uBlockOrigin und Firefox nutzt ?

    Oder gibt es noch Werbung in Apps, die man irgendwie anders blocken sollte?

    Installiert man nur aus F-Droid, sollte doch eh keine Werbung mehr erscheinen?

    Suche noch ’ne Repo, die mir Firefox aktuell hält. Musste ihn manuell per APK installieren. Oder aktualsiert der sich selbst wie bei Windows?

    • Comment Avatar Mike Kuketz sagt:

      Wenn du nur Apps über F-Droid beziehst brauchst du neben dem Werbeblocker im Browser keinen Weiteren. Wir werden im Zusammenhang mit dem nächsten Artikel aber nochmal auf die Thematik der Webeblocker eingehen.

      Anstatt Firefox – nimm Fennec aus F-Droid.

  19. Comment Avatar Gregor sagt:

    Hallo Mike,

    super Beitrag, hoffentlich findet er auch viele Leser, die sich bisher nicht oder kaum mit dieser Problematik auseinandergesetzt haben. Ein Hinweis: Sämtliche Links der Apps zu F-Droid funktionieren leider nicht (mehr?).

    • Comment Avatar Andronymous sagt:

      Es gibt mehrere F-Droid Repos. „F-Droid Archive“ ist kein altes Archiv, in dem angestaubte Software liegt, sondern steht neben dem F-Droid Repo, was standardmäßig aktiv ist. Wenn Du „F-Droid Archive“ als Paketquelle (= „Repositoy“) hinzufügst, dann klappt es.

  20. Comment Avatar Adonis sagt:

    Gibt es so etwas wie Libre Office für Android? Habe mein Gerät mit Lineage befreit und vermisse eine Tabellenkalkulation, ein Schreibprogramm und etwas wie Inkscape. Soll möglichst FOSS sein.

  21. Comment Avatar Anonymous sagt:

    Gibt es für das Moto G5 eine LineageOS Version oder ein alternatives CustomROM? Unter https://download.lineageos.org kann ich hierzu nichts finden. Ist ein CustomROM Voraussetzung für ein „sicheres“ Smartphone, da das Betriebssystem die Basis, abgesehen von der Hardware, darstellt? Bietet mir F-Droid auch mit dem Stock-ROM mehr Datenschutz, als wenn ich den Play Store benutze oder können die Daten weiterhin abgeschnorchelt werden, wenn ich kein CustomROM verwende?

    • Comment Avatar Mike Kuketz sagt:

      Ist ein CustomROM Voraussetzung für ein „sicheres“ Smartphone, da das Betriebssystem die Basis, abgesehen von der Hardware, darstellt?

      Siehe Beitrag 2. Kurz: Nein ist es nicht, sofern das Stock-ROM auf aktuellem Patch-Stand ist.

      Bietet mir F-Droid auch mit dem Stock-ROM mehr Datenschutz, als wenn ich den Play Store benutze oder können die Daten weiterhin abgeschnorchelt werden, wenn ich kein CustomROM verwende?

      Ja, denn die meisten Apps aus dem Play Store sind die reinsten »Datenstaubsauger« – wie auch im Artikel aufgezeigt. Dennoch werden beim Stock-ROM insgesamt mehr Daten, insbesondere von Google, aber meist auch vom Hersteller selbst, »abgeschnorchelt«. Das kann man mit einem Custom-ROM umgehen.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.