Android Markets: Wie sicher sind alternative Quellen?
Stimmt es wirklich: Ist der neue Avira App Store der einzige, der 100% sicher ist? Oder war das nicht der Google Play Store? Sind alle anderen App-Quellen automatisch “unsicher”, “Viren-verseucht”, und mit Malware bestückt?
Die meisten Android Anwender kennen nur den Google Playstore als App-Quelle. Von anderen “Märkten” haben sie oftmals nur “gehört” (und meist nichts Gutes). Zeit, mit Unklarheiten, Gerüchten, Halbwahrheiten, und Kaderwelsch ein wenig aufzuräumen. In diesem Artikel möchte ich eine kleine Auswahl an “Marktplätzen” für Android-Apps kurz vorstellen. Dabei konzentriere ich mich auf solche, die auch entsprechende Sicherheitsmaßnahmen getroffen haben (wobei ich natürlich nicht auf alle eingehen kann). Soviel gleich vorweg: Nein, Avira ist beileibe nicht der einzige App-Store, der alle Inhalte auf Schädlingsbefall prüft.
Google Play Store
Beginnen wir einmal mit dem bekanntesten Kandidaten: Über eine Million Apps finden sich im Google Play Store, der damit definitiv als umfangreichste Quelle gelten kann. Masse heißt jedoch nicht unbedingt Klasse – und so finden sich hier auch zuhauf “Apps, die die Welt nicht braucht”. Aber selbst wenn man die ganzen “sexy Wallpaper”, “Designer-Uhren” (teilweise zu wundersamen Preisen in mehrfacher Ausfertigung, sich nur durch das Hintergrundbild voneinander unterscheidend), und ähnliche Apps fragwürdigen Nutzens1 großzügig abzieht, dürfte noch immer eine halbe Million (halbwegs) interessanter Kandidaten übrig bleiben. Bei der schieren Masse haben es die Mitbewerber schwer, mitzuhalten. Hinzu kommt, dass die zugehörige Playstore-App auf fast allen Android-Geräten vorinstalliert ist, und natürlich auch nahezu jeder Entwickler seine Apps im Playstore unterbringen möchte. Das gibt dem Ganzen eine gewisse Monopol-Stellung.
Und wie steht es bei Google Play um die Sicherheit? Als größter Anbieter muss Google hier natürlich Vorkehrungen treffen. Details dazu liefert etwa die englische Wikipedia-Seite: Der Türsteher nennt sich hier “Bouncer”, und soll allein im ersten Halbjahr 2011 das Malware-Aufkommen um ca. 40% gesenkt haben. Diese Zahl zeigt zeitgleich, dass noch ein großer Teil übrig bleibt – der größte Marktplatz ist natürlich auch die erste Anlaufstelle für diejenigen, die schädliche Apps in Umlauf bringen wollen. Sich darauf zu verlassen, dass Google da schon für Sicherheit sorgt, ist daher ziemlich blauäugig.
Auch im Google Play Store muss der Anwender also selbst ein Auge darauf haben, was er sich installiert. Er kann Google jedoch dabei unterstützen, den Store zu säubern. So beschreibt die Google Hilfe u. a., wie man unangemessene Apps melden kann. Bei einer einzigen Meldung wird sicher nicht viel passieren, dennoch empfiehlt sich im “Schadensfall” dieser Schritt: Wird eine App von ausreichend vielen Anwendern gemeldet, sollte Google auch tätig werden. Dass eine App dann aus dem Store entfernt wird, ist kein Einzelfall.
Derartige “Rauswürfe” beschränken sich im Playstore jedoch nicht ausschließlich auf Apps, die dem Anwender schaden. So beschreiben die Richtlinien des Playstore auch andere Arten unzulässiger Inhalte, etwa explizit sexuelles Material, Glücksspiel-Apps, oder solche, die gewerbliche Schutzrechte verletzen. Allerdings verschwinden Apps gelegentlich auch dann, wenn sie nicht ganz “im Sinne Googles” agieren: So wurden beispielsweise im Frühjahr 2013 sämtliche Ad-Blocker verbannt. Ebenfalls unerwünscht sind Apps zur Nutzung anderer Stores, da diese Googles Geschäft natürlich abträglich sind: Apps für den Zugriff auf die Stores von Amazon, AndroidPIT, oder Samsung sucht man hier also vergeblich.
F-Droid
F-Droid ist so ziemlich das Gegenteil zum Playstore. Mit derzeit knapp 1.200 Apps handelt es sich um den kleinsten in diesem Artikel vorgestellten “Marktplatz”, der sich jedoch in anderer Sicht stark hervortut: Hier finden sich ausschließlich Open Source Apps. Die dahinter stehende non-profit Organisation F-Droid Limited pflegt das Haupt-Repository aktiv und sorgt dafür, dass es sauber bleibt. Dies geht soweit, dass man die Apps aus dem (inspizierten) Quellcode selbst kompiliert:
F-Droid is a non-profit volunteer project. Although every effort is made to ensure that everything in the repository is safe to install, you use it AT YOUR OWN RISK. Wherever possible, applications in the repository are built from source, and that source code is checked for potential security or privacy issues. This checking is far from exhaustive though, and there are no guarantees.
Zwar wird eingeschränkt, dass die Untersuchung des Quellcodes nicht unbedingt “erschöpfend gründlich” sei (“far from exhaustive”), und darauf verwiesen, dass die Nutzung “auf eigene Gefahr” geschieht (“at your own risk”) – doch da es sich, wie bereits erwähnt, ausschließlich um Open Source handelt, kann prinzipiell jeder selbigen prüfen. Insbesondere bei den häufiger “gefragten” Apps dürfte das auch passieren. Überdies ist die Anzahl der Apps hier recht überschaubar, sodass auch die “grobe Prüfung” tiefgreifender sein dürfte als im Playstore. Um in das Haupt-Repository aufgenommen zu werden, muss eine App bestimmte Kriterien erfüllen. Geprüft wird u. a., ob sie Werbung enthält oder den Endnutzer trackt.2
Das Wort "Haupt-Repository" legt bereits nahe, dass es wohl noch weitere Repositories geben muss – und dem ist auch so. Jeder kann hier ein solches anlegen, und seine Apps darüber anbieten. Ein Beispiel dafür ist etwa das Guardian-Project, bekannt für seine Aktivitäten im Bereich verschlüsselter Übertragungen (Orbot, ChatSecure).
Anders als beim Playstore gibt es bei F-Droid übrigens kein Bewertungs-System für Apps; dafür ist die Nutzung des “Stores” gratis und ohne Registrierung möglich. Weitere Details zu F-Droid finden sich u. a. bei Wikipedia.
Aptoide
Auch Aptoide wird als Open Source entwickelt3. Wie bereits bei F-Droid beschrieben, gibt es hier ebenfalls mehrere Repositories – wesentlich mehr sogar, die Zahl geht in die Hunderttausender4. Bei weit über 100.000 Apps bewegt man sich hier überdies auf die Größenordnung des Playstore zu. Wie bei selbigem, findet sich bei Aptoide auch wieder ein Bewertungssystem für Apps.
Und wie steht es bei diesem “Marktplatz” um die Sicherheit? Dazu war im Netz kaum etwas zu finden – weshalb ich mich direkt an den Support gewendet habe. Und schon am nächsten Tag ausführlich Antwort bekam: Von Paulo Trezentos, einem der Gründer persönlich!5 Nach einem kurzen, aber intensiven Mail-Austausch, in dessen Verlauf Paulo auf meine noch offenen Fragen einging, habe ich meine Erkenntnisse wiederum bei Stack Exchange auf Englisch zusammengetragen6 – und gebe das hier, kurz und komprimiert, auf Deutsch wieder:
Analog zu F-Droid gibt es auch bei Aptoide ein “Kern-Repository”, welches manuell gepflegt wird (auf dieses verweisen auch die entsprechenden App-Links aus den Übersichten). Auf alle verbundenen Repositories wird ein regelrechtes Prüfungs-Komitee losgelassen: Drei verschiedene Malware-Scanner laufen regelmäßig über neu bereitgestellte .apk
Dateien. Darüber hinaus wird die Signatur mit der auf anderen Marktplätzen (etwa Google Play) verglichen, sofern der Entwickler der zugehörigen App diese dort ebenfalls bereitstellt. Weiterhin gibt es einen “Chain of Trust” (zu Deutsch etwa mit "Vertauenskette" übersetzbar) analog zu PGP/GPG (oder DNS Security, bei dem Entwickler ihre Schlüssel gegenseitig signieren. Da selbst das keine 100%ige Sicherheit bietet, kann man – wie im Playstore auch – Apps melden: Als “Gut”, “Lizenz fehlt”, “Fake”, “verursacht Freeze”, oder “Malware”. Der “aktuelle Status” wird durch einen “Schild” signalisiert: Ein grünes “Trusted” (wie rechts im Bild) bedeutet, es wurden keine Unstimmigkeiten gefunden. Ein gelbes “Warning” hingegen signalisiert, dass etwas “im Argen liegt” – was genau das ist, lässt sich durch Anzeige der erweiterten Details bei “Klick” auf den zugehörigen Link (im Bild: “Show”) ermitteln.7
Aus meiner Sicht lässt dies darauf schließen, dass bei Aptoide zumindest das “Haupt-Repository” (welches sich treffenderweise übrigens “Apps store” nennt) genau so sicher ist, wie Googles Playstore – vielleicht sogar sicherer. Malware taucht natürlich hin und wieder in beiden auf. Und die berüchtigten “Black Markets”, von denen im Zusammenhang mit Aptoide so gern geredet wird, finden sich definitiv nicht in diesem, händisch vom Aptoide-Team gepflegten Repository.
Bei Aptoide kann jeder sein eigenes Repository einrichten. Dieses Angebot richtet sich nicht nur an Entwickler, sondern auch an den ganz normalen Anwender. So ermöglicht es eine App namens Aptoide Backup Apps, installierte Apps automatisch in das eigene Repository hochzuladen. Der Name suggeriert bereits den Sinn: Selbst wenn die App überall sonst verschwinden sollte, hat man damit für eine Neuinstallation ein Backup zur Hand. Außerdem lassen sie sich so auch auf anderen Geräten schneller finden, sollte man mehrere Androiden sein Eigen nennen.8
Weitere Märkte
Natürlich gibt es noch eine ganze Reihe weiterer “Marktplätze”. Zumindest zu zwei weiteren Stellen wird ja auch aus den Übersichten hier verlinkt: AppBrain und AndroidPIT . Warum gehe ich auf diese nicht näher ein, bzw. was liegt obiger Auswahl zugrunde?
Sowohl für F-Droid als auch Aptoide gilt: Die zugehörige “Market-App“ ist Open Source, benötigt kein zusätzliches “Framework”, und ebensowenig einen eigenen “Lizenz-Dienst”. Sollte man sich also irgendwann entscheiden, die jeweilige “Market-App” zu deinstallieren, laufen damit zuvor installierte Apps dennoch ganz normal weiter. Das sieht bei anderen Märkten häufig nicht so aus:
- AppBrain ist lediglich ein alternatives Front-End zum Zugriff auf den Google Play store. Dieses bietet zwar etliche Vorteile (auf die ich evtl. in einem separaten Artikel einmal eingehen werde), aber nicht wirklich einen alternativen Marktplatz. Für die Installation von Apps braucht es dann überdies doch wieder die Playstore App.
- AndroidPIT betreibt zwar tatsächlich einen “alternativen Marktplatz”. Der bietet allerdings fast ausnahmslos nur Apps an, die es auch im Playstore gibt. Und da Entwickler ihre Apps hier separat selbst pflegen müssen, auch nur einen Bruchteil davon. Hinzu kommt, dass für Kauf-Apps ein eigener Lizenz-Dienst in der AndroidPIT App (genannt App Center) verankert ist. Will man sich also von letzterer App wieder trennen, darf man auch den dort gekauften Apps “Tschüß sagen”. Fairerweise sei angemerkt, dass dies für die meisten im Playstore gekauften Apps genau so gilt.
Die Namen der weiteren Marktplätze für Android Apps sind scheinbar Legion, und ich kann sie hier nicht wirklich alle vorstellen. Fast ausnahmslos fallen sie in eine der beiden vorgenannten Rubriken (abgesehen von den “Black Markets”, die ich naturgemäß nicht zur Diskussion stellen möchte): Entweder greifen sie, wie AppBrain, lediglich auf den Playstore zurück – oder bringen (wie etwa der Amazon App Store) ihr eigenes Lizenz-System mit. Wer sich dennoch eine Übersicht verschaffen möchte, sei auf folgende Links verwiesen:
- Stack Exchange: What are the alternative Android app markets? (EN) benennt eine ganze Reihe weiterer Märkte. Ausführlich vorgestellt werden u. a. AppBrain, F-Droid, AndroidPIT, und Aptoide
- Stack Exchange:
alternative-markets
tag-wiki (EN) - Bei Wikipedia gibt es eine Auflistung von Google Play Alternativen (DE)
-
Einer Studie zufolge sind etwa ein Viertel aller Apps im Playstore einfach nur Clones anderer Apps. Nicht nur im Aussehen, auch im Code. ↩︎
-
Wikipedia: Google Play Alternativen (DE) ↩︎
-
Interessantes Detail: F-Droid ist ein Fork des Aptoide-Projekts ↩︎
-
Laut Wikipedia gab es bei Aptoide im Juli 2013 350.000 Stores, die insgesamt etwa 120.000 verschiedene Apps anboten ↩︎
-
Da ich die Frage wenige Tage vor meiner Support-Mail bereits bei Stack Exchange gepostet, und den Link dorthin auch in meiner Mail erwähnt hatte, hat Paulo sich die Mühe gemacht, an beiden Stellen zu antworten. Der englische Original-Text findet sich hier: How safe is it to use Aptoide? ↩︎
-
Beschreibung von Aptoide bei Stack Exchange zur Frage: What are the alternative Android app markets? ↩︎
-
Es gibt übrigens noch einen dritten, roten Schild – den der “normale Anwender” allerdings nie zu Gesicht bekommen sollte: Bei diesem wurden die “Unstimmigkeiten” zur Gewissheit, dass es sich um Malware, Verletzungen von Copyrights, o. ä. handelt. Eine solche App wird vom Aptoide-Team sofort aus dem Repository entfernt. ↩︎
-
Bonus-Punkt: Da, wie erwähnt, Aptoide und F-Droid von der verwendeten Software eng verwandt sind, überlegt man bei Aptoide, die eigene App für den Zugriff auf die Repositories auch für die Nutzung mit F-Droid kompatibel zu machen. Eine großartige Idee, da man sich somit eine App sparen kann ↩︎