Mastodon IzzyOnDroid


Say thanks!
↓ Your product here? ↓
Das Inoffizielle Android-HandbuchAndroid kennenlernen, Tipps & TricksDas Inoffizielle Android-Handbuch
Android kennenlernen, Tipps & Tricks
Für EUR 16,99 bei Amazon kaufen
Das Inoffizielle Android SystemhandbuchTiefer ins System einsteigenDas Inoffizielle Android Systemhandbuch
Tiefer ins System einsteigen
Für EUR 7,00 bei Amazon kaufen
Die besten Android-AppsDen Androiden austattenDie besten Android-Apps
Den Androiden austatten
Für EUR 5,00 bei Amazon kaufen
 
enhelp

F-Droid: Die Privatsphäre-freundliche Alternative zum Google Play Store

AndroidLoadingFDroid
Android Loading … F-Droid
© William Theaker (CC-BY-SA);
Android Reboot (combined by Izzy)

Im Google Play Store finden sich Millionen von Apps. Doch man benötigt ein Konto, um diese nutzen zu können. Das ermöglicht der „omnipräsenten Datenkrake“, weitere Informationen über seine Nutzer zu sammeln; um die Privatsphäre ist es damit nicht sonderlich gut bestellt. Ganz zu schweigen von all den Trackern, die in über zwei Dritteln der Apps dort integriert sind. F-Droid bietet dazu eine Alternative, die die Privatsphäre seiner Nutzer respektiert – und es sich sogar zur Aufgabe gemacht hat, sie zu schützen.

In dieser Serie:

weitere F-Droid Artikel bei IzzyOnDroid:

Was ist F-Droid?

F-Droid ist ein alternativer „App-Store“. Ähnlich wie beim Google Play Store lassen sich hier Apps erkunden und auf das Smartphone installieren. Es gibt eine Website, die man mit dem Browser aufsuchen kann – und auch einen Client (eine App) für das Smartphone, die sich um Installation sowie Aktualisierungen von Apps kümmert.

Anders als beim Google Play Store benötigt man bei F-Droid kein Konto: der Zugriff erfolgt „anonym“, lediglich die IP-Adresse wird an den Server übermittelt1 (anders wäre auch kein Download möglich) – somit lässt sich selbst eine Alterskontrolle nicht realisieren; wobei ich bei F-Droid auch noch keine App gesehen habe, die das nötig machen würde. Es ist daher auch keine Möglichkeit vorgesehen, eine solche Filterung vorzunehmen. Sämtliche Interaktionen finden lokal im Client statt: Suchen, Anzeigen der Details einer App – das alles geschieht über einen zuvor vom Serever synchronisierten Index verfügbarer Apps. Nur Icons und Screenshots werden „live“ vom Server geladen.

Anders als Google verdient F-Droid sein Geld nicht mit Werbung, und ist somit auch nicht zwanghaft an allen Nutzer-Daten interessiert – es werden daher auch keine Daten erfasst; nicht einmal die Logs des Web-Servers werden archiviert, sondern regelmäßig gelöscht. Hinter dem „App-Store“ steht die gemeinnützige Organisation F-Droid Limited. Desweiteren finden sich bei F-Droid nur freie Apps: FOSS, d. h. Free (keine Kosten, keine Einschränkungen) und Open Source (der Quellcode ist frei verfügbar und einsehbar) Software – „Bezahl-Apps“ wird man hier vergeblich suchen. Oft kann man die Entwickler jedoch mit einer Spende unterstützen – und somit zum Weitermachen motivieren.

Wie steht es um die Sicherheit?

Man hört es oft genug: Seine Apps soll man sich ausschließlich im Google Play Store besorgen, nur da sei die Sicherheit gegeben. Doch das ist zu einem guten Teil „Google PR“. Natürlich sollte man zur App-Installation nicht auf wildfremde Quellen (Webseiten, Tauschbörsen) zurückgreifen. Doch es gibt durchaus andere sichere Quellen. Aus meiner Sicht ist F-Droid sogar weitaus sicherer – und Sicherheitsexperte Mike Kuketz empfiehlt sogar, den Google Play Store zu meiden und auf Alternativen wie F-Droid umzusteigen.

Bei F-Droid durchlaufen Apps eine Sicherheitskontrolle: Da der Quellcode jeder App offen liegen muss, damit diese in F-Droid aufgenommen wird, kann dieser auch zuvor gesichtet werden. Finden sich dort „proprietäre Elemente“ (Bestandteile, deren Quellcode nicht offen liegt), oder die Privatsphäre missachtende Bestandteile (z. B. Tracker wie Google Analytics bzw. verschiedene Werbe-Module), wird die App gar nicht aufgenommen. Hat eine App die Prüfung bestanden, wird sie vom F-Droid Team aus dem geprüften Quellcode erstellt und signiert – sodass man sicher sein kann, dass auch wirklich das Geprüfte dort zu finden ist.

Die Prüfung des Quellcodes findet in mehreren Stufen statt. So gibt es automatisierte Prozesse, welche den eingereichten Code auf „unerwünschte Bestandteile“ untersuchen – was sowohl Negativ-Listen (unerlaubte Bibliotheken) als auch Positiv-Listen (fremde Bestandteile wie Bibliotheken dürfen nur von definierten, vertrauenswürdigen Quellen importiert werden) einschließt. Selbst wenn diese eine App als „clean“ markieren, erfolgt die finale Freigabe immer erst durch einen Maintainer. Dass dieses Prinzip gut funktioniert, zeigt unter anderem eine Studie vom September 2017: Als einzige Plattform ohne jegliche Adware- und Malware-Funde steht F-Droid da – während z. B. dem Google Play Store ca. 2% Malware nachgewiesen wurden.

Kleiner Nebeneffekt: Da die Apps somit keinen unnötigen Ballast in Form von Trackern und Werbemodulen mitbringen, gehen sie auch wesentlich schonender mit den Resourcen des Smartphones um: Der Akku hält länger durch, und der Datenverbrauch ist deutlich reduziert. Einer Studie zufolge verbrauchen nämlich die mit Trackern und Werbung verseuchten Apps bis zu 75% der Resourcen nur für´s Tracken und Werben.

Ein weiteres Argument für die Sicherheit der Plattform ist, dass Sicherheits-Überprüfungen (so genannte „Audits“) von externen Experten durchgeführt werden – die bislang bestätigten, dass das Kernsicherheitsmodell und die Standardoperationen solide sind.

Wie ist es um die App-Auswahl bestellt?

Da F-Droid ausschließlich auf quelloffene Software setzt, und selbst die Verwendung proprietärer Bibliotheken in Apps nicht erlaubt, sind die meisten Apps aus dem Playstore hier nicht zu finden: Die wenigsten Entwickler sind bereit, den Code ihrer App entsprechend anzupassen oder auch generell freizugeben. Auch ist die Anzahl verfügbarer Apps mit ca. 2.000 wesentlich geringer als im Playstore. Dennoch gibt es für fast jedes Einsatzgebiet eine passende App – und manche davon ausschließlich bei F-Droid. Prominente Beispiele:

Was tun, wenn Probleme auftreten?

Sollte einmal etwas nicht wie erwartet funktionieren, kann man direkt mit dem F-Droid Team in Kontakt treten:

Hier handelt es sich nicht um „automatische Formulare“, nach deren Ausfüllen man (vielleicht) eine automatische Antwort erhält – sondern man kommt in direkten Kontakt mit den Mitgliedern des F-Droid Teams. Auch helfen sich Anwender dort untereinander.

Bei Problemen mit einer von F-Droid installierten App gilt es hingegen, mit dem jeweiligen Entwickler Kontakt aufzunehmen. Sowohl auf der Website als auch in der F-Droid App finden sich entsprechende Links bei der jeweiligen App vermerkt; meist handelt es sich dabei um „Issue Tracker“ im jeweiligen Github- bzw. GitLab Repository der App.

Wie bekomme ich F-Droid auf mein Smartphone?

In den seltensten Fällen ist die F-Droid App bereits vorinstalliert – etwa auf den Geräten der deutschen Firma SHIFT, oder bei einem Fairphone mit dem Fairphone Open OS. Technisch versiertere Anwender finden es auch in einigen „custom ROMs“ (angepasster Firmware) wie Replicant, CopperheadOS oder LineageOS for microG; außerdem gibt es generische ROMs für Geräte, die Android Treble unterstützen. Wer eines dieser Systeme nutzt, kann das Folgende überspringen. Alle anderen müssen selbst Hand anlegen.

Voraussetzungen

Hier gäbe es nur eines zu nennen: Der Anwender muss auf seinem Smartphone die „Installation von Apps aus unbekannten Quellen” zulassen; von Haus aus akzeptiert Android nämlich nur den Google Play Store. Diese Freischaltung wird oft als riesiges Sicherheitsrisiko beschrieben – was jedoch eine starke Übertreibung ist: Der Anwender muss noch immer die Installation von Apps manuell bestätigen. Details sind u. a. bei MobilSicher beschrieben.

Bis einschließlich Android Version 7 („Nougat“) gilt dieser Schalter global. Ab Android 8 verschwindet dann auch das kleine Risiko: Man kann diese Funktion nun auch für einzelne Apps freischalten – in unserem Falle also ausschließlich für F-Droid, damit dieses dann auch Apps installieren kann.

Installation

Wer technisch versiert ist nimmt die Abkürzung: Die APK-Datei2 von der F-Droid Homepage herunterladen, und mit adb install org.fdroid.*.apk auf den Androiden installieren. Fertig. Wem das nichts sagt, der nutzt folgende Anleitung:

unbekannte Quellen unbekannte Quellen (Warnhinweis) Download Button Download Bestätigung Benachrichtigungs-Bereich Installer
F-Droid Installation: unbekannte Quellen (1+2), Download der APK Datei (3+4), Installation (Screenshots zum Vergrößern anklicken)

Nachdem „unbekannte Quellen“ freigeschaltet hat3, öffnet man auf dem Androiden den Web-Browser und ruft die F-Droid Homepage unter https://f-droid.org/ auf. Dort findet sich ein blauer, mit „Download F-Droid“ beschrifteter Button, den man betätigt. Um sicher zu stellen, dass der Anwender nicht versehentlich auf den Button getippt hat, fragt Android daraufhin um Bestätigung. Ist der Download abgeschlossen (erkennbar am kleinen Download-Pfeil in der Nachrichtenleiste, der dann nicht mehr blinkt) öffnet man den Benachrichtigungsbereich (durch Herunterziehen der Nachrichtenleiste) und tippt einmal auf den Eintrag des Download-Managers welcher besagt: „FDroid.apk Download abgeschlossen“.

Dies öffnet nun den im Android System verankerten Installer – der den Anwender fragt, ob diese App installiert werden soll – was es natürlich zu bestätigen gilt. Ist die Installation abgeschlossen, lässt sich die App durch Betätigung des „Öffnen“ Buttons auch sogleich starten.

Erster Start: Einrichtung und Verwendung

Nach dem ersten Start wird man zunächst mit dem Hinweis begrüßt: „Paketquellen werden aktualisiert“. Wie eingangs beschrieben, verwendet die App ja einen „lokalen Index verfügbarer Apps“, den es sich zunächst einmal vom Server laden muss – wobei etwa 1 MB an Daten anfällt. Ist dieser Vorgang abgeschlossen, wird eine Liste aktueller Apps angezeigt. Nicht wundern, wenn zunächst allen Apps das gleiche graue (F-Droid) Icon zugewiesen ist: Die eigentlichen Icons müssen auch erst noch geladen werden, und werden wenig später sichtbar.

Durchstöbern des Katalogs

Kategorien
F-Droid Kategorien

Um passende Apps zu finden, kann man jetzt natürlich durch die gesamte Liste scrollen – was bei ca. 2.000 Apps etwas mühsam sein dürfte. Weiß man schon, was man sucht, so hilft die „schwebende Lupe“ weiter: Suchbegriff eingeben, und die Liste wird entsprechend gefiltert.

Eine Alternative bieten die Kategorien, die man über das zugehörige Icon (unten, zweites von Links) erreicht. Um zu sehen, welche Apps man bereits von F-Droid installiert hat, muss man (leicht verwirrend) in die Einstellungen gehen – über das Icon ganz rechts, „Optionen“.

Einstellungen

Die Einstellungen („Optionen“) haben eigentlich gute Standardwerte; für den „normalen Anwender“ gibt es hier wenig bis gar nichts zu korrigieren. Aber gut zu wissen, dass man es bei Bedarf kann. Die meisten Punkte sind selbsterklärend, daher greife ich hier nur einige heraus:

F-Droid Einstellungen F-Droid Einstellungen F-Droid Einstellungen F-Droid Einstellungen F-Droid Einstellungen
F-Droid Einstellungen (Screenshots zum Vergrößern anklicken)

Aktualisierungen

Wie läuft es denn mit den Updates? Der Playstore macht sowas ja automatisch. Und F-Droid?

In den Einstellungen haben wir den Punkt „Aktualisierungen“ ja bereits gesehen: Im eingestellten Intervall (standardmäßig täglich einmal) wird der aktuelle Index heruntergeladen, und lokal abgeglichen. Werden Updates gefunden (einschließlich für die F-Droid App selbst), wird dem Anwender dies auch mitgeteilt (Benachrichtigung). Je nach Einstellung wird auch das Update selbst bereits heruntergeladen, sodass die Installation schnell von statten gehen kann. Je nach Einstellung geschieht das nur im WLAN, oder auch bei mobiler Datenverbindung – und lässt sich bei Bedarf auch komplett abschalten.

Sofern die F-Droid App jedoch nicht bereits im System vorinstalliert war, sondern von Hand installiert wurde, darf sie keine Updates automatisch installieren – dies ist aus Sicherheitsgründen „System-Apps“ vorbehalten. Ein späterer Teil dieser Artikel-Serie, der sich an technisch versiertere Anwender richtet, wird eine „Korrektur-Möglichkeit“ zeigen.

Apps Tauschen

Diese Funktion ermöglicht es, mit anderen F-Droid Benutzern Apps auszutauschen. Diese Apps müssen nicht zwangsläufig über F-Droid installiert sein: alle lokal installierten Apps stehen für den Tausch zur Verfügung. Erreichbar ist dieses Feature über das mittlere Icon, welches mit „Nah“ beschriftet ist. Und keine Angst: Das Gegenüber sieht dabei nicht alle lokal installierten Apps – es ist kein „Holen“, sondern ein „Senden“.

„Wer braucht denn sowas?“ Das ist nicht nur im Urlaub für die Vermeidung von Roaming-Kosten interessant. In manchen Gegenden ist das Internet, euphemistisch ausgedrückt, „etwas wackelig“ – und wenn überhaupt verfügbar, unheimlich teuer. Ein Beispiel dafür wäre Kuba, wo F-Droid sein Repository auf diese Weise verteilt. Auch ist es manchmal einfacher, eine App einfach zu teilen – um sie nicht erst lange suchen zu müssen. Oder wenn man Apps auf ein neues Gerät mitnehmen möchte – wobei die Daten allerdings auf der Strecke blieben.

F-Droid Swap F-Droid Swap F-Droid Swap F-Droid Swap F-Droid Swap F-Droid Swap
F-Droid App-Swap aka „Apps Tauschen“: Auf dem Quell-Gerät werden Apps freigegeben (3), die das Zielgerät installieren kann (Screenshots zum Vergrößern anklicken)

Fazit

Im Vergleich zum Google Play Store ist die Anzahl an Apps bei F-Droid zwar recht überschaubar – das Wichtigste lässt sich allerdings auch hier finden. Zusammenfassend ließe sich sagen: „Ein kleiner Schritt für die App Auswahl – aber ein großer Schritt für die Privatsphäre“. Und in punkto Sicherheit steht F-Droid keinesfalls hinten an. Auch das Smartphone belohnt seinen Nutzer hier Dank fehlender Tracker- und Werbemodule mit längerer Akku-Laufzeit und geringerem Datenverbrauch. Außerdem hat man bei eventuellen Problemen echte menschliche Ansprechpartner, und keine Bots. Eine klare Empfehlung!

appsmarketsprivacy


  1. sie wird dort aber nicht „gespeichert“: Server Logs werden nicht archiviert ↩︎

  2. Die Abkürzung „APK“ steht für „Android PacKage“ und bezeichnet ein Archivformat, welches für die Verbreitung und Installation von Android Apps verwendet wird. Aus technischer Sicht handelt es sich dabei um eine ZIP Datei mit spezieller Struktur, wie sie in der Englischen Wikipedia beschrieben ist.
    Sowohl im F-Droid Repository als auch in anderen Android App Stores liegen die Apps in diesem Format vor, und werden von den jeweiligen Clients in diesem Format heruntergeladen und installiert. ↩︎

  3. für F-Droid kann der Warnhinweis guten Gewissens bestätigt werden: wie gezeigt, handelt es sich hier um eine sichere Quelle. Wer Bedenken hat, schaltet die „unbekannten Quellen“ nach der Installation wieder aus – muss dann aber ggf. vor jeder Installation einer App aus F-Droid wieder Hand anlegen. Unter Android 8 und höher gibt man „unbekannte Quellen“ ausschließlich für F-Droid frei, und muss sich somit keine Sorgen mehr machen. ↩︎

2018-12-16