F-Droid: Die Privatsphäre-freundliche Alternative zum Google Play Store
Im Google Play Store finden sich Millionen von Apps. Doch man benötigt ein Konto, um diese nutzen zu können. Das ermöglicht der „omnipräsenten Datenkrake“, weitere Informationen über seine Nutzer zu sammeln; um die Privatsphäre ist es damit nicht sonderlich gut bestellt. Ganz zu schweigen von all den Trackern, die in über zwei Dritteln der Apps dort integriert sind. F-Droid bietet dazu eine Alternative, die die Privatsphäre seiner Nutzer respektiert – und es sich sogar zur Aufgabe gemacht hat, sie zu schützen.
In dieser Serie:
- Teil 1: Die Privatsphäre-freundliche Alternative zum Google Play Store
- Teil 2: für fortgeschrittene Anwender und für Entwickler
- Teil 3: Eigenes Repository mit Repomaker erstellen und verwalten
- Teil 4 (extern, von Nico Alt): Vertrauen ist gut, Kontrolle ist besser: Reproduzierbarkeit bei F-Droid
weitere F-Droid Artikel bei IzzyOnDroid:
- IzzyOnDroid’s F-Droid Repo mit zusätzlicher Funktionalität (1/2018)
- Inoffizielle (und unvollständige) Liste mit F-Droid Repositories (regelmäßig aktualisiert)
Was ist F-Droid?
F-Droid ist ein alternativer „App-Store“. Ähnlich wie beim Google Play Store lassen sich hier Apps erkunden und auf das Smartphone installieren. Es gibt eine Website, die man mit dem Browser aufsuchen kann – und auch einen Client (eine App) für das Smartphone, die sich um Installation sowie Aktualisierungen von Apps kümmert.
Anders als beim Google Play Store benötigt man bei F-Droid kein Konto: der Zugriff erfolgt „anonym“, lediglich die IP-Adresse wird an den Server übermittelt1 (anders wäre auch kein Download möglich) – somit lässt sich selbst eine Alterskontrolle nicht realisieren; wobei ich bei F-Droid auch noch keine App gesehen habe, die das nötig machen würde. Es ist daher auch keine Möglichkeit vorgesehen, eine solche Filterung vorzunehmen. Sämtliche Interaktionen finden lokal im Client statt: Suchen, Anzeigen der Details einer App – das alles geschieht über einen zuvor vom Serever synchronisierten Index verfügbarer Apps. Nur Icons und Screenshots werden „live“ vom Server geladen.
Anders als Google verdient F-Droid sein Geld nicht mit Werbung, und ist somit auch nicht zwanghaft an allen Nutzer-Daten interessiert – es werden daher auch keine Daten erfasst; nicht einmal die Logs des Web-Servers werden archiviert, sondern regelmäßig gelöscht. Hinter dem „App-Store“ steht die gemeinnützige Organisation F-Droid Limited. Desweiteren finden sich bei F-Droid nur freie Apps: FOSS, d. h. Free (keine Kosten, keine Einschränkungen, volle Freiheit für den Anwender) und Open Source (der Quellcode ist frei verfügbar und einsehbar; eine Bedingung für genannte „volle Freiheit“) Software – „Bezahl-Apps“ wird man hier vergeblich suchen. Oft kann man die Entwickler jedoch mit einer Spende unterstützen – und somit zum Weitermachen motivieren.
Wie steht es um die Sicherheit?
Man hört es oft genug: Seine Apps soll man sich ausschließlich im Google Play Store besorgen, nur da sei die Sicherheit gegeben. Doch das ist zu einem guten Teil „Google PR“. Natürlich sollte man zur App-Installation nicht auf wildfremde Quellen (Webseiten, Tauschbörsen) zurückgreifen. Doch es gibt durchaus andere sichere Quellen. Aus meiner Sicht ist F-Droid sogar weitaus sicherer – und Sicherheitsexperte Mike Kuketz empfiehlt sogar, den Google Play Store zu meiden und auf Alternativen wie F-Droid umzusteigen.
Bei F-Droid durchlaufen Apps eine Sicherheitskontrolle: Da der Quellcode jeder App offen liegen muss, damit diese in F-Droid aufgenommen wird, kann dieser auch zuvor gesichtet werden. Finden sich dort „proprietäre Elemente“ (Bestandteile, deren Quellcode nicht offen liegt), oder die Privatsphäre missachtende Bestandteile (z. B. Tracker wie Google Analytics bzw. verschiedene Werbe-Module), wird die App gar nicht aufgenommen. Hat eine App die Prüfung bestanden, wird sie vom F-Droid Team aus dem geprüften Quellcode erstellt und signiert – sodass man sicher sein kann, dass auch wirklich das Geprüfte dort zu finden ist.
Die Prüfung des Quellcodes findet in mehreren Stufen statt. So gibt es automatisierte Prozesse, welche den eingereichten Code auf „unerwünschte Bestandteile“ untersuchen – was sowohl Negativ-Listen (unerlaubte Bibliotheken) als auch Positiv-Listen (fremde Bestandteile wie Bibliotheken dürfen nur von definierten, vertrauenswürdigen Quellen importiert werden) einschließt. Selbst wenn diese eine App als „clean“ markieren, erfolgt die finale Freigabe immer erst durch einen Maintainer. Dass dieses Prinzip gut funktioniert, zeigt unter anderem eine Studie vom September 2017: Als einzige Plattform ohne jegliche Adware- und Malware-Funde steht F-Droid da – während z. B. dem Google Play Store ca. 2% Malware nachgewiesen wurden.
Kleiner Nebeneffekt: Da die Apps somit keinen unnötigen Ballast in Form von Trackern und Werbemodulen mitbringen, gehen sie auch wesentlich schonender mit den Resourcen des Smartphones um: Der Akku hält länger durch, und der Datenverbrauch ist deutlich reduziert. Einer Studie zufolge verbrauchen nämlich die mit Trackern und Werbung verseuchten Apps bis zu 75% der Resourcen nur für´s Tracken und Werben.
Ein weiteres Argument für die Sicherheit der Plattform ist, dass Sicherheits-Überprüfungen (so genannte „Audits“) von externen Experten durchgeführt werden – die bislang bestätigten, dass das Kernsicherheitsmodell und die Standardoperationen solide sind.
Wie ist es um die App-Auswahl bestellt?
Da F-Droid ausschließlich auf quelloffene Software setzt, und selbst die Verwendung proprietärer Bibliotheken in Apps nicht erlaubt, sind die meisten Apps aus dem Playstore hier nicht zu finden: Die wenigsten Entwickler sind bereit, den Code ihrer App entsprechend anzupassen oder auch generell freizugeben. Auch ist die Anzahl verfügbarer Apps mit ca. 2.000 wesentlich geringer als im Playstore. Dennoch gibt es für fast jedes Einsatzgebiet eine passende App – und manche davon ausschließlich bei F-Droid. Prominente Beispiele:
- Navigation: OSMAnd~ (im Playstore kostenpflichtig), Maps (eine freie Variante von Maps.Me)
- Verkehr: Oeffi, Transportr – beide für Verbindungen im öffentlichen Nahverkehr
- Mail: K-9 Mail, Tutanota, FairEmail
- Internet: Firefox Klar, Fennec, Nextcloud, DAVDroid, AdAway, Net Monitor
- Messengers: Silence (verschlüsselte SMS/MMS), Conversations (XMPP), Riot
- Dateimanager: Amaze, AnExplorerPro, Ghost Commander
- Office: Markor (Notepad mit Markdown Unterstützung und mehr), LibreOffice Viewer
- Social: Tusky, Mastalab (Mastodon); twitlatte
- Media: NewPipe, SkyTube (YouTube Clients); AntennaPod (Podcasts)
- Bildbetrachter: A Photo Manager, Camera Roll
- Fotos machen: FineGeotag, Open Camera
- Smartwatches & Fitnesstracker: GadgetBridge (siehe auch Smartwatches und Privatsphäre)
Was tun, wenn Probleme auftreten?
Sollte einmal etwas nicht wie erwartet funktionieren, kann man direkt mit dem F-Droid Team in Kontakt treten:
- Generell: Im IRC (Internet Relay Chat) auf Freenode.Net im Channel
#fdroid
; im F-Droid Forum - Probleme mit der F-Droid Android App: Im Issue-Tracker des Android Clients auf GitLab
- Probleme mit der F-Droid Website: Im Issue-Tracker der F-Droid Website auf GitLab
- Fehlende Apps vorschlagen: Im Issue-Tracker „Requests for Packaging“
Hier handelt es sich nicht um „automatische Formulare“, nach deren Ausfüllen man (vielleicht) eine automatische Antwort erhält – sondern man kommt in direkten Kontakt mit den Mitgliedern des F-Droid Teams. Auch helfen sich Anwender dort untereinander.
Bei Problemen mit einer von F-Droid installierten App gilt es hingegen, mit dem jeweiligen Entwickler Kontakt aufzunehmen. Sowohl auf der Website als auch in der F-Droid App finden sich entsprechende Links bei der jeweiligen App vermerkt; meist handelt es sich dabei um „Issue Tracker“ im jeweiligen Github- bzw. GitLab Repository der App.
Wie bekomme ich F-Droid auf mein Smartphone?
In den seltensten Fällen ist die F-Droid App bereits vorinstalliert – etwa auf den Geräten der deutschen Firma SHIFT, oder bei einem Fairphone mit dem Fairphone Open OS. Technisch versiertere Anwender finden es auch in einigen „custom ROMs“ (angepasster Firmware) wie Replicant, CopperheadOS oder LineageOS for microG; außerdem gibt es generische ROMs für Geräte, die Android Treble unterstützen. Wer eines dieser Systeme nutzt, kann das Folgende überspringen. Alle anderen müssen selbst Hand anlegen.
Voraussetzungen
Hier gäbe es nur eines zu nennen: Der Anwender muss auf seinem Smartphone die „Installation von Apps aus unbekannten Quellen” zulassen; von Haus aus akzeptiert Android nämlich nur den Google Play Store. Diese Freischaltung wird oft als riesiges Sicherheitsrisiko beschrieben – was jedoch eine starke Übertreibung ist: Der Anwender muss noch immer die Installation von Apps manuell bestätigen. Details sind u. a. bei MobilSicher beschrieben.
Bis einschließlich Android Version 7 („Nougat“) gilt dieser Schalter global. Ab Android 8 verschwindet dann auch das kleine Risiko: Man kann diese Funktion nun auch für einzelne Apps freischalten – in unserem Falle also ausschließlich für F-Droid, damit dieses dann auch Apps installieren kann.
Installation
Wer technisch versiert ist nimmt die Abkürzung: Die APK-Datei2 von der F-Droid Homepage herunterladen, und mit adb install org.fdroid.*.apk
auf den Androiden installieren. Fertig. Wem das nichts sagt, der nutzt folgende Anleitung:
Nachdem „unbekannte Quellen“ freigeschaltet hat3, öffnet man auf dem Androiden den Web-Browser und ruft die F-Droid Homepage unter https://f-droid.org/ auf. Dort findet sich ein blauer, mit „Download F-Droid“ beschrifteter Button, den man betätigt. Um sicher zu stellen, dass der Anwender nicht versehentlich auf den Button getippt hat, fragt Android daraufhin um Bestätigung. Ist der Download abgeschlossen (erkennbar am kleinen Download-Pfeil in der Nachrichtenleiste, der dann nicht mehr blinkt) öffnet man den Benachrichtigungsbereich (durch Herunterziehen der Nachrichtenleiste) und tippt einmal auf den Eintrag des Download-Managers welcher besagt: „FDroid.apk Download abgeschlossen“.
Dies öffnet nun den im Android System verankerten Installer – der den Anwender fragt, ob diese App installiert werden soll – was es natürlich zu bestätigen gilt. Ist die Installation abgeschlossen, lässt sich die App durch Betätigung des „Öffnen“ Buttons auch sogleich starten.
Erster Start: Einrichtung und Verwendung
Nach dem ersten Start wird man zunächst mit dem Hinweis begrüßt: „Paketquellen werden aktualisiert“. Wie eingangs beschrieben, verwendet die App ja einen „lokalen Index verfügbarer Apps“, den es sich zunächst einmal vom Server laden muss – wobei etwa 1 MB an Daten anfällt. Ist dieser Vorgang abgeschlossen, wird eine Liste aktueller Apps angezeigt. Nicht wundern, wenn zunächst allen Apps das gleiche graue (F-Droid) Icon zugewiesen ist: Die eigentlichen Icons müssen auch erst noch geladen werden, und werden wenig später sichtbar.
Durchstöbern des Katalogs
Um passende Apps zu finden, kann man jetzt natürlich durch die gesamte Liste scrollen – was bei ca. 2.000 Apps etwas mühsam sein dürfte. Weiß man schon, was man sucht, so hilft die „schwebende Lupe“ weiter: Suchbegriff eingeben, und die Liste wird entsprechend gefiltert.
Eine Alternative bieten die Kategorien, die man über das zugehörige Icon (unten, zweites von Links) erreicht. Um zu sehen, welche Apps man bereits von F-Droid installiert hat, muss man (leicht verwirrend) in die Einstellungen gehen – über das Icon ganz rechts, „Optionen“.
Einstellungen
Die Einstellungen („Optionen“) haben eigentlich gute Standardwerte; für den „normalen Anwender“ gibt es hier wenig bis gar nichts zu korrigieren. Aber gut zu wissen, dass man es bei Bedarf kann. Die meisten Punkte sind selbsterklärend, daher greife ich hier nur einige heraus:
- Installierte Anwendungen verwalten: Hier findet man die Apps, die man von F-Droid installiert hat – und kann sie ggf. auch wieder deinstallieren.
- Paketquellen: Für Fortgeschrittene, und daher im nächsten Teil dieses Artikels. Nur soviel: Neben dem „offiziellen Repo“ lassen sich auch noch weitere App-Quellen einbinden.
- Aktualisierungen: In der Standard-Einstellung wird die mobile Internetverbindung nur benutzt, wenn man aktiv eine App installiert/aktualisiert; alles andere (z. B. Index-Aktualisierung) findet nur über WLAN statt. Wer einen unlimitierten Datenplan hat, schiebt den „Mobilfunk“ Regler ganz nach rechts, und deaktiviert damit diese Einschränkung.
- Inkompatible Versionen einbeziehen: Normalerweise uninteressant, da man diese ohnehin nicht installieren kann. Könnte allerdings hilfreich sein, wenn man für jemanden anderes etwas sucht – oder wissen will, ob eine bestimmte App überhaupt bei F-Droid verfügbar ist.
- Anti-Feature-Apps einbeziehen: Möchte man nur „absolut koschere Apps“ sehen, lässt man diesen Schalter aus – und sieht damit auch weniger Apps. Schaltet man dieses Feature frei, werden die „Anti-Features“ bei den jeweiligen Apps allerdings auch ausgewiesen und erklärt. Zum Beispiel, dass sie „unfreie Dienste bewirbt“ (wenn sie, wie beispielsweise die App Yalp Store, für den Zugriff auf den Google Play Store gedacht ist. Oder aber höchstwahrscheinlich keine Updates mehr erhalten wird, weil der Quellcode nicht mehr frei verfügbar ist bzw. das Projekt eingestellt wurde. Eine Liste verwendeter Anti-Features findet sich im F-Droid Wiki.
- Name Ihrer lokalen Paketquelle: Wie das eigene Gerät beim „Apps Tauschen“ auf der Gegenseite angezeigt wird
- Notfallknopf-Einstellungen: Über eine App wie Ripple lassen sich „Notfall-Aktionen“ auslösen: Hat man beispielsweise bei der Einreise in die USA brisante Daten auf dem Gerät und sieht, dass die Behörden gerade wieder Geräte zur Durchsuchung einsammeln, kann mit einer kurzen Aktion „alles Nötige“ veranlassen. Die F-Droid App bietet dafür an, sich zu verstecken.
Aktualisierungen
Wie läuft es denn mit den Updates? Der Playstore macht sowas ja automatisch. Und F-Droid?
In den Einstellungen haben wir den Punkt „Aktualisierungen“ ja bereits gesehen: Im eingestellten Intervall (standardmäßig täglich einmal) wird der aktuelle Index heruntergeladen, und lokal abgeglichen. Werden Updates gefunden (einschließlich für die F-Droid App selbst), wird dem Anwender dies auch mitgeteilt (Benachrichtigung). Je nach Einstellung wird auch das Update selbst bereits heruntergeladen, sodass die Installation schnell von statten gehen kann. Je nach Einstellung geschieht das nur im WLAN, oder auch bei mobiler Datenverbindung – und lässt sich bei Bedarf auch komplett abschalten.
Sofern die F-Droid App jedoch nicht bereits im System vorinstalliert war, sondern von Hand installiert wurde, darf sie keine Updates automatisch installieren – dies ist aus Sicherheitsgründen „System-Apps“ vorbehalten. Ein späterer Teil dieser Artikel-Serie, der sich an technisch versiertere Anwender richtet, wird eine „Korrektur-Möglichkeit“ zeigen.
Apps Tauschen
Diese Funktion ermöglicht es, mit anderen F-Droid Benutzern Apps auszutauschen. Diese Apps müssen nicht zwangsläufig über F-Droid installiert sein: alle lokal installierten Apps stehen für den Tausch zur Verfügung. Erreichbar ist dieses Feature über das mittlere Icon, welches mit „Nah“ beschriftet ist. Und keine Angst: Das Gegenüber sieht dabei nicht alle lokal installierten Apps – es ist kein „Holen“, sondern ein „Senden“.
„Wer braucht denn sowas?“ Das ist nicht nur im Urlaub für die Vermeidung von Roaming-Kosten interessant. In manchen Gegenden ist das Internet, euphemistisch ausgedrückt, „etwas wackelig“ – und wenn überhaupt verfügbar, unheimlich teuer. Ein Beispiel dafür wäre Kuba, wo F-Droid sein Repository auf diese Weise verteilt. Auch ist es manchmal einfacher, eine App einfach zu teilen – um sie nicht erst lange suchen zu müssen. Oder wenn man Apps auf ein neues Gerät mitnehmen möchte – wobei die Daten allerdings auf der Strecke blieben.
Fazit
Im Vergleich zum Google Play Store ist die Anzahl an Apps bei F-Droid zwar recht überschaubar – das Wichtigste lässt sich allerdings auch hier finden. Zusammenfassend ließe sich sagen: „Ein kleiner Schritt für die App Auswahl – aber ein großer Schritt für die Privatsphäre“. Und in punkto Sicherheit steht F-Droid keinesfalls hinten an. Auch das Smartphone belohnt seinen Nutzer hier Dank fehlender Tracker- und Werbemodule mit längerer Akku-Laufzeit und geringerem Datenverbrauch. Außerdem hat man bei eventuellen Problemen echte menschliche Ansprechpartner, und keine Bots. Eine klare Empfehlung!
-
sie wird dort aber nicht „gespeichert“: Server Logs werden nicht archiviert ↩︎
-
Die Abkürzung „APK“ steht für „Android PacKage“ und bezeichnet ein Archivformat, welches für die Verbreitung und Installation von Android Apps verwendet wird. Aus technischer Sicht handelt es sich dabei um eine ZIP Datei mit spezieller Struktur, wie sie in der Englischen Wikipedia beschrieben ist.
Sowohl im F-Droid Repository als auch in anderen Android App Stores liegen die Apps in diesem Format vor, und werden von den jeweiligen Clients in diesem Format heruntergeladen und installiert. ↩︎ -
für F-Droid kann der Warnhinweis guten Gewissens bestätigt werden: wie gezeigt, handelt es sich hier um eine sichere Quelle. Wer Bedenken hat, schaltet die „unbekannten Quellen“ nach der Installation wieder aus – muss dann aber ggf. vor jeder Installation einer App aus F-Droid wieder Hand anlegen. Unter Android 8 und höher gibt man „unbekannte Quellen“ ausschließlich für F-Droid frei, und muss sich somit keine Sorgen mehr machen. ↩︎