Hintergrund

F-Droid: Verbraucherfreundlicher Store für Android-Apps

Pfade
Foto: Grego, CC0 1.0.

Es gibt neben dem Play-Store noch andere Bezugsquellen für Android-Apps. Eine davon ist der alternative App-Store F-Droid. Er sticht mit seinem strengen „Free and Open-Source“- Konzept als besonders transparent, verbraucher- und datenschutzfreundlich hervor.

Veröffentlicht am
Autor
Schlagworte
App-Stores · Apps aus unbekannten Quellen · Datenschutz · Open Source
Drucken

(aktualisiert am 19.07.2016)

F-Droid gibt es seit 2010, gegründet hat ihn der britische Programmierer Ciaran Gultnieks. Der Store wird ausschließlich durch ehrenamtliche Unterstützerinnen und Unterstützer betrieben, gepflegt und weiter entwickelt. Derzeit stehen rund 1500 Apps auf F-Droid zum Download zur Verfügung.

Apps, die auf F-Droid angeboten werden, müssen zwei Kriterien erfüllen: Ihr Programmcode muss für jeden offen zugänglich und frei verwendbar sein. Im Jargon nennt man das FOSS, für Free and Open Source Software (Deutsch: Freie und quelloffene Software). „Frei“ steht hier nicht für kostenlos, sondern meint, dass der Programmcode von Jedermann genutzt, verändert und weiterentwickelt werden darf.

Die Apps in F-Droid sind zudem kostenlos. Alle Apps können ohne vorherige Registrierung heruntergeladen werden.

Auch der Programmcode, mit dem der F-Droid-Store selber programmiert ist, ist frei verfügbar, und kann für ähnliche App-Sammlungen verwendet oder weiterentwickelt werden.

Sicherheitsvorteil Open Source

Quelloffene Software hat verschiedene Vorteile gegenüber sogenannter proprietärer Software, deren Programmcode nur der Eigentümerin bekannt ist. Einer dieser Vorteile ist, dass die Software durch unabhängige Dritte überprüft werden kann.

Das ist bei Apps für Mobilgeräte besonders wichtig. Denn anders als zum Beispiel auf dem Computer ist es unter normalen Umständen bei Mobilgeräten weder für Nutzer noch für andere Apps, wie beispielsweise Virenscanner möglich, zu kontrollieren, was eine App im laufenden Betrieb tatsächlich tut.

So verlangt fast jede App bei der Installation die Berechtigung, Daten über das Internet zu empfangen und zu versenden. Ob sie damit eine nützliche Funktion erfüllt oder einfach nur Nutzerdaten versendet oder beides, lässt sich im Betrieb nur schwer überprüfen. Dafür müsste man den Programmcode kennen.

Diese vollständige Intransparenz wird oft ausgenutzt, um Apps Funktionen einzuprogrammieren, von denen die Nutzer nichts ahnen.

Zudem sieht man einer App von außen nicht an, ob Sicherheitsvorkehrungen richtig programmiert wurden. Gerade bei Verschlüsselung und Zertifikaten gibt es reihenweise gröbste handwerkliche Fehler in Apps. Auch solche Schnitzer lassen sich am besten eindämmen, wenn unabhängige Dritte den Programmcode frei einsehen können.

Weitere Sicherheitsmaßnahmen

Jede, die möchte, kann eine App für den F-Droid-Store vorschlagen, wenn diese den FOSS-Kriterien entspricht. Vor der Freigabe wird sie aber von einem der F-Droid-Betreiber auf Datenschutz und Sicherheit geprüft.

Diese Überprüfung kann ziemlich lange dauern und sich für die jeweiligen Programmierer recht kompliziert gestalten, wenn es Nachfragen gibt. Dies ist der Hauptkritikpunkt an F-Droid und einer der Gründe, warum relativ wenige Apps dort zur Verfügung stehen.

Ein weiteres, einzigartiges Sicherheitsfeature ist die Art und Weise, in der die Apps in F-Droid abgelegt werden. Dort liegt keine fertige Programmdatei, also eine .apk-Datei. Stattdessen erzeugt F-Droid jedesmal, wenn eine App heruntergeladen wird, die .apk-Datei frisch aus dem hinterlegten Programmcode.

Damit wird sichergestellt, dass jeder einzelne Download auch tatsächlich und ausschließlich auf dem überprüften Programmcode beruht. Damit ist es praktisch unmöglich, bei einer App heimlich etwas hinzuzufügen oder zu ändern.

Der Verbraucher ist König

Anders als in den meisten anderen App-Stores müssen Nutzer kein Konto anlegen, oder sonstige Daten angeben, um F-Droid zu nutzen.

Zudem markieren die Betreiberinnen Apps, die zwar den Zulassungskriterien von F-Droid nicht widersprechen, aber vermutlich für Nutzer unerwünschte Eigenschaften haben. Unerwünschte Eigenschaften – auch Antifeatures genannt –  sind das Einblenden von Werbung sowie jegliche Art der Nutzerdatenerfassung, die nicht freiwillig und nach expliziter Zustimmung des Nutzers erfolgt.

Auch die Zusammenarbeit mit Software, deren Quellcode nicht offenliegt, gilt als unerwünschte Eigenschaft. Wenn eine App zum Beispiel einen Dienst wie Google Maps einbindet, oder Plugins und Erweiterungen anbietet, die nicht Open Source sind, erfährt man das in den App-Infos.

F-Droid-Apps werden angepasst

Es gibt zudem eine ganze Reihe Apps, die von den App-Entwicklerinnen extra angepasst wurden, so dass sie den Regeln entsprechen. Wer eine App aus F-Droid installiert, kann also sicher sein, dass keine Software von proprietären Analysenetzwerken wie Google Analytics enthalten ist – während die selbe App aus dem Play-Store dieses Element noch enthalten kann. Solche Anpassungen sind in den Informationen zu der App auch vermerkt.

Wer Werbe-Tracking auf seinem Smartphone minimieren möchte, sollte sich vorrangig mit Apps aus F-Droid versorgen. Gerade für Apps mit ganz grundlegenden Funktionen wie Taschenrechner- und Taschenlampen-Apps gibt es dort Alternativen. Da es etliche Apps gibt, die in F-Droid und im Play-Store verfügbar sind, lohnt es sich, zuerst in F-Droid nach der datenschutzfreundlichen Alternative zu suchen.

Hinweis: Um F-Droid zu installieren, muss man zunächst die F-Droid-App als .apk-Datei herunterladen und manuell installieren. Die Option „unbekannte Quellen“ muss dafür aktiviert sein. Denken Sie daran, diese Option nach der Installation wieder abzuwählen. Installieren kann man F-Droid über die Webseite https://f-droid.org.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!