Wie kommst du denn auf dieses schmale Brett, Marie? Für die Onlinefähigkeit eines Smartphones braucht’s kein Google-Konto! Sehr wohl gibt’s aber Apps, die ohne vorhandenes (aktives) Google-Konto nicht funktionieren wollen. Als ein prominentes Beispiel sei hier ein Produkt von TomTom genannt (TomTom GO Navigation, ehem. TomTom GO Mobile; nicht zu verwechseln mit TomTom Navigation).
Aurora Store is sicherer, da du Updates bekommst. Wenn du alle Apps per APK-Datei installierst werden die meisten nachlässig, updaten nicht schnell genug oder checken keine Signatur vor Installation.
Beim Thema Tracking ist es vollkommen egal. Du musst eines wissen: jede App unter Android kann sehen, welche anderen Apps du im gleichen Benutzerprofil du installiert hast. D.h. auch es reicht eine App mit Google Code und Google könnte theoretisch wissen, welche Apps du installiert hast auch ohne den Play Store zu verwenden. GrapheneOS arbeitet schon länger an einer Lösung, aber das Problem ist sehr tiefgreifend, da es IPC mit betrifft und benötigt app communication scopes.
Du hast auch schon in anderen Threads diese „Kritik“ wiedergegeben. Leider bist du nicht mal in der Lage zu unterscheiden was der F-Droid Store(Repo) ist und was der F-Droid Client(die App) ist. Im Store werden Apps wie Telegram zur Abholung bereitgestellt. Abholen (und installieren) kann man die mit der F-Droid App, aber auch anderswie. Hier wurde über den Store gesprochen, nicht über die App (die ich auch nicht nutze). Bitte poste hier erst wieder wenn du weisst worum es geht.
Noch wichtiger, beim installieren von .apk muss man auch beachten woher man die hat. Aurora holt immer aus dem Playstore, was zumindest besser ist als irgendwoher. Man installiert ja Linux Distributionen ohne zu prüfen ob die dem Quelltext entspricht. Weil das aber nachprüfbar ist ist Linux eben sicherer als Windows oder MacOS
Keiner hat auch nur angenommen du könntest das. Aber es gibt Leute die das können und auch tun. Jeder Hacker würde schnell berühmt würde er F-Droid Schummlei nachweisen. Genau das bietet die Sicherheit.
Rudolf, du hast mich anscheinend falsch verstanden:
„Du hast auch schon in anderen Threads diese „Kritik“ wiedergegeben.“
Ich habe vor diesem Thread in keinem anderem Thread geschrieben. Ich habe mich erst vor kurzem registriert.
„Leider bist du nicht mal in der Lage zu unterscheiden was der F-Droid Store(Repo) ist und was der F-Droid Client(die App) ist.“
In meinem allerersten Beitrag hier im Forum und in diesem Thread, habe ich folgendes geschrieben: „Zudem sei der Standard-Fdroid-Client wohl nicht gerade sicher. Selbst wenn man also das Fdroid-App-Lager benutzen will, seien anscheinend alternative Fdroid-Clients besser, wie z.B. der Neostore-Fdroid-Client.“
Klingt irgendwie nicht so, als ob ich es nicht verstanden hätte. Vielleicht solltest du zuerst lesen lernen.
Fazit: Wie auch beim user „senf“, muss ich hier deine eigenen Aussagen an dich zurückgeben: „Bitte poste hier erst wieder wenn du weisst worum es geht.“
Sicherheit und Datenschutz sind schwer zu vereinnen.
F-Droid hat viel zu viele Sicherheits- und Vertrauensprobleme, als dass es empfehlenswert wäre.
Die überwiegende Mehrheit der Apps im offiziellen F-Droid-Repository basiert auf einer fragwürdigen Infrastruktur und ist mit ihren F-Droid eigenen Schlüsseln signiert.
Wenn es um Sicherheit geht ist es besser, den Sandboxed-Play Store zu verwenden als den Aurora Store.
Der Aurora Store überprüft keine Signaturen, die beweisen, dass Apps aus dem Play Store stammen, und vertraut bei HTTPS-Verbindungen jeder Zertifizierungsstelle.
accrescent.app ist ein kleines Projekt mit derzeit wenigen Apps, aber meiner Meinung nach empfehlenswert aufgrund der Sicherheit.
Es gibt auch Obtanium für das Beziehen und automatische Aktualisierung von Apps direkt von Github.
Hier wird der Download jedoch nicht über die HTTPS-Verbindung hinaus geschützt.
Hier liegt die Sicherheit bzw. Vertrauen vollständig bei den Entwicklern und der jweiligen Github Infrastruktur von welcher die Apps bezogen werden.
Ja, so in etwa. Apps die auf f-droid.org bereitgestellt werden, bekommen die notwendigen Informationen über eine spezielle Datei im Metadaten-Repository. Dort steht drin was getan werden muss, damit die App gebaut wird (z.B. Quellcode holen). Bevor die App dann gebaut wird (build), werden bestimmte Schritte durchgeführt (prebuild). Dort werden dann z.B. Komponenten entfernt. Vergleicht man z.B. Element mit Fennec, dann können die Änderungen sehr unterschiedlich ausfallen:
Nein, die Apps werden dort „so wie sie sind“ bereitgestellt. Änderungen am Quellcode (z.B. Tracker entfernen) werden nicht durchgeführt.
Relativ neu sind dort „reproduzierbare Builds“, also eine Prüfung ob die APK mit dem Quellcode übereinstimmt:
RBs bei IzzyOnDroid? Ist das nicht ein „binäres Repository“, das lediglich die von den jeweiligen Entwicklern erstellten und signierten APKs bereitstellt? Ja, das ist völlig korrekt – und das wird auch so bleiben. […] das die APK-Dateien aus den Repositories der Apps zieht, den Code aus demselben Tag auscheckt, die APK-Dateien aus dem Quellcode baut – und dann prüft, ob die resultierenden APKs mit denen identisch sind, die von den Entwicklern ausgeliefert wurden. […]
Ich überprüfe alle Apps mit Exodus https://f-droid.org/de/packages/org.eu.exodus_privacy.exodusprivacy/ auf Tracker. Alles was aus dem Play Store kommen muss, Banking Apps z.B. kann ich mit Android 15 beruhigt im vertraulichen Profil installieren, hierzu habe ich den Play Store im vProfil installiert (habe dort ein VPN laufen), eine Fake e mail https://vsimcard.com/ und Fake Telefonnummer zur Anmeldung genutzt. Wenn man jetzt z.B. eine Banking APP aus dem Play Store holt, dann muss man darauf achten, dass das VPN nicht über New York sich dort einwählt, ggf. greifen dann für einzelne Apps Georestriktionen.
Es prüft auf das Vorhandensein von bekannten Tracker-Signaturen. Ob diese wirklich aktiv sind wird nicht geprüft, siehe z.B. Tor Browser. Zudem lassen sich diese auch bei einigen Apps zur Laufzeit konfigurieren über App-Einstellungen (z.B. für freiwillige Telemetrie). Nicht öffentlich bekannte Tracker, wie z.B. bei manchen Erstanbieter-Tracking-Systemen und serverseitiges Tracking werden generell nicht erkannt.
Ja, macht sogar viel Sinn. Man hat deutlich mehr und bessere Privacy-Features um den Zugang zu sensiblen Daten für Apps einzuschränken als auf dem Stock-OS und vermeidet privilegierte Komponenten, welche über die Grenzen der Standard-App-Sandbox hinaus „spionieren“, wie Google Play Services auf dem Stock-OS und zusätzlich manche Drittanbieter-Apps auf anderen Android-Systemen.
Was du allerdings innerhalb einer App tust, wird der App immer zugänglich sein (z.B. welche Elemente du anklickst, was du darin schreibst usw.). Da kannst du nur über das Netzwerk versuchen den Schaden einzuschränken (Netzwerkzugang ganz verbieten, oder bekannte Tracker per DNS versuchen zu blocken, was aber unzuverlässig sein kann), oder auf eine App mit guten Datenschutzpraktiken umsteigen.