Hey,
in der GraoheneOS Community wird spätenstens seid den Sanboxed Lösungen für Play Services und Play Store empfohlen, als App Store möglichst den Play Store zu nutzen.
Insb. mit F-Droid (F-Droid Repository) werden dagegen Sicherheitsrisiken assoziiert, etwa weil Updates teilweise verzögert bereitgestellt werden oder weil F-Droid alle Apps mit eigenen Keys versieht (was, soweit ich verstehe, bedeuten könnte, dass alle Apps aus dem App Store kompromittiert wären, sobald F-Droid selbst kompromitiert wäre).
Siehe dazu z.B. auch hier:https://wonderfall.dev/fdroid-issues/
Oder hier auf deutsch: https://curius.de/2022/02/f-droid-untergraebt-die-sicherheit-von-android/
Mich würde mal interessieren, wie eure Einschätzungen dazu sind, ob ihr den (sandboxed) Play Store trotz Google-Anbindung nutzt, wie ihr zu den aufgeführten Bedenken rund um F-Droid steht und wie’s mit dem Aurora Store aussieht.
-
F-Droid ist für mich bisher eigentlich erste Wahl, wenn ich eine App suche → Open Source und googlefrei.
Oben angeführte Sicherhheitsprobleme zu F-Droid kann ich zwar nachvollziehen, deren tatsächliche Bedeutung aber nicht so wirklich einschätzen.
Hier im Blog wird F-Droid ja generell empfohlen, siehe z.B. hier (allerdings von 2018): https://www.kuketz-blog.de/android-kann-man-f-droid-vertrauen-bzw-ist-der-app-store-sicher/
F-Droid alleine reicht mir allerdings nicht, da ich eine gute Hand voll Apps nutze, die es nur im Play Store gibt. Auf F-Droid könnte ich dagegen schon verzichten, weil es die meisten Apps auch im Play Store gibt -
Sandboxed Play Store ist mit Blick auf Sicherheit die Empfehlung von GrapheneOS (siehe etwa in den GrapheneOS FAQ) und der direkte Zugang zu den Apps des Stores. Dies erfordert aber, den Play Services Internetzugriff zu gewähren. Durch die Sandbox werden die Play Services dabe ja weitgehen beschränkt (kein Zugriff auf Kontakte, GPS etc.). Sie kommunizieren aber doch direkt mit Google und können sich vorher mit anderen Apps „austauschen“. Was genau da ausgetauscht wird, ist nicht einsehbar, siweit ich weiß.
So oder so holt man sich mit dieser Methode trotz GrapheneOS wieder Google auf’s Smartphone.
Aber ist das mit der Sandbox überhaupt ein großes Problem und überwiegen die Sichherheitsvorteile?
Und ist die „Sicherheitsakrchitektur“ des Play Stores F-Droid wirklich vorzuziehen? -
Als Alternative zum Play Store gibt es noch den Aurora Store. Hier gibt es allerdings keine automatischen Updates wie im Play Store, im anonymen Modus nutzt man geteilte Accounts und mir werden auch nicht immer die neuesten App-Versionen angezeigt, siehe hier: https://www.kuketz-forum.de/t/aurora-store-zeigt-nicht-die-neuesten-updates-von-apps-an/902
Ich würde mich über ein bisschen Diskussion hier zum Thema freuen.
F-Droid trotzdem nutzen?
Sandboxed Play Store trotz Google-Anbindung nutzen? Oder Aurora als Alternative?
Schon mal vielen Dank für eure Rückmeldungen und viele Grüße