F-Droid sicher?

Hier ein Kommentar von Golem.de
Was ist davon zu halten ?

Von F-Droid ist aus Sicherheitsgründen dringend abzuraten

Autor: gagalala 03.03.23 - 14:35

F-Droid hat fundamentale systemische Probleme und eine explizite Anti-Security-Haltung. Man sollte wirklich damit aufhören, es als sichere oder privatsphärefreundliche Alternative darzustellen, und Blogposts zu stenografieren.

Erster Punkt: der Security Audit von 2018, zu finden via Radically Open Security. Ich glaube nicht, dass ich bei einem derart überschaubaren Ökosystem schonmal so viele Beanstandungen gesehen habe. Klar könnten die Punkte inzwischen behoben worden sein, aber der Report macht deutlich, dass die Entwicker:innen die Materie nicht verstehen.

Neueres Beispiel gewünscht? Im Blogpost auf der F-Droid Webseite vom 22.12.2022 zu einem aktuellen Audit wird für die Beibehaltung von (längst obsoletem) TLS 1.0 und 1.1 argumentiert, aus „Kompatibilitätsgründen“. Allen hier sollte klar sein, dass das keine gute Idee ist.

Bis vor kurzem lief F-Droids Build-Infra auch noch auf Debian Stretch, was seit Mitte 2020 EOL-Status hat. Einfach nur unverständlich, das Team setzt bewusst die Sicherheit der User:innen aufs Spiel.

Leider darf ich noch keine Links posten, ihr solltet die Infos aber mit o.g. Stichpunkten easy finden.

Dann muss man halt mal den neuen Audit (mittlerweile der Dritte) vom Dezember 2022 anschauen - ein Audit von 2018 ist lediglich ein Blick in die Vergangenheit.

Es geht hier rein um die Website. Siehe: https://f-droid.org/de/2022/12/22/third-audit-results.html. Die F-Droid-App erlaubt keine Verbindungen mit TLS 1.1 oder 1.0.

Der Debian Long Term Support (LTS) ist für Debian „Stretch“ am 30. Juni 2022 ausgelaufen.

2 „Gefällt mir“

Nach meiner Einschätzung ist grundsätzlich jeder Download und Installation einer Software aus dem Netz ein Sicherheitsrisiko. Die Quelle spielt hierbei keine Rolle. Wir haben alles schon gehabt:
Es gelingt jemandem in ein Repository Code einzuschleussen, die Store-Betreiber übersehen Malware -teilweise bei x-Anwendungen die in einem Rutsch entfernt werden müssen-, lange als vertrauenswürdig geglaubte Software entpuppt sich als Projekt eines unseriösen Betreibers, Projekt wird an Mister-X verkauft, usw. usf.

Von allen derzeit frei verfügbaren Quellen für Software, die ohne weiteren Aufwand Software und regelmäßig Infos zu verfügbaren Updates liefern (App-Stores), ist F-Droid mit Sicherheit eine der vertrauenswürdigsten Plattformen. Die installierte Software wurde aus öffentlichen Quellen gebaut.

Das Risiko beschränkt sich somit im wesentlichen auf Fehler im Source-Code und einen -urplötzlich vom Wege abkommenden- unzuverlässigen Betreiber. Das gibt es sonst in der Form für Mobile nirgends.

Danke für die Einordnung. Das entschärft den Kommentar bei Golem doch gewaltig.

Ist so ein bischen unglücklich formuliert. Das ist nicht aus einem Artikel bei Golem.de, sondern ein Leser-Kommentar des users gagalala zu einem Artikel, in dem die neue Version des F-Droid-Clients vorgestellt wurde:
Neues F-Droid lädt Repository-Index schneller

Auch von mir Danke für die Einordnung.

Medienkompetenz - SO wichtig!

Bis vor kurzem lief F-Droids Build-Infra auch noch auf Debian Stretch,

Das ist jetzt also nicht mehr so?

Insgesamt würde ich diesen Kommentar zustimmen. Ich finde jedoch, dass diese Seite hier es besser erklärt und besser ins Detail geht, ist aber dementsprechend auch lang. Hier wäre eine etwas kürzere Zusammenfassung, die auch Probleme vom IzzyOnDroid-Repo erwähnt.

Ich nicht. Weitaus größer ist das Problem im Playstore. Die verlinkten „Vorteile“ des Playstores greifen nicht.

So oder so gilt: Nicht wahllos jede x-beliebige App installieren und Berechtigungen kritisch hinterfragen.

1 „Gefällt mir“

Inwiefern denn das?

Der zweite Link ist deshalb kürzer, weil sich der Autor auf die beiden einzigen in der Praxis bzw. von der Risikoabschätzung wirklich relevanten Punkt bezieht den beide Posts haben. Das ist das Signing der Apps mit dem eigenen F-Droid-Key. Man ist damit -wie oben bereits erwähnt- von der Vertrauenswürdigkeit der Betreiber abhängig. Das zweite ist, das beide empfehlen, direkt vom Autor zu laden wenn dieser das anbietet. Das ist natürlich immer das beste, wenn man diesem vertraut.

Der erste Post aus dem Januar liest sich wie ein direkter Auftrag einer Marketing-Abteilung, den F-Droid-Store zu diskreditieren.

Debian Stretch z.B. hat noch im Juli 22 Updates für Sicherheitskomponenten erhalten. Selbst heute spricht je nach eingesetzter Software nichts dagegen, einen solchen Server zu betreiben. Das sollte man natürlich nicht machen, wenn es vermeidbar ist.

Für die niedrigen TLS-Level gab es auch vertretbare Gründe. Es gibt Menschen in anderen Ländern, die nicht Upgraden können und ein altes Android haben. So bekommen sie noch einen aktuellen Browser, Mailclient, Telegram, usw.
Zum Schluss kommt im ersten Post die Empfehlung, den Play-Store zu verwenden :wink:

Im Playstore gibt es Apps, die sowohl bezüglich Sicherheit als auch Privatsphäre Malware sind. Beispielsweise wurde „App Lite Launcher“ (Abstractemu) über 10.000 mal heruntergeladen. Diese Malware arbeitet erstmal völlig unauffällig, rootet allerdings die Geräte (ja, auch Ungerootete-Stock-ROMs) im Hintergrund. Es gibt auch andere Malware-Typen, die einen Fernzugriff auf das Gerät ermöglich (z.B. „Octo“) - ebenfalls im Playstore in verschiedenen Apps verteten. Daneben gibt es dann natürlich Apps, die die Privatsphäre massiv missachten. Weder ein verpflichtendes Minimum-SDK-Level, die Signiermethode oder das Certificate-Pinning haben daran etwas geändert. Das wird sich mMn auch langfristig nicht ändern. Der Playstore ist eine lukrative Plattform - mit relativ wenig Aufwand erreicht man viele Geräte.

Google entfernt diese Malware zwar regelmäßig, allerdings erreichen diese Apps immer 10.000, 50.000 oder 100.000 Downloads. Solche Downloadzahlen schafft man nicht über Nacht, d.h. präventiv, also nachdem der Entwickler seine Malware hochgeladen hat und Google genügend Zeit hätte diese zu analysieren, greift keine „Sicherung“. Selbst im Nachgang dauert es zu lange, bis eine App dann auch tatsächlich entfernt wird. Häufig wird diese nicht von Google selbst entdeckt, sondern durch andere Sicherheitsforscher oder Unternehmen.

1 „Gefällt mir“