Seit ich #GrapheneOS laufen habe lerne ich täglich neue Dinge. Was mich etwas erschreckt sind Berichte zu Sicherheitsmängel im #Fdroid - besonders im offiziellen Client, aber auch in moderneren wie #Droidify aufgrund der zugrunde liegenden Architektur. Der angehängt Artikel ist da meine Hauptquelle.
@davevader bin etwas biased, aber den GOS Entwicklern geht es in erster Linie immer erstmal um die maximal mögliche Sicherheit (ohne zu hinterfragen ob ihre Nutzer das wirklich brauchen), dabei sind dann Dinge wie Privatsphäre und so zweitrangig. Deshalb sehe ich das generell kritisch, dass GOS so viel empfohlen wird.
@davevader Zu dem "Artikel" speziell: einige Sachen daraus sind mittlerweile behoben, andere sind mMn paranoid gesehen und generell kann man sagen: die GOS Entwickler schaden lieber einfach allen anderen im Ökosystem und promoten ihren eigenen Kram, anstatt beispielweise F-Droid zu helfen es besser zu machen.
@jr Naja, der Arktiel stammt nicht von den GOS dev, zumindest steht das am Ende des Artikels. Gibt es denn eine Lösung für die zentralen signing-Keys - weil das erscheint auch mir als Laie als ziemliche Schwachstelle und es ist auch der Grund, aus dem Moxie von Signal sich weigert, die App über den F-Droid anzubieten.
@davevader hm stimmt der Artikel den du verlangt hast, ist nicht mehr auf der Seite wo er ursprünglich Mal war. Aber inhaltlich ziemlich der selbe wie es ihn ursprünglich auch Mal von jemandem aus dem GIS Umfeld gab...
Und ja es gibt eine Lösung: reproducible builds und dann verteilt F-Droid die APKs signiert vom Entwickler. Wobei der zentrale Signing Key halt auch nur bedingt so dramatisch ist, wie der Artikel in darstellt...
@davevader Der Grund warum Signal nicht bei F-Droid ist, ist btw nicht direkt der zentrale Signing Key, sondern das sie bei F-Droid keine Kontrolle über die Dauer des Update Prozesses haben und irgendwie ihre Markenrechte verletzt sehen würden...
@jr Gibt es da vielleicht irgendwo eine Replik aus der Frdoid Bubble? Ich würde das alles gerne besser verstehen und mich einlesen. Erstmal vielen Dank für die Einordnung! Ich merke schon - es ist nicht so schwarz/weiß wie man annehmen würde.
@davevader auf den Artikel explizit vermeidet das F-Droid Team zu reagieren, weil in der Vergangenheit Auseinandersetzungen mit GOS bzw deren Sympathisanten immer ziemlich hässlich verliefen.
@jr Nochmal danke für die weitere Einordnung und der Artikel. Ich lese ihn mir gerne durch! Es ist erstmal auch gut zu hören, dass daran gearbeitet wird, den F-Droid sicherer zu machen. Das sieht man ja von außen nicht und wenn man nur bestimmten Quellen folgt ensteht der Eindruck, die ganze Community wäre versteift auf das aktuelle Modell und möchte nichts verändern.
@davevader F-Droid ist alles andere als versteift, wir wollen durchaus vieles ändern, aber es fehlt halt oft an Manpower und deshalb geht es teilweise nur recht langsam vorwärts...
Ich bin jetzt testweise dazu übergegangen, #FOSS Apps per #Obtanium zu beziehen. Das ist sozusagen ein fancy RSS Reader, der die Github Quellen auf Updates checkt. Bisher funktioniert das gut, auch wenn die Einrichtung aufwändig war.
Aber auch da bin ich mir unsicher: Ist das wirklich sicherer, als den Droid die Arbeit machen zu lassen?
@davevader Obtanium ist laut den GOS Entwicklern ja die "bessere" Lösung, meiner Meinung nach ist es aber eher ein Risiko, weil du halt wieder Random Binaries aus dem Internet lädst die keinerlei (!!) Überprüfung unterliegen. Sprich theoretisch kann der Entwickler da theoretisch alles drinn machen. Das ist, wenn du mich fragst, sogar wesentlich schlechter als der PlayStore, aber natürlich immer die Frage der Perspektive und des threat models
@jr Ja, das hatte ich mir auch überlegt. Dagegen spricht wiederum, dass auch die F-Droid Leute die Apps nur sehr grundlegend überprüfen (was sie ja auch selbst zugeben) und eben durch die zentralen Keys anfällig sind. Ein theoretischer Hack und der ganze F-Droid könnte potentiell Updates mit Schadsoftware bereitstellen.
Am Ende führt wohl kaum ein Weg daran vorbei, das wir irgendwo auch den Devs vertrauen müssen.
Danke auf jeden Fall für deine Perspektive! Tatsächlich sehr spannend!
@davevader hm naja F-Droid prüft schon ziemlich viel automatisiert (für manuelle Überprüfung bräuchte es halt wesentlich mehr Manpower und es würde den Update Prozess verlangsamen, was der Artikel ja gleichzeitig auch kritisiert), ob beispielweise Proprietärer Code enthalten ist etc. Aber vor allem garantiert dir F-Droid halt als unabhängige Dritte Partei, das die App wirklich aus dem öffentlich verfügbaren Quelltext gebaut wurde...
@davevader Aber klar, wenn F-Droid kompromittiert ist, dann kann das durchaus ein Problem werden. Aber auch beim PlayStore oder Obtanium hast du ähnliche Probleme. Oder auch am PC mit diversen Linux Distros. Wenn zB bestimmte Debian Entwickler kompromittieren sind, können die auch gut Malware verteilen. Dagegen hilft dann wirklich nur manuell Quelltext prüfen und App selbst aus dem Quelltext bauen.
@davevader Und letztendlich muss ich sagen, ich sehe leider sehr viele Entwickler die sehr schlecht mit ihrem privaten Key Material umgehen. Da hat F-Droid schon ziemlich hohe Standards, wie die Keys verwahrt werden und wer Zugriff hat etc
Add comment