Obtainium - Android Apps direkt ab der Quelle

Dass man auf einem Android Smartphone nicht an den Google-Play-Store gebunden ist, sondern seine Apps auch aus anderen Quellen beziehen kann, ist glücklicherweise immer mehr Menschen bekannt. Für Nutzer*innen, die für Ihre Anwendungen den Internet-Monopolisten umgehen wollen, stehen eigene FOSS-Repositories wie F-Droid oder IzzyOnDroid zur Verfügung. Doch was wäre, wenn man den Mittelsmann komplett aus der Gleichung streichen und APKs direkt ab der Quelle beziehen könnte? Obtainium macht genau das einfach und elegant möglich.

Die dritte Partei

Bis auf einige Ausnahmen (Reproducible Builds), signiert F-Droid alle Apps in seinen Repositories selbst. Diese Signatur stellt die Authentizität der heruntergeladenen Apps sicher. Da diese von F-Droid vollzogen wird, muss als Nutzer*in nebst dem Entwickler noch einer dritten Partei vertraut werden. Falls die Schlüssel jemals kompromittiert werden, kann das zu ernsthaften Sicherheitsproblemen führen. Grundsätzlich gilt: Je weniger Parteien involviert sind, desto besser.

Verzögerungen bei Updates

Dass F-Droid die Apps selbst bündelt und signiert, bedeutet einen Zusatzaufwand beim Herausgeben neuer Updates, welcher sich darin äussert, dass einige Zeit vergeht, bis diese in den F-Droid-Repositories verfügbar sind.

Die lange Wartezeit ist unter anderem auch darauf zurückzuführen, dass F-Droid laut eigenen Angaben ihre Schlüssel zum Signieren der Apps auf einer Air-Gapped-Maschine (eine Maschine, welche zu keinem Zeitpunkt mit dem Internet verbunden ist) lagern und daher bei jedem Update manuelle Arbeit anfällt.

APKs direkt laden

Umgangen werden können diese Probleme, indem APKs direkt von der Quelle (von z. B. GitHub oder Codeberg) heruntergeladen und installiert werden. Wer jetzt auch noch die GitHub-Release-Page eines Projektes via RSS-Feed abonniert, wird sogar noch sofort über Updates informiert und kann diese frisch ab der Presse installieren.

Um diesen Prozess nicht manuell von Hand machen zu müssen, wurde die Android-App Obtainium entwickelt. Mit dieser lassen sich Apps aus diversen Quellen wie GitHub, GitLab, Codeberg aber auch beliebigen F-Droid-Repos (Auflistung aller Quellen findet sich hier) installieren. Mittels Benachrichtigung wird man informiert, sobald für eine App ein neues Update verfügbar ist und kann diese mit Klick auf den Update-Knopf aktualisieren.

Eine neue App zu installieren, ist ebenfalls sehr einfach. Über die Suchfunktion werden alle Quellen nach dem eingegebenen Begriff abgesucht. Falls eine App auf mehreren Plattformen (z. B. GitHub und F-Droid) verfügbar ist, lässt sich über eine Auswahl die gewünschte Quelle festlegen. Nach kurzer Wartezeit, in welcher das APK heruntergeladen wird, kann diese auch schon installiert werden.

Fazit

F-Droid macht viele Dinge richtig und ist berechtigterweise in Privacy-Kreisen sehr beliebt. Der Aufbau und die Vorgehensweise haben zwar definitiv ihre Gründe, bringen aber leider auch einige negative Aspekte mit sich. APKs direkt zu laden, umgeht einige dieser Nachteile. Mit Obtainium wird genau das zum Kinderspiel.

Probiert es doch einfach mal aus!

Quellen:
https://privsec.dev/posts/android/f-droid-security-issues/
https://github.com/ImranR98/Obtainium