F-Droid: Neue Entwickler-Regeln könnten Aus für alternative App-Stores bedeuten

1. F-Droid: Neue Entwickler-Regeln könnten Aus für alternative App-Stores bedeuten

Am 25. August hatte Google kommuniziert, dass ab Herbst 2026 nur noch Anwendungen auf zertifizierten Android-Geräten installiert werden dürfen, deren Herausgeber sich zuvor bei Google registriert und die jeweilige Anwendung signiert hat. Die Entwickler der Play-Store-Alternative F-Droid sehen durch diese neuen Anforderungen unabhängige App-Stores in Gefahr.

F-Droid als Anlaufstelle für Open-Source-Apps

Den meisten Android-Nutzern dürfte F-Droid wenig sagen, jedoch ist der App-Store vor allem für Android-Enthusiasten eine bedeutende Anlaufstelle, die im Gegensatz zu Google Play nur kostenlose und quelloffene Apps anbietet. Der Store lässt nur Anwendungen zu, die frei von Trackern, Werbung und versteckten Tools zur Datenerfassung sind.

Lesen Sie auchMehr anzeigenWeniger anzeigen

Der Store existiert eigenen Angaben zufolge seit 15 Jahren und gilt als beliebte Anlaufstelle für datenschutzbewusste Android-Nutzer. Der Umfang an Apps ist jedoch bei weitem nicht so groß wie der des Play-Stores: F-Droid hostet um die 3800 Apps, während Googles Play Store nach einer umfassenden Aufräumaktion im April um die 1,8 Millionen Apps im Angebot hat.

F-Droid sieht alternative App-Stores in Gefahr

Wie das F-Droid-Team in einem Beitrag im eigenen Blog erklärt, könne der alternative App-Store durch Googles neue Verordnung nicht mehr so existieren und agieren wie bisher. Denn künftig müsse auf zertifizierten Android-Smartphones – also jene mit Google-Diensten – jede Android-App mit einer registrierten Entwickleridentität verbunden sein, die durch einen amtlichen Ausweis und weitere persönliche Daten überprüft wird. Entwickler müssten ihre App-Identifikatoren und Signaturschlüssel zudem direkt bei Google anmelden. Dadurch werde Google zur „zentralen Behörde“ für die Überprüfung von Android-Apps – auch für solche, die nicht im Play Store angeboten werden.

Bislang hatte F-Droid seine handverlesenen Apps selbst zertifiziert: „Wenn ein Entwickler eine App erstellt und den Quellcode öffentlich irgendwo hostet, überprüfe das F-Droid-Team diese, um sicherzustellen, dass sie vollständig Open Source ist und keine undokumentierten Anti-Features wie Werbung oder Tracker enthält“, erklärt F-Droid. Sobald diese Prüfung bestanden sei, „kompiliert und paketiert der F-Droid-Build-Service die App, um sie für den Vertrieb vorzubereiten“. Das Paket werde dann entweder mit dem kryptografischen Schlüssel von F-Droid signiert oder, wenn der Build reproduzierbar sei, könne der Vertrieb mit dem privaten Schlüssel des ursprünglichen Entwicklers erfolgen.

Auf diesem Wege könnten Nutzerinnen und Nutzer darauf vertrauen, dass jede über F-Droid vertriebene App aus dem angegebenen Quellcode erstellt und nicht manipuliert wurde, so die Macher. Die wirkliche Identität des Entwicklers spiele dabei keine Rolle.

F-Droid kritisiert, dass durch Googles neue Regelung alternative App-Stores keine Apps mehr direkt anbieten könnten, da sie keine Kontrolle über die Schlüssel oder IDs hätten. Weiter erklärt F-Droid, dass sie nicht im Namen von Open-Source-Entwicklern die Identität von Apps übernehmen oder unabhängige Mitwirkende dazu zwingen könne, sich bei Google zu registrieren.

Sie ziehen in ihrem Blogpost den Schluss: „Die Verordnung zur Entwicklerregistrierung wird das F-Droid-Projekt und andere freie/Open-Source-App-Vertriebsquellen, wie wir sie heute kennen, beenden.“

Google erklärt die neue Entwicklerüberprüfung jenseits des Play Stores damit, dass man die Sicherheit erhöhe und Malware verhindern könne. F-Droid bezweifelt dies und weist darauf hin, dass im Play Store wiederholt bösartige Apps entdeckt wurden, während Android über integrierte Schutzfunktionen wie Google Play Protect verfüge, mit denen schädliche Apps entdeckt und von Geräten entfernt werden können. Ferner ist F-Droid überzeugt, dass ihr Open-Source-Ansatz transparenter und vertrauenswürdiger als kommerzielle Stores wie der von Google sei.

F-Droid glaubt zudem nicht, dass die verpflichtende Entwicklerregistrierung aus Sicherheitsgründen erfolgt. Stattdessen geht das Team davon aus, dass es um die Machtkonsolidierung und die Verschärfung der Kontrolle über ein ehemals offenes Ökosystem gehe.

Auch Custom-ROMs mit Problemen

In den vergangenen Monaten hatte Google zudem weitere zweifelhafte Entscheidungen getroffen, die den künftigen Ansatz eines weiterhin offenen Android in Zweifel ziehen. So erschwert Google die Entwicklung von Custom-ROMS: Denn mit der Veröffentlichung von Android 16 hat das Unternehmen zwar den Quellcode der neuen OS-Version auch im Android Open Source Project (AOSP) freigegeben, mit dem unabhängige Entwickler ihre eigenen Forks des Betriebssystems unter der recht freizügigen Apache-2.0-Lizenz kompilieren können. Jedoch hat der Konzern die bislang gleichzeitig veröffentlichten Device-Trees für Pixel-Geräte nicht mitgeliefert.

Zudem hatte Google im Sommer dieses Jahres die Sicherheitspatch-Strategie für Android verändert. Große Sicherheitspatches erscheinen künftig nur noch quartalsweise und auch der Sourcecode soll nicht mehr regelmäßig veröffentlicht werden. Damit können Custom-ROM-Entwickler keine monatlichen Sicherheitsupdates mehr liefern.

(afl)

Dieser Link ist leider nicht mehr gültig.

Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.

Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!