f.haeder.net

Search

Items tagged with: F-Droid

Ich nutze seit vielen Jahren die News App der #nextcloud, da letztere "ehda" die Familienzentrale übernimmt (natürlich auch auf einem #RaspberriPi). Liest sich prima im Browser, aber auch auf einer der beiden Android Apps. Für mich aus #F-Droid.

News (News/feed reader) - https://f-droid.org/app/de.luhmer.owncloudnewsreader
oder
OCReader (Reader for Nextcloud news) - https://f-droid.org/app/email.schaal.ocreader

Generell bin ich, wie Du auch, ein großer Freund von #RSS und könnte darauf nicht verzichten.
 
This #Week in #F-Droid - The #NewPipe #Broken #Builds #edition
F-Droid - #Free and #OpenSource #Android #App #Repository
- #news #summary #ThisWeekInFdroid #TWIF


In this edition: NewPipe and broken builds, and more than 5000 followers on Mastodon. There are 20 new and 71 updated apps.
https://f-droid.org/en/2019/01/25/twif-40-the-newpipe-broken-builds-edition.html
 
Image/photo

VPN (GooglePlay & AppStore): How to get 1 kg of the rotten "free cheese"


We investigated the top free VPN (Virtual Private Network) apps in Apple's App Store and Google Play and found that over half are run by highly secretive companies with Chinese ownership. Very few of these hugely popular apps, which have hundreds of millions of installs worldwide, do anywhere enough to deserve the trust of consumers looking to protect their privacy.

By Simon Migliano
Head of Research

Free VPN Apps: Chinese Ownership, Secretive Companies & Weak Privacy



After the big names like Facebook and Snapchat and games, VPNs are the most searched-for apps in the world. The most popular have amassed hundreds of millions of installs between them worldwide and yet there appears to be little vetting of the companies entrusted with the responsibility for redirecting all their users’ internet traffic through their servers.

A VPN or Virtual Private Network encrypts a user’s internet connection and diverts their traffic via a remote server in order to replace their IP address. They are primarily used to keep internet activity private, evade censorship and use public WiFi securely.

It’s therefore vitally important that consumers choose their VPN provider wisely given the potential for misuse of their data. Unfortunately, the majority of apps appearing in the top results for “VPN” searches are free products from obscure and highly secretive companies that deliberately make it very difficult for consumers to find out anything about them.

We decided to shine a light on these companies to help consumers avoid inadvertently compromising their privacy by using untrustworthy products. We recorded the top 20 free apps displayed in the search results for “VPN” in the App Store and Play Store for UK and US locales. This resulted in a list of 30 apps due to the overlap between stores and locales. See the notes at the end of this report for the full methodology.

Our investigation uncovered that over half of the top free VPN apps either had Chinese ownership or were actually based in China, which has aggressively clamped down on VPN services over the past year and maintains an iron grip on the internet within its borders. Furthermore, we found the majority of free VPN apps had little-to-no formal privacy protections and non-existent user support.

Apple and Google have let down consumers by failing to properly vet these app publishers, many of whom lack any sort of credible web presence and whose app store listings are riddled with misinformation.
Key Findings

- 59% of apps have links to China (17 apps)
- 86% of apps had unacceptable privacy policies, issues include:
- Lack of important detail around logging policies that could lull people into false sense of security
- Generic policies with no VPN-specific terms
- No policy at all
- Tracking user activity or sharing with third parties
- Several privacy policies explicitly stated that they share data with China
- 55% of privacy policies were hosted in an amateur fashion
- Free WordPress sites with ads
- Plain text files on Pastebin
- Text files on Amazon servers
- Text files on raw URLs, such as IP addresses
- 64% of apps had no dedicated website – several had no online presence beyond app store listings.
- Vast majority of companies make it very difficult to find out where they are based and who is involved – for a minority it was impossible to track down the provider.
- Over half (52%) of customer support emails were personal accounts, ie Gmail, Hotmail, Yahoo etc
- 83% of app customer support email requests for assistance were ignored

Summary Table, Methodology & MORE: https://www.top10vpn.com/free-vpn-app-investigation/


#google #apple #googleplay #appstore #android #droid #f-droid #mobile #security #privacy #vpn #freevpn #china #chinese #client #app #software #programm #vulnerability #leak #weak #iphone

P.S. OpenVPN for Android

 

G-Droid is an alternative client for the F-Droid app-repository.

Additional features compared to F-Droid


* star ratings of apps (up to 5 stars) - machine generated metrics
* shows the star upstream star ratings (github, gitlab, sourceforge)
* implements more metrics bases on open source data (like average release cycle time) to generate a star-rating
* let the users choose which metrics are important to them, so there is no 'best app' in the repo - there is only a 'best app' from the point of view of the current user
* shows 'similar apps' and 'apps of the same category' when watching an app
* shows 'apps of the same author' when watching an app
* shows a list of all authors, with their apps and average star rating
* shows web-site of the app - even if it is 'only a README file on github'. F-Droid has recently removed many websites to punish open source developers who can't effort their own domain.
* shows newest apps and recently updated apps separated
* shows cards in same size for better overview
* ability to 'star' apps to mark them
* shows categories in correct translation (if available) after changing language on the device
* shows screenshots in correct translation
* makes use of larger screens: show actually more apps on tablets
* tags to find apps for standard-tasks easily (email clients, file browsers, text editors), since the F-Droid categories are too broad
* view for 'random apps' to discover apps you usually wouldn't find
* aims to provide many different views to the app repository in order to assist the user to find what she wants to find and encourage to use more open source apps from the repository
* 'share' apps so it can still be opened with another store (F-Droid, Yalp, Aurora, ...), to get more information about the app.
* different search algorithm, can 'search harder' to continue a search if the results are insufficient
* shows the logos of apps all the time (if network connection is okay)
* shows more screenshots
* shows screenshots, completely, up-to-date and in the correct language
* shows screenshots also when they are not in the fastlane structure
* has a new and modern codebase and is easy to maintain
* G-Droid is actively maintained (the F-Droid client is not any more)
* many more to come (G-Droid is just a few weeks old) ...

Things that G-Droid can NOT do (yet) compared to F-Droid


* uninstall apps
* show or install an older version of an app
* create a local repo, share apps with 'near' people or share apps via bluetooth
* add other repositories than the F-Droid repo
* use the privileged extension (done, but extension is not adjusted yet)
* update automatically
* http proxy settings
* G-Droid helps you in different ways to find better apps: but in some cases you might still need the 'share' button, to open that app in F-Droid to install it. G-Droid right now is not yet a complete replacement for the F-Droid app.

Things that are the same in G-Droid and F-Droid


* shows the same apps - G-Droid does not add any apps or modify the builds, signatures or download URLs
* all additional meta-data is provided by F-Droid as well (eg. the link to github)
* GPL3 license
(lists from https://gitlab.com/gdroid/gdroidclient/blob/master/README.md)

sounds promising

https://f-droid.org/en/packages/org.gdroid.gdroid/
https://gitlab.com/gdroid/gdroidclient/

#f-droid #g-droid #open-source #foss #android
 

G-Droid is an alternative client for the F-Droid app-repository.

Additional features compared to F-Droid


* star ratings of apps (up to 5 stars) - machine generated metrics
* shows the star upstream star ratings (github, gitlab, sourceforge)
* implements more metrics bases on open source data (like average release cycle time) to generate a star-rating
* let the users choose which metrics are important to them, so there is no 'best app' in the repo - there is only a 'best app' from the point of view of the current user
* shows 'similar apps' and 'apps of the same category' when watching an app
* shows 'apps of the same author' when watching an app
* shows a list of all authors, with their apps and average star rating
* shows web-site of the app - even if it is 'only a README file on github'. F-Droid has recently removed many websites to punish open source developers who can't effort their own domain.
* shows newest apps and recently updated apps separated
* shows cards in same size for better overview
* ability to 'star' apps to mark them
* shows categories in correct translation (if available) after changing language on the device
* shows screenshots in correct translation
* makes use of larger screens: show actually more apps on tablets
* tags to find apps for standard-tasks easily (email clients, file browsers, text editors), since the F-Droid categories are too broad
* view for 'random apps' to discover apps you usually wouldn't find
* aims to provide many different views to the app repository in order to assist the user to find what she wants to find and encourage to use more open source apps from the repository
* 'share' apps so it can still be opened with another store (F-Droid, Yalp, Aurora, ...), to get more information about the app.
* different search algorithm, can 'search harder' to continue a search if the results are insufficient
* shows the logos of apps all the time (if network connection is okay)
* shows more screenshots
* shows screenshots, completely, up-to-date and in the correct language
* shows screenshots also when they are not in the fastlane structure
* has a new and modern codebase and is easy to maintain
* G-Droid is actively maintained (the F-Droid client is not any more)
* many more to come (G-Droid is just a few weeks old) ...

Things that G-Droid can NOT do (yet) compared to F-Droid


* uninstall apps
* show or install an older version of an app
* create a local repo, share apps with 'near' people or share apps via bluetooth
* add other repositories than the F-Droid repo
* use the privileged extension (done, but extension is not adjusted yet)
* update automatically
* http proxy settings
* G-Droid helps you in different ways to find better apps: but in some cases you might still need the 'share' button, to open that app in F-Droid to install it. G-Droid right now is not yet a complete replacement for the F-Droid app.

Things that are the same in G-Droid and F-Droid


* shows the same apps - G-Droid does not add any apps or modify the builds, signatures or download URLs
* all additional meta-data is provided by F-Droid as well (eg. the link to github)
* GPL3 license
(lists from https://gitlab.com/gdroid/gdroidclient/blob/master/README.md)

sounds promising

https://f-droid.org/en/packages/org.gdroid.gdroid/
https://gitlab.com/gdroid/gdroidclient/

#f-droid #g-droid #open-source #foss #android
 
Image/photo
Image/photo
Image/photo
Image/photo
Image/photo
Image/photo
Image/photo
Image/photo

Briar - Darknet Messenger ... или Хорошие новости из темных подземелий mesh-сетей :)


https://briarproject.org/

- Peer-to-peer encrypted messaging and forums

- Messages are stored securely on your device, not in the cloud

- Connect directly with nearby contacts - no Internet access required

- Free and open source software


Во-первых, добрый день всем моим друзьям и подписчикам (давненько я тут не общался, ибо был в поездках и попутно занимался своей второй книгой). Рад всех видеть и слышать!

Сегодня я хочу сказать пару слов о проекте #Briar. Надо упомянуть, что я давно следил за его развитием, но принципиально не писал о нем ни единого слова, так как он длительное время находился в состоянии бета-тестирования (а я не имею привычки рекомендовать что-то присутствующим, пока сам не испробовал софт на пригодность, плюс - не вник в то, что находится у него "под капотом").

Но пару месяцев назад (и я сей факт благополучно проспал!) :) случилось знаменательное событие - этот распределенный мессенджер наконец-то выпустил свою первую официальную версию. И я спешу сообщить всем о более конкретных результатах исследований...

Итак, вначале - немножко официальной информации:
Briar is a messaging app designed for activists, journalists, and anyone else who needs a safe, easy and robust way to communicate. Unlike traditional messaging apps, Briar doesn't rely on a central server - messages are synchronized directly between the users' devices. If the internet's down, Briar can sync via Bluetooth or Wi-Fi, keeping the information flowing in a crisis. If the internet's up, Briar can sync via the Tor network, protecting users and their relationships from surveillance.

Briar provides private messaging, public forums and blogs that are protected against the following surveillance and censorship threats:

- Metadata surveillance. Briar uses the Tor network to prevent eavesdroppers from learning which users are talking to each other. Each user's contact list is encrypted and stored on her own device.
- Content surveillance. All communication between devices is encrypted end-to-end, protecting the content from eavesdropping or tampering.
- Content filtering. Briar's end-to-end encryption prevents keyword filtering, and because of its decentralized design there are no servers to block.
- Takedown orders. Every user who subscribes to a forum keeps a copy of its content, so there's no single point where a post can be deleted.
- Denial of service attacks. Briar's forums have no central server to attack, and every subscriber has access to the content even if they're offline.
- Internet blackouts. Briar can operate over Bluetooth and Wi-Fi to keep information flowing during blackouts.

Briar is designed to resist surveillance and censorship by an adversary with the following capabilities:

- All long-range communication channels (internet, phone network, etc) are comprehensively monitored by the adversary.
- The adversary can block, delay, replay and modify traffic on long-range communication channels.
- The adversary has a limited ability to monitor short-range communication channels (Bluetooth, WiFi, etc).
- The adversary has a limited ability to block, delay, replay and modify traffic on short-range communication channels.
- The adversary can deploy an unlimited number of devices running Briar.
- There are some users who can keep their devices secure - those who can't are considered, for the purposes of the threat model, to be controlled by the adversary.
- The adversary has a limited ability to persuade users to trust the adversary's agents - thus the number of social connections between the adversary's agents and the rest of the network is limited.
- The adversary can't break standard cryptographic primitives.
Настоятельно рекомендую также прочитать подробности о протоколах:

A quick overview of the protocol stack https://code.briarproject.org/briar/briar/wikis/A-Quick-Overview-of-the-Protocol-Stack
BDF - a structured data format https://code.briarproject.org/briar/briar-spec/blob/master/BDF.md
BQP - a key agreement protocol https://code.briarproject.org/briar/briar-spec/blob/master/protocols/BQP.md
BSP - an application layer data synchronisation protocol for delay-tolerant networks https://code.briarproject.org/briar/briar-spec/blob/master/protocols/BSP.md
BTP - a transport layer security protocol for delay-tolerant networks https://code.briarproject.org/briar/briar-spec/blob/master/protocols/BTP.md

Ну а теперь - о том же самом, но более подробно.

Самое главное преимущество Briar - его децентрализованность. В отличие от многих новомодных и широко разрекламированных мантрами "Ассандж рекомендовал" и "Сноуден посоветовал" :) мессенджеров, он НЕ имеет централизованного/управляющего сервера (следовательно - нет предмета для блокировки); НЕ использует для регистрации персонифицированные пользовательские данные (почтовый адрес, номер телефона и т.п., НЕ задействует метадату, НЕ стремится скачать с вашего смарфтона полный список контактов (и попутно - неприличные фотографии любимой девушки!) :)

А. Briar работает в трех режимах:

а) Соединения при помощи "луковой" маршрутизации (важное примечание: насколько я вник и понял, в архитектуре НЕ задействуются "выходные ноды" - основные точки приложения атак. Почему именно он не использует exits? Да потому что в его работе вообще НЕ требуется выход "в обыкновенный интернет" - вся деятельность обеспечивается скрытыми сервисами. Если еще точнее: иногда соединение с WWW все же требуется, но этот случай я опишу отдельно и заодно укажу угрозу DNS-leak, связанную с ним).

б) Соединения с помощью Wi-Fi (наличие интернета не нужно), приватную точку которого может запустить любой желающий, например - со смартфона, планшета или нетбука.

в) Соединения с помощью Bluetooth. Это очень интересный вариант конфиденциальной передачи информации: мессенджер работает в режиме постоянного сканирования физического окружения и при опознании "своего" (зарегистрированного и подтвержденного!) контакта, находящегося поблизости в аналогичном режиме онлайн, тут же приватно передает и принимает накопившиеся сообщения, новые записи блогов, форумов и даже содержимое RSS-лент... Идеальное средство для Джеймса Бонда, :) исключающее любой деанонимизирующе-физический контакт с реципиентом: достаточно лишь пройти друг мимо друга!

Важно: соединения работают по принципу peer-to-peer. Пользовательские метаданные не отслеживаются.

Б. Мессенджер использует end-to-end шифрование, основанное на эллиптических кривых. Что такое эллиптические кривые (ECC) сегодня известно даже детям, :) для остальных - на всякий случай привожу ниже ссылку на ВИКИ.

В. Briar НЕ хранит пользовательские данные "где-то в интернетах" - в облаке, на скрытом .onion ресурсе и т.п. Весь контент содержится на пользовательском девайсе в зашифрованном виде.

Г. Что же представляет из себя "пользовательский контент"? Это очень интересный вопрос, обеспечиваемый разнообразным функционалом мессенджера. Вы можете создавать:

а) приватные чаты;
б) приватные группы;
в) личные блоги;
г) форумы;
д) коллекции RSS-лент.

Важное и интересное примечание: архитектура сети/протоколов НЕ позволит вам удалить написанное в блогах или на форумах, включая комментарии к чужим сообщениям (по поводу приватных чатов ничего сказать не могу), так как в процессе синхронизации весь подобный контент тут же распространяется по всем девайсам всех ваших контактов. (Вполне возможно - лишь по тем контактам, кому лично вы разрешили подписаться на блог и т.п.)

Д. Briar работает "из коробки". Даже по размеру проинсталлированного софта (37+ Мб) очевидно, что обеспечение "луковичной маршрутизации" жестко встроено в программу; следовательно - нет нужды подключать orbot и настраивать взаимодействие с ним.

Е. Обмен контактными данными (т.е. процесс подтверждения личностей при добавлении их в ростер) происходит ТОЛЬКО при физическом контакте. Для этого необходимо взаимно сканировать штрих-коды с экранов смартфонов. Это значительно повышает степень уверенности в том, что при дальнейшем общении "на другом конце линии" находится именно тот человек, личность которого вы персонифицировали ранее. (По поводу верификации см. примечание в конце данного поста).

Важно: пользователь, не имеющий возможности личной встречи с вами, может быть рекомендован проверенным контактом как "друг". Это - аналог сети доверия PGP/GNUPG.

Ё. Скриншоты с рабочих экранов программы блокируются по умолчанию. Это повышает пользовательскую безопасность, но не даст вам, к примеру, сохранить и отослать кому-нибудь свой идентификационный штрих-код.

Ж. Отсутствует ЛЮБАЯ возможность восстановить забытый пароль к пользовательскому аккаунту и БД, о чем разработчики честно предупреждают. Все, что вы можете сделать в подобной ситуации - это полностью удалить аккаунт и его контент. Однако имеется штатная возможность изменить пароль на новый (естественно - подтвердив процесс смены старым паролем).

З. Имеется возможность взаимодействия с "тревожной/красной кнопкой". Она предполагает несколько вариантов, в том числе - быстрое и полное удаление аккаунта и вашей БД. (Примечание: "тревожная кнопка" должна быть установлена самостоятельно. Лично я не тестировал эту опцию)

И. Неочевидная (она запрятана достаточно далеко) функция - это создание коллекции RSS-лент и обмен ею с контактами.

Важное примечание: насколько я понимаю, в Андроиде отсутствует вменяемая поддержка SOCKS 4a, которая обеспечивается только сторонними библиотеками. Поэтому в данном случае DNS-запрос может быть перехвачен, и атакующая сторона, анализируя трафик, в состоянии перенаправить клиент на поддельный сервер. Эта уязвимость подтверждена в бета-версии Briar сторонними исследователями, и уровень опасности помечен как high, "высокий". Исправлена ли она или нет - я не разбирался. В любом случае - будьте осторожны с импортом RSS-лент, так как именно в этом случае идет опосредованный контакт с "обычным интернетом"!

Разработчики и финансирование


В составе - семь ключевых разработчиков (см. ссылку ниже). Briar спонсируется следующими организациями: Small Media, the Open Internet Tools Project, Access, the Open Technology Fund, the Prototype Fund.

Сторонний аудит


На уровне бета-версии сторонний аудит в течение месяца был проведен шестью независимыми исследователями из группы Cure53 (см. их отчет ниже). Ими рекомендовано осуществить повторную проверку после выхода первой версии. Заключение (цитирую):
In their report, they state "the quality and readability of the app’s source code was rather exceptional" and highlight "a good understanding of vulnerability patterns and threats". All the issues found by the audit have been addressed in this beta release. The report concludes that Briar "is able to offer a good level of privacy and security. In other words, the Briar secure messenger can be recommended for use."

Недостатки


Вполне естественно, что при активном использовании mesh-сетей клиенту необходимо:

а) постоянно работать в фоновом режиме (в принципе, это отключаемо);
б) по мере необходимости - обмениваться с контактами большим количеством трафика (совет: не стремитесь заводить много ненужных контактов; также уважайте окружающих - не генерируйте огромное множество пустопорожних сообщений в группах, форумах и блогах);
в) выделять определенное количество дискового пространства под хранение своего и чужого контента (см. предыдущий совет);
г) неэкономно расходовать аккумулятор.

Дальнейшие планы разработчиков


Исходя из анализа сайта производителей, ожидается следующее:

а) работа над уменьшением расхода аккумулятора;
б) возможная(?!) разработка десктопного приложения;
в) обеспечение Wi-Fi direct;
г) обеспечение совместной работы над документами;
д) система кризисного оповещения.

Сразу упомяну: поклонники Apple как всегда обделены (но отнюдь не разработчиками Briar)! :) Как я понял, "айфончики" попросту запрещают длительные фоновые соединения.

... Такие вот дела! Успешного вам тестирования и безопасного использования! :)

ДЛЯ ОЗНАКОМЛЕНИЯ:

https://en.wikipedia.org/wiki/Mesh_networking
https://en.wikipedia.org/wiki/Peer-to-peer
https://en.wikipedia.org/wiki/Wireless_mesh_network
https://en.wikipedia.org/wiki/Elliptic-curve_cryptography

https://cure53.de/
Аудит (PDF): https://briarproject.org/raw/BRP-01-report.pdf

https://briarproject.org/about.html

#briar #im #messenger #internet #wireless #wifi #bluetooth #crypto #elliptic-curves #onion #tor #mesh #peer-to-peer #darknet #darkweb #privacy #security #anonymity #www #web #android #droid #f-droid #rss #chat #forum #blog #lang ru
 
This #Week in #F-Droid - The Flatpak edition
F-Droid - #Free and #OpenSource #Android #App #Repository
- #news #summary #ThisWeekInFdroid #TWIF


In this edition: New automated mirror monitor, repomaker released to Flathub, unofficial F-Droid meeting at 35C3 and talk about Off-Grid Services by @_hc.
https://f-droid.org/en/2018/12/21/twif-35-the-flatpak-edition.html
 
Image/photo

F-DROID.ORG: Second Security Audit Results


Posted on Sep 4, 2018 by eighthave
The second full security audit of F-Droid is complete. We are satisfied with the results, which confirmed again that the core security model and standard operations are solid. The audit pointed out issues in the core build process where we currently rely on manual review by trusted contributors to protect us. This audit also did show that we still have work to do to achieve our goal of keeping the Android client secure even when connected to a malicious server, for example, if an untrusted repository is manually added that was created by its operator to exploit.

The audit was conducted by Radically Open Security, which is a natural partner for F-Droid since they share a focus on free software and open processes. Thanks to Open Tech Fund for finding the auditor and covering the costs of hiring them.

For more information about F-Droid’s security practices, see the documentation about the Security Model.
MORE: https://f-droid.org/en/2018/09/04/second-security-audit-results.html

#android #droid #f-droid #fdroid #free #app #mobile #opensource #securuty #privacy #audit
 

Update v0.8.13


Hey, new #Nomad update now available on #f-droid.

New feautures added such as:
\* Open #youtube links is now as an option, and addrd more youtube url's to be recognised as such
\* Pull to refresh trigger adjusted to makee it feel more natural
\* Added zoom function to work with latst Hubzilla servers
\* Added option to make refresh and go to top buttons visible (now hidden by default)
\* Corrected some more strings

Hope everybody enjoys these changes. :-)
 

Googlefreie Androiden: Yalp-Store als F-Droid-Ergänzung


Über meine Kurzmeldung zu veralteter und potentiell unsicherer Software in F-Droid wurde kontrovers diskutiert. Das Thema benötigt eine genauere Betrachtung, die ich hiermit liefere.

Mittlerweile sind übrigens einige der genannten Apps aktualisiert worden. Das ändert nichts daran, dass Updates regelmäßig und zeitnah erscheinen sollten und nicht nur dann, wenn jemand den Finger in die Wunde legt.

Es gäbe zum Thema Smartphone-Sicherheit wesentlich mehr zu schreiben, wir betrachten hier selbstverständlich nur einen Teilaspekt. IT-Sicherheit ist ein Prozess, der weder beim App-Store beginnt, noch endet. Wenn ihr ein goooglefreies Android eingerichtet habt, habt ihr wahrscheinlich
- euren Bootloader entsperrt und ein Custom-Recovery geflasht.
- eine spezielle Custom-ROM geflasht.
- einen Root-Manager und Apps, die Root-Rechte benötigen, installiert.

All das waren sicherheitsrelevante Entscheidungen, die ein hohes Verständnis für diese Thematik erfordern und nicht leichtfertig getroffen werden sollten.

Lesezeit: 8 Minuten

F-Droid: Mythen


Open-Source-Projekte werden oft von einer kleinen Zahl von Interessierten in ihrer Freizeit betreut. So ist es wenig verwunderlich, dass F-Droid verschiedene Schwächen aufweist, die auf diesen Umstand hindeuten. Es handelt sich trotzdem unbestreitbar um ein wichtiges unterstützenswertes Projekt.

Es sind leider einige Mythen im Umlauf, die nicht der Realität entsprechen und bei einigen sogar zu idealistischem Schwarz-Weiß-Denken führen -- die gilt es zuerst zu entlarven.

Mythos 1: F-Droid-Apps werden immer direkt aus den Quellen gebaut!


Falsch. Dieser Punkt lässt sich leicht anhand der Anleitungen zum Bau von Apps für F-Droid widerlegen:
Instead of (or as well as) including binary APKs from external sources in a repository, you can build them directly from the source code.
Quelle: F-Droid
Das Motto: Alles kann, nichts muss. APKs können also
  • direkt aus der externen Quelle stammen.
  • aus dem Quellcode gebaut werden.
  • mal direkt aus der externen Quelle stammen, mal aus dem Quellcode gebaut werden.

Mythos 2: F-Droid ist sicherer, weil alle Anti-Features entfernt werden!


Falsch. Unfreie Teile in Apps sind im Sinne von F-Droid ein inakzeptables Anti-Feature. Andere, wie Tracking und Werbung, unfreie Erweiterungen und Netzwerkdienste, bleiben in den Apps enthalten und werden nicht genauer spezifiziert.

Anti-Feature-Hinweise findet ihr bei vielen Apps, allerdings schaffen diese wenig Sicherheit. Fennec (Firefox) wird bspw. mit "diese Anwendung verfolgt und versendet ihre Aktivitäten" gekennzeichnet. Hintergrund ist der Telemetrie-Dienst von Mozilla, der allerdings in den Einstellungen deaktiviert werden kann. Erklärt wird das nicht, im Gegenteil wird Verunsicherung geschürt und Nutzer weichen im schlimmsten Fall auf IceCat aus, die trägt nämlich keinen Hinweis, ist allerdings durch eine laxe Updatepolitik unsicher und daher die schlechtere Wahl.

Ansonsten ist die "alles kann, nichts muss"- Mentalität auch hier wiederzufinden. Beim Punkt Application Review Process wird eine "nicht vollständige Aufzählung" von Review-Schritten angegeben. Welche Schritte für eine App tatsächlich durchgeführt worden sind -- und ob überhaupt -- ist nicht überprüfbar.

Mythos 3: F-Droid ist verlässlich, weil die Entwickler ihre Apps dort selbst einstellen und pflegen!


Falsch. Viele F-Droid-Apps werden nicht vom jeweiligen Entwickler selbst gepflegt, dadurch schaffen es viele Apps in den Store, die es dort sonst nicht gäbe -- ein durchaus positiver Aspekt, der nicht frei von Problemen ist. Manchmal könnt ihr Apps über Wochen nicht updaten bzw. installieren, weil neuere Versionen bei F-Droid nicht gebaut werden können, oder der Prozess fehlerhaft war. Eine kurze unvollständige Aufzählung:

Mythos 4: Apps aus F-Droid sind automatisch sicher und privatsphärefreundlich!


Falsch. Es gibt keinen magischen Automatismus, der freie Software sicher und privat macht. Wie oben erwähnt ist Tracking in vielen F-Droid-Apps weiterhin enthalten und die fehlenden Updates können eure Apps lahmlegen oder sogar ein Sicherheitsrisiko darstellen. Selbst nach vielen Monaten ohne Update sind Apps weiterhin installierbar, einen Warnhinweis gibt es nicht.

Mehr über die Risiken nicht gewarteter Open-Source-Software, könnt ihr beim Infosec-Handbook und im Artikel FOSS is free as in toilet erfahren.

F-Droid: Updates


Dass Updates in F-Droid tatsächlich nicht schnell genug erscheinen, kann ich euch am Beispiel von Firefox erläutern. Schon vor einem Jahr habe ich Firefox ein paar Monate plattformübergreifend beobachtet und [url=https://web.archive.org/web/20180525211843/https://datenschutzhelden.org/2017/12/13/firefox-original-vs-forks/]über Updateprobleme berichtet[/url]. Fennec, IceCat und Firefox Klar stehen in F-Droid zum Download bereit.
  • Fennec: Als im Dezember 2017 der Buildserver von F-Droid versagte, kamen wochenlang keine Updates für Fennec (und viele andere Apps). Im Februar 2018 erschien es dann endlich, allerdings war der Browser damit trotzdem eine Version hinter dem aktuellen Release. Eine Stichprobe für das Update auf Firefox 63, das mehrere kritische Sicherheitslücken schloss, ergab, dass F-Droid sieben Tage nach Mozilla das Update ausrollte. Zeitversetzte Updates sind definitiv die Regel und keine Ausnahme, die, wie zu Jahresbeginn, nur bei technische Problemen auftritt.
  • IceCat: Die GNU-Variante von Firefox steht bei mir, wegen der katastrophalen Updatepolitik, schon seit längerem in der Kritik. Die neue und auch aktuelle Version in F-Droid ist vom 5. Dezember 2018, in den sieben Monaten dazwischen sammelten sich die Sicherheitslücken förmlich. Solange nicht klar ist, ob Updates zukünftig regelmäßiger erscheinen, ist die Eiskatze nicht zu empfehlen.
  • Firefox Klar: F-Droid bietet Version 6.1.1 und der Play-Store Version 7.0.13 -> ebenfalls out-of-date. Sicherheitslücken wurden nicht geschlossen, allerdings verpasst ihr ein neues Feature und einige Verbesserungen.
Der auf IT-Sicherheit spezialisierte Felix von Leitner schrieb zu diesem Thema folgendes:
Insbesondere da man heute davon ausgehen muss, dass es unter 24h dauert nach der Verfügbarkeit von einem Patch, bis der Exploit dazu reverse engineered wurde. Wenn also das Patch-Verteilen länger als 24h dauert, ist es zu langsam. Das ist eine harte Grenze. Ich würde sogar "die Welt muss die Patches innerhalb von 12h haben" sagen.
Quelle: Fefes Blog
Der Schluss daraus: Sicherheitskritische Updates sollten immer so schnell wie möglich eingespielt werden.

Ein Update ist nicht zwingend sicherheitsrelevant, enthält aber Features und Verbesserungen, die sich möglicherweise auf die Stabilität eurer App auswirken. Das Ausbleiben eines solchen Updates kann, wie oben am Beispiel vom Yalp-Store beschrieben, eure App komplett lahmlegen.

Yalp-Store ≠ Google Play-Store


Wenn ihr euch die Mühe gemacht habt ein googlefreies Android einzurichten, habt ihr euch gegen Googles Geschäftspraktiken entschieden, deswegen fühlt sich die Verwendung von Apps aus dem Play-Store möglicherweise wie ein Rückschritt an. Diese Sichtweise ist nachvollziehbar, aber wenig hilfreich.

Google ist
- gut aufgestellt, wenn es um eure Sicherheit geht.
- schlecht aufgestellt, wenn es um eure Privatsphäre geht.

Warum macht ihr euch nicht beides zunutze?

Mit dem Verzicht auf die Google-Dienste, habt ihr euch von Googles mannigfaltigen Überwachungs- und Kontrollmaßnahmen befreit -- ein guter Schritt, der euch leider auch vom Play-Store abschneidet, der automatisch stets aktuelle, auf Schadwarefreiheit geprüfte und signierte Updates ausliefert. Die Lösung lautet Yalp-Store.

Mit dem Yalp-Store könnt ihr Apps aus dem Play-Store suchen und herunterladen, automatisch auf Updates prüfen und somit eure Apps aktuell halten. Yalp fungiert außerdem als eine Art Puffer zwischen euch und Google. Dafür nutzt es folgende Features:
  • Yalp-eigene Konten für die Anmeldung bei Google Play. (Echte Google-Konten können auch genutzt werden.)
  • Der Datenverkehr kann nativ mit Orbot durch Tor getunnelt werden.
  • Weiße und schwarze Listen für App-Aktualisierungen, um nicht alle installierten Apps an Google zu verraten.
Darüber hinaus hilft Yalp beim Abwägen, ob ihr einer App trauen könnt, indem es
- anzeigt ob Werbung enthalten ist.
- anzeigt ob In-App-Käufe enthalten sind.
- anzeigt ob die Google Play-Dienste benötigt werden. Googlefreie Androiden können diese Apps respektive einzelne Funktionen darin normalerweise nicht nutzen.
- einen Bericht von Exodus Privacy anzeigt.



Fazit


Die Nutzung von F-Droid und Yalp-Store ist für googlefreie Android-Smartphones eine nützliche Kombination. Manche Apps gibt es nur in einem der beiden Stores und ich würde bspw. weder auf Dandelion* und Riot (F-Droid), noch auf Signal, Wire und Keybase (Google Play) und den Komfort der automatischen Update-Benachrichtigung verzichten wollen.

Durch den Artikel ist deutlich geworden, dass weder der F-Droid- noch der Google Play-Store frei von Problemen ist. Apps, von denen ihr tunlichst die Finger lassen solltet, findet ihr in beiden Quellen. Es liegt an euch zu entscheiden, welcher App ihr trauen wollt und welcher besser nicht. Die Nutzung vom Yalp-Store ist höchst sinnvoll, wahrscheinlich sogar alternativlos, wenn es um sicherheitsrelevante Apps geht.
librejoker
2018/12/10

Lizenz:
Image/photo

STOP stealing our stuff Kuketz!

Tags:
#android #f-droid #yalp #yalp-store #freesoftware #foss #free #opensource #maintenance #security #infosec #cybersecurity #librejoker
 

Googlefreie Androiden: Yalp-Store als F-Droid-Ergänzung


Über meine Kurzmeldung zu veralteter und potentiell unsicherer Software in F-Droid wurde kontrovers diskutiert. Das Thema benötigt eine genauere Betrachtung, die ich hiermit liefere.

Mittlerweile sind übrigens einige der genannten Apps aktualisiert worden. Das ändert nichts daran, dass Updates regelmäßig und zeitnah erscheinen sollten und nicht nur dann, wenn jemand den Finger in die Wunde legt.

Es gäbe zum Thema Smartphone-Sicherheit wesentlich mehr zu schreiben, wir betrachten hier selbstverständlich nur einen Teilaspekt. IT-Sicherheit ist ein Prozess, der weder beim App-Store beginnt, noch endet. Wenn ihr ein goooglefreies Android eingerichtet habt, habt ihr wahrscheinlich
- euren Bootloader entsperrt und ein Custom-Recovery geflasht.
- eine spezielle Custom-ROM geflasht.
- einen Root-Manager und Apps, die Root-Rechte benötigen, installiert.

All das waren sicherheitsrelevante Entscheidungen, die ein hohes Verständnis für diese Thematik erfordern und nicht leichtfertig getroffen werden sollten.

Lesezeit: 8 Minuten

F-Droid: Mythen


Open-Source-Projekte werden oft von einer kleinen Zahl von Interessierten in ihrer Freizeit betreut. So ist es wenig verwunderlich, dass F-Droid verschiedene Schwächen aufweist, die auf diesen Umstand hindeuten. Es handelt sich trotzdem unbestreitbar um ein wichtiges unterstützenswertes Projekt.

Es sind leider einige Mythen im Umlauf, die nicht der Realität entsprechen und bei einigen sogar zu idealistischem Schwarz-Weiß-Denken führen -- die gilt es zuerst zu entlarven.

Mythos 1: F-Droid-Apps werden immer direkt aus den Quellen gebaut!


Falsch. Dieser Punkt lässt sich leicht anhand der Anleitungen zum Bau von Apps für F-Droid widerlegen:
Instead of (or as well as) including binary APKs from external sources in a repository, you can build them directly from the source code.
Quelle: F-Droid
Das Motto: Alles kann, nichts muss. APKs können also
  • direkt aus der externen Quelle stammen.
  • aus dem Quellcode gebaut werden.
  • mal direkt aus der externen Quelle stammen, mal aus dem Quellcode gebaut werden.

Mythos 2: F-Droid ist sicherer, weil alle Anti-Features entfernt werden!


Falsch. Unfreie Teile in Apps sind im Sinne von F-Droid ein inakzeptables Anti-Feature. Andere, wie Tracking und Werbung, unfreie Erweiterungen und Netzwerkdienste, bleiben in den Apps enthalten und werden nicht genauer spezifiziert.

Anti-Feature-Hinweise findet ihr bei vielen Apps, allerdings schaffen diese wenig Sicherheit. Fennec (Firefox) wird bspw. mit "diese Anwendung verfolgt und versendet ihre Aktivitäten" gekennzeichnet. Hintergrund ist der Telemetrie-Dienst von Mozilla, der allerdings in den Einstellungen deaktiviert werden kann. Erklärt wird das nicht, im Gegenteil wird Verunsicherung geschürt und Nutzer weichen im schlimmsten Fall auf IceCat aus, die trägt nämlich keinen Hinweis, ist allerdings durch eine laxe Updatepolitik unsicher und daher die schlechtere Wahl.

Ansonsten ist die "alles kann, nichts muss"- Mentalität auch hier wiederzufinden. Beim Punkt Application Review Process wird eine "nicht vollständige Aufzählung" von Review-Schritten angegeben. Welche Schritte für eine App tatsächlich durchgeführt worden sind -- und ob überhaupt -- ist nicht überprüfbar.

Mythos 3: F-Droid ist verlässlich, weil die Entwickler ihre Apps dort selbst einstellen und pflegen!


Falsch. Viele F-Droid-Apps werden nicht vom jeweiligen Entwickler selbst gepflegt, dadurch schaffen es viele Apps in den Store, die es dort sonst nicht gäbe -- ein durchaus positiver Aspekt, der nicht frei von Problemen ist. Manchmal könnt ihr Apps über Wochen nicht updaten bzw. installieren, weil neuere Versionen bei F-Droid nicht gebaut werden können, oder der Prozess fehlerhaft war. Eine kurze unvollständige Aufzählung:

Mythos 4: Apps aus F-Droid sind automatisch sicher und privatsphärefreundlich!


Falsch. Es gibt keinen magischen Automatismus, der freie Software sicher und privat macht. Wie oben erwähnt ist Tracking in vielen F-Droid-Apps weiterhin enthalten und die fehlenden Updates können eure Apps lahmlegen oder sogar ein Sicherheitsrisiko darstellen. Selbst nach vielen Monaten ohne Update sind Apps weiterhin installierbar, einen Warnhinweis gibt es nicht.

Mehr über die Risiken nicht gewarteter Open-Source-Software, könnt ihr beim Infosec-Handbook und im Artikel FOSS is free as in toilet erfahren.

F-Droid: Updates


Dass Updates in F-Droid tatsächlich nicht schnell genug erscheinen, kann ich euch am Beispiel von Firefox erläutern. Schon vor einem Jahr habe ich Firefox ein paar Monate plattformübergreifend beobachtet und [url=https://web.archive.org/web/20180525211843/https://datenschutzhelden.org/2017/12/13/firefox-original-vs-forks/]über Updateprobleme berichtet[/url]. Fennec, IceCat und Firefox Klar stehen in F-Droid zum Download bereit.
  • Fennec: Als im Dezember 2017 der Buildserver von F-Droid versagte, kamen wochenlang keine Updates für Fennec (und viele andere Apps). Im Februar 2018 erschien es dann endlich, allerdings war der Browser damit trotzdem eine Version hinter dem aktuellen Release. Eine Stichprobe für das Update auf Firefox 63, das mehrere kritische Sicherheitslücken schloss, ergab, dass F-Droid sieben Tage nach Mozilla das Update ausrollte. Zeitversetzte Updates sind definitiv die Regel und keine Ausnahme, die, wie zu Jahresbeginn, nur bei technische Problemen auftritt.
  • IceCat: Die GNU-Variante von Firefox steht bei mir, wegen der katastrophalen Updatepolitik, schon seit längerem in der Kritik. Die neue und auch aktuelle Version in F-Droid ist vom 5. Dezember 2018, in den sieben Monaten dazwischen sammelten sich die Sicherheitslücken förmlich. Solange nicht klar ist, ob Updates zukünftig regelmäßiger erscheinen, ist die Eiskatze nicht zu empfehlen.
  • Firefox Klar: F-Droid bietet Version 6.1.1 und der Play-Store Version 7.0.13 -> ebenfalls out-of-date. Sicherheitslücken wurden nicht geschlossen, allerdings verpasst ihr ein neues Feature und einige Verbesserungen.
Der auf IT-Sicherheit spezialisierte Felix von Leitner schrieb zu diesem Thema folgendes:
Insbesondere da man heute davon ausgehen muss, dass es unter 24h dauert nach der Verfügbarkeit von einem Patch, bis der Exploit dazu reverse engineered wurde. Wenn also das Patch-Verteilen länger als 24h dauert, ist es zu langsam. Das ist eine harte Grenze. Ich würde sogar "die Welt muss die Patches innerhalb von 12h haben" sagen.
Quelle: Fefes Blog
Der Schluss daraus: Sicherheitskritische Updates sollten immer so schnell wie möglich eingespielt werden.

Ein Update ist nicht zwingend sicherheitsrelevant, enthält aber Features und Verbesserungen, die sich möglicherweise auf die Stabilität eurer App auswirken. Das Ausbleiben eines solchen Updates kann, wie oben am Beispiel vom Yalp-Store beschrieben, eure App komplett lahmlegen.

Yalp-Store ≠ Google Play-Store


Wenn ihr euch die Mühe gemacht habt ein googlefreies Android einzurichten, habt ihr euch gegen Googles Geschäftspraktiken entschieden, deswegen fühlt sich die Verwendung von Apps aus dem Play-Store möglicherweise wie ein Rückschritt an. Diese Sichtweise ist nachvollziehbar, aber wenig hilfreich.

Google ist
- gut aufgestellt, wenn es um eure Sicherheit geht.
- schlecht aufgestellt, wenn es um eure Privatsphäre geht.

Warum macht ihr euch nicht beides zunutze?

Mit dem Verzicht auf die Google-Dienste, habt ihr euch von Googles mannigfaltigen Überwachungs- und Kontrollmaßnahmen befreit -- ein guter Schritt, der euch leider auch vom Play-Store abschneidet, der automatisch stets aktuelle, auf Schadwarefreiheit geprüfte und signierte Updates ausliefert. Die Lösung lautet Yalp-Store.

Mit dem Yalp-Store könnt ihr Apps aus dem Play-Store suchen und herunterladen, automatisch auf Updates prüfen und somit eure Apps aktuell halten. Yalp fungiert außerdem als eine Art Puffer zwischen euch und Google. Dafür nutzt es folgende Features:
  • Yalp-eigene Konten für die Anmeldung bei Google Play. (Echte Google-Konten können auch genutzt werden.)
  • Der Datenverkehr kann nativ mit Orbot durch Tor getunnelt werden.
  • Weiße und schwarze Listen für App-Aktualisierungen, um nicht alle installierten Apps an Google zu verraten.
Darüber hinaus hilft Yalp beim Abwägen, ob ihr einer App trauen könnt, indem es
- anzeigt ob Werbung enthalten ist.
- anzeigt ob In-App-Käufe enthalten sind.
- anzeigt ob die Google Play-Dienste benötigt werden. Googlefreie Androiden können diese Apps respektive einzelne Funktionen darin normalerweise nicht nutzen.
- einen Bericht von Exodus Privacy anzeigt.



Fazit


Die Nutzung von F-Droid und Yalp-Store ist für googlefreie Android-Smartphones eine nützliche Kombination. Manche Apps gibt es nur in einem der beiden Stores und ich würde bspw. weder auf Dandelion* und Riot (F-Droid), noch auf Signal, Wire und Keybase (Google Play) und den Komfort der automatischen Update-Benachrichtigung verzichten wollen.

Durch den Artikel ist deutlich geworden, dass weder der F-Droid- noch der Google Play-Store frei von Problemen ist. Apps, von denen ihr tunlichst die Finger lassen solltet, findet ihr in beiden Quellen. Es liegt an euch zu entscheiden, welcher App ihr trauen wollt und welcher besser nicht. Die Nutzung vom Yalp-Store ist höchst sinnvoll, wahrscheinlich sogar alternativlos, wenn es um sicherheitsrelevante Apps geht.
librejoker
2018/12/10

Lizenz:
Image/photo

STOP stealing our stuff Kuketz!

Tags:
#android #f-droid #yalp #yalp-store #freesoftware #foss #free #opensource #maintenance #security #infosec #cybersecurity #librejoker
 
@Cheng Shihchieh are there any plans to put DiCa on #F-Droid?
 
Rabbit Escape, a nice Android game inspired by Lemmings, where you need to get rabbits to safety. You can find it on #F-Droid.

Image/photo
 

F-Droid: frei, veraltet, unsicher


Wenn ihr dem Aufruf der Free Software Foundation Europe gefolgt seid und euer Adroid Smarthone von Google befreit habt, verlasst ihr euch vermutlich komplett auf F-Droid, den freien App-Store. Oft wird freie Sofftware darüber hinaus pauschal als privat und sicher bezeichnet, allerdings bedeutet veraltete Software genau das Gegenteil.

In den vergangenen Monaten haben wir immer wieder veraltete Software im F-Droid App-Store entdeckt, darunter Firefox Derivate wie IceCat und Fennec, Riot (Matrix-Client). Nun mussten wir feststellen, dass sogar der Tor-Proxy Orbot ein halbes Jahr kein Update erhalten hat. Obwohl die Paketquellen des Guardian Projekts direkt eingebunden sind, wird Orbot nur in der veralteten Version 16.0.2-RC-1 vom Mai 2018 angeboten, die aktuelle Version ist jedoch vom 14.11.2018.

Unser Lösungsvorschlag:
F-Droid alleine zu verwenden ist keine Alternative mehr. Ihr solltet euch unbedingt den Yalp Store installieren, über den ihr Apps direkt aus Google Play beziehen könnt. Normalerweise könnt ihr den bequem bei F-Droid herunterladen, doch die dort erhältliche Version produziert bei jedem Start einen Fehler und ist dadurch praktisch nicht nutzbar. Unserer Ansicht nach ein weiterer Hinweis auf die unfassbaren Zustände des freien App-Stores, besonders weil die fehlerfreie Version bereits seit Oktober bereit steht. Ihr müsst also, bevor ihr den Workaround nutzen könnt, einen weiteren Workaround durchführen: ladet euch Yalp aus Github herunter.

#android #fdroid #f-droid #freesoftware #foss #free #opensource #maintenance #security #infosec #cybersecurity
 
This #Week in #F-Droid - #Building the #Android #SDKs as #Free #Software, and other #calls for #help
F-Droid - #Free and #OpenSource #Android #App #Repository
- #news #summary #ThisWeekInFdroid #TWIF


In this edition: Building the Android SDKs as Free Software, F-Droid buildserver container, F-Droid article in c’t magazine, repomaker Flatpak and TWIF Call for Help. There are 8 new and 67 updated apps.
https://f-droid.org/en/2018/11/30/twif-32-fixme-building-the-android-sdks-as-free-software-and-other-calls-for-help.html
 

#F-Droid is an open source ethical alternative to Google Play, and can be installed on most Android devices.


Unlike commercial app stores, apps on F-Droid are free, open source and privacy-friendly.

You can find out more at:

https://f-droid.org/

You can follow their official account on the Fediverse at:

@fdroidorg@mastodon.technology

#AlternativesAtoZ #Fdroid #DeleteGoogle #AppStores
 
Anyone using Silence encrypted SMS/MMS messenger? What's your experience with it?
https://silence.im/
#silence #f-droid #foss #privacy #security #foss #messenger
 
This #Week in #F-Droid
F-Droid - #Free and #OpenSource #Android #App #Repository
- #news #summary #ThisWeekInFdroid #TWIF


In this edition: A look into app rankings and Briar arrives as reproducible build. There are 16 new and 58 updated apps.
https://f-droid.org/en/2018/11/23/twif-31-a-look-at-app-rankings-and-briar-arrives.html
 

Update v0.8.12


Hey!
New features in #Nomad update on #f-droid.
\* swipe to refresh page
\* open #youtube videos in external app.

Maybe i updated a bit to soon :-)
The swipe trigger is set to high and was thinking to make open youtube links in external app optional for users who want to disable it.
Those things are ready to get pushed for next update, before i do that want to translate a few things.
So next update will not be far away.
Stay tuned.
 
newer older