Erfahrungen mit alternativen Appstores

[Helblindi]

Wie so mancher hier vielleicht schon mitbekommen hat wird das Shift 8 mein erstes Android Handy und eins meiner Kriterien für einen Wechsel war ein googlefreies Android so wird auf meinem Shift 8 dann auch ShiftOS - L installiert.
Die Wartezeit auf das Shift 8 nutze ich um mich bestmöglich auf den Umstieg vorzubereiten. Beim recherchieren bin ich natürlich auch auf die alternativen Appstores gestolpert und neben F-Droid und Aurora eben auch immer mal wieder über UptoDown.
In F-Droid und Aurora bekomme ich alle Apps die ich verwende ,aber da ich auf jedes Szenario vorbereitet sein will könnte UptoDown hilfreich sein bevor ich auf ein anderes googlefreies Android zurückgreifen müsste.

Daher meine Frage an die erfahrene Shift Gemeinde - Habt ihr mit UptoDown schon Erfahrungen gemacht und wenn ja welche. Trotz des Sicherheitsberichtes ,den UtD bei jeder App angibt bin etwas skeptisch/misstrauisch und wäre daher für jeden Erfahrungsbericht dankbar.

Danke schon mal im Voraus

 

[HansDampf]

https://forum.shiftphones.com/threads/worauf-basieren-die-aktuellen-betriebssysteme.4701/

 

[HansDampf]

https://forum.shiftphones.com/threads/worauf-basieren-die-aktuellen-betriebssysteme.4701/

Hier sind einige Appstors und u.a. was über uptoDown geschrieben.
Die Quelle ist aus meiner Sicht unsicherer als andere Quellen/Appstores.
Oder hier wären auch noch ein paar Kommentare hierzu:
https://forum.shiftphones.com/threads/update-verschiedener-quellen.5324/#post-52523

 

[Helblindi]

Danke ich werd mich da mal durchhören.

Edit: Ah nochmal danke ,da werden auch noch weitere alternativen genannt mit denen ich mIch mal beschädigen sollte.

 

[gerrit]

Danke ich werd mich da mal durchhören.

Edit: Ah nochmal danke ,da werden auch noch weitere alternativen genannt mit denen ich mIch mal beschädigen sollte.

Lieber beschäftigen als beschädigen
Ich habe bis jetzt in F-Droid und Aurora alles gefunden

 

[Helblindi]

Hast natürlich Recht @gerrit Das passiert wenn ich meinem Handy nicht richtig zuhör.

Meine bisher genutzten Apps bekomme ich ,meiner Nachforschung nach ,auch alle bei den beiden Stores.

Für meinen "Notfallplan" bedarf es aber eines Screenreaders und der is wohl in keinem der beiden Stores zu finden. (die Aussage basiert aber bisher nur auf der Auskunft der Internetsuche)

 

[Dwain Zwerg]

1. Es gibt nur einen einzigen wirklich sicheren AppStore für Android: https://accrescent.app/. Der hat dann aber natürlich nur begrenzt Apps, denn ein genaues manuelles Prüfen von (ausschließlich OpenSource-)Apps durch Experten braucht natürlich viel Zeit. Allerdings wird die Datei ausgeteilt, die der Entwickler gebaut/signiert hat (siehe eins unten; die Betreiber sehen dies aber als Vorteil, weil man damit keiner weiteren Partei vertrauen muss):
2. F-Droid (Official) überprüft Open Source Apps mehr oder weniger halbautomatisch und baut die Apps aus dem Source Code (um zu vermeiden, dass der App-Entwickler unerwünschte Bestandteile in seiner eigens gebauten Installationsdatei hinzufügt (die er natürlich im Source Code nicht veröffentlicht). F-Droid verteilt vereinzelt auch von ihnen manipulierte Apps, die somit keine Trackingmodule mehr beinhalten. Dies kommunizieren sie dann aber auch (siehe OsmAnd~ statt dem originalen OsmAnd Plus Pro). Wenn die Apps nicht reproducible builds unterstützen, haben sie eine andere (die F-Droid-)Signatur als das Release vom Entwickler. Das bedeutet, dass man bei nicht reproducible builds einer weiteren Partei (F-Droid) vertrauen muss.
3. Zum offiziellen F-Droid-Client (wobei manche andere (inoffizielle) Clients sicherer sind (liegt daran, wie gut verschlüsselt die Installationsdateien vom Server zum Client übertragen werden)) können weitere „Repositories“ (vereinfacht App-Stores) hinzugefügt werden, wie z.B. IzzyOnDroid des Forumsmitglieds (und Mitglied des Teams von F-Droid) @Izzy. IzzyOnDroid hat mehr/andere Apps zu bieten, was auf einer noch automatisierteren Überprüfung anderer Regeldefinitionen basiert. Es gibt teilweise von (nicht zwingend OpenSource(man denke an die Tagesschau)-)App-Entwicklern, die teilweise die Voraussetzungen von F-Droid und/oder Izzy nicht erfüllen, weitere Repositories, die man ebenfalls zu einem F-Droid Client hinzufügen kann. Bei den inoffiziellen Clients sind teilweise bereits weitere Repositories eingetragen. Hier eine Liste aller bekannten Repositories: https://forum.f-droid.org/t/known-repositories/721
4. Der Google Play Store überprüft den Source Code seiner Apps durch seinen vollautomatischen, ominösen, proprietären manchmal (nicht häufig, aber immerhin doch manchmal) false-positive und manchmal false-negative anschlagenden allmächtigen Algorithmus, gegen dessen Entscheidungen Entwickler quasi nicht Berufung einlegen können und signiert anschließend mit dem Signaturschlüssel der Entwickler die von ihm gebaute App. Der AuroraStore ist ein inoffizieller OpenSource-Client, der Privatsphäre freundlicher, aber auch unsicherer (liegt an der Verschlüsselung zwischen Server und Client) Apps aus dem Google Play Store herunterladen kann. Die meisten Apps wird man hier im Google Play Store, fast alle anderen wird man in F-Droid Official oder einem alternativen F-Droid-Repositorie finden. Ein paar wenige Amazon Apps oder Apps, die speziell für FireOS (Android Rom für Amazon Kindle) entwickelt wurden, wird man nur im Amazon Appstore und ein paar wenige Samsung Apps oder Apps, die ausschließlich für Samsung Galaxys entwickelt wurden, nur im Samsung Galaxy Store (wobei die Samsung Apps, ebenso wie der Samsung Galaxy Store nicht auf anderen Androids lauffähig sind (es fehlen wichtige Samsung spezielle Librarys). Die Apps, die man in keinem dieser AppStores findet, sollte man mit äußerster Vorsicht behandeln/betrachten.
5. Es kann dennoch sinnvoll sein, sich den Amazon App Store zu installieren, um normale, für alle Androids entwickelte kostenpflichtige Apps statt über den Google Play Store über den Amazon App Store zu beziehen.
6. OpenApk meint von sich ein „OpenSourceRepository“ zu sein. Bisher sind sie uns aber noch ihren SourceCode und die Offenlegung ihrer Codeüberprüfungen schuldig. Da sie aber lediglich auf das aktuellste GitHub-Release (oder wenn der Entwickler seine App gar nicht selbst baut/signiert das aktuellste F-Droid-Release) verlinken, ist es nicht besonders sicherheitskritisch Apps „von ihnen“ letztlich lädt man ja aber von GitHub/GitLab/Codeberg/Forgejo oder F-Droid herunter) herunterzuladen.
7. Andere AppStores sind sogenannte Reupload Stores. Der Begriff „Reupload Store“ ist dir vielleicht noch aus der Zeit des Beginns des Internets bekannt sind und eine solche Art von Store war 'ne zeitlang für gecrackte oder zumindest gekaufte und dann mit der Öffentlichkeit geteilte Apps bekannt. Solche gibt es auch für Android (https://liteapks.com/ kann man namentlich nennen). uptodown, apkmirror und ApkPure sind aber keine ReUpload Stores, die mit gecracten Apps handeln. Tatsächlich laden hier die Reuploader (die aber immer noch jeder Hans und Franz sein kann; eben auch du) kostenlose Apps, die meist aus dem Google Play Store stammen hoch. Die Betreiber kontrollieren mithilfe von https://www.virustotal.com/gui/home/upload oder, ja nach Anbieter, mit tatsächlich von ihnen eingekauften Virenanbietern, auf verdächtige Signaturen oder Verhalten in einer virtuellen Maschine. Da die Anbieter aber bereits gepackte Apps überprüfen, ist es viel wahrscheinlicher, dass ihnen etwas durchrutscht, weil sie eben nicht in den Source Code schauen können. Dennoch im Ranking der Sicherheit (vermutlich):
   1. apkmirror.com
   2. apkpure.com/apkpure.net
   3. uptodown.com
   4. aptoide.com

 

[Helblindi]

Danke dir @Dwain Zwerg

Sehr sachlich und informativ!

Da hab ich einiges was ich mir anhören kann um das alles auch richtig zu verstehen.
So als schnell Fazit - mein Bauchgefühl hat mich wohl richtig beraten und ich werde UptoDown besser nicht in meinen "Notfallplan" einbeziehen.

 

[Helblindi]

Durch deinen Beitrag @Dwain Zwerg habe ich mir jetzt auch nochmal den F-Droid Store über den Browser genauer angehört (dam mir ein Android Gerät ja noch fehlt ) und habe ,entgegen der Antwort meiner letzten Internetsuche ,festgestellt dass es dort wohl doch eine Option für mich zum download gibt.

Also danke dir nochmal für deine Mühen und deine sehr hilfreichen Informationen. So kann ich wieder ein Häkchen mehr auf meiner "Umstiegs - Vorbereitungsliste" machen.


auch nochmal danke für alle anderen Antworten hier

 

[Dwain Zwerg]

Du kannst ja aber auch über einen der vielen verschiedenen Clients downloaden. Würde ich als komfortablere Lösung bevorzugen. Vor allem, weil dann auch Autoupdate funktioniert.

 

[Helblindi]

Danke @Dwain Zwerg
Das muss ich dann mal testen wenn ich die F-Droid App auf dem Shift 8 testen kann. in der Browser Version kam auch eine Meldung ,dass ich zwar auch die APK laden und installieren könnte ,aber geraten wird die App über die F-Droid App zu installieren ,damit ich die Möglichkeit für Autoupdates habe. (und es sicherer ist)