Worüber wir sprechen, wenn wir über Sideloading sprechen | F-Droid

 (f-droid.org)
1 Punkte von GN⁺ 2025-10-29 | 1 Kommentare | Auf WhatsApp teilen
  • Es gibt Kritik daran, dass Googles neue Richtlinie zur Entwicklerregistrierung die Gerätefreiheit und die Wahlfreiheit bei Software von Android-Nutzern einschränkt
  • Google behauptet, „Sideloading verschwindet nicht“, tatsächlich werde die Struktur aber so geändert, dass jede App-Verteilung Googles Genehmigungsverfahren durchlaufen müsse
  • Diese Richtlinie entzieht Nutzern faktisch die Freiheit, Apps direkt zu installieren oder Open-Source-Repositorien wie F-Droid zu nutzen
  • Google führt zwar eine stärkere Sicherheit als Begründung an, doch Fälle bösartiger Apps im Play Store wiederholen sich und nähren weiter Zweifel an der Zuverlässigkeit
  • Es wird die Notwendigkeit gesellschaftlicher und politischer Gegenmaßnahmen betont, um die Offenheit und digitale Souveränität des weltweiten Android-Ökosystems zu bewahren

Entgegnung auf Googles Behauptung „Sideloading verschwindet nicht“

  • Google hat in einem Video der Android Developers Roundtable und in einem Blogbeitrag ausdrücklich erklärt, „Sideloading ist ein Kernelement von Android und verschwindet nicht“, doch F-Droid hält das für falsch
    • Das neue developer verification decree beendet faktisch das Recht von Einzelpersonen, Software ihrer Wahl frei zu installieren
  • Es wird erläutert, dass der Begriff „Sideloading“ selbst künstlich geschaffen wurde und ursprünglich nichts anderes als der einfache Vorgang der „Installation“ sei
    • Kritisiert wird, dass die direkte Installation ohne einen vermittelnden Marktplatz wie den Google Play Store oder Apple App Store verzerrt und negativ dargestellt wurde
  • Laut der Definition in Wikipedia ist Sideloading die „Übertragung von Apps aus Webquellen, die nicht vom Anbieter genehmigt sind“; wenn Google die Genehmigung aller Quellen verlange, sei das kein Sideloading mehr
    • Entwickler müssen eine Registrierungsgebühr an Google zahlen, ihre Identität und Informationen zu Signaturschlüsseln einreichen und auf Googles Genehmigung warten

Auswirkungen auf die Rechte von Nutzern, Entwicklern und Staaten

  • Nutzer vertrauten beim Kauf eines Android-Geräts auf das Versprechen einer „offenen Plattform“, doch künftige Updates sollen irreversible Beschränkungen erzwingen
    • Das System werde so umgestellt, dass Google darüber entscheidet, welcher Software vertraut werden kann
  • Entwickler können Apps nicht länger frei erstellen und direkt vertreiben, sondern müssen vorab Googles Genehmigung einholen
    • Der zentrale Wert der Offenheit von Android war ein Unterscheidungsmerkmal zum iPhone, doch dieses Prinzip werde nun aufgegeben
  • Auch auf staatlicher Ebene besteht das Risiko, dass die digitale Souveränität der Bürger Konzernen untergeordnet wird
    • Google hat in der Vergangenheit auf Anfrage autoritärer Regierungen rechtmäßige Apps entfernt, was auch für den Betrieb öffentlicher Software ein Unsicherheitsfaktor ist
  • Diese Richtlinie gilt nicht nur für den Google Play Store, sondern für alle Android Certified-Geräte, sodass auch Nutzer alternativer Stores wie F-Droid oder Epic Games Store denselben Einschränkungen unterliegen

Die Fragwürdigkeit von Googles behaupteter „sichererer Umgebung“

  • Google rechtfertigt die Richtlinie mit eigenen Analysen, wonach „in Internet-Sideloading-Quellen 50-mal mehr Malware gefunden wird als im Play Store
    • F-Droid erklärt jedoch, diese Analyse nie gesehen zu haben, und kritisiert die Zahl als unbelegte Angabe
  • Unter Verweis auf den jüngsten Fall, in dem 224 bösartige Apps wegen einer Werbebetrugskampagne aus dem Play Store entfernt wurden, wird angemerkt, Google solle sich eher auf die Verbesserung seiner eigenen Sicherheitssysteme konzentrieren, statt externe Communities zu beschuldigen
  • Ein weiterer Bericht nennt bösartige Apps mit mehr als 19 Millionen Downloads im Play Store, weshalb es wenig vertrauenswürdig sei, die Erkennung von Malware allein dem Urteil eines einzelnen Unternehmens zu überlassen
    • Es wird die Sorge geäußert, dass Googles kommerzielle Interessen Vorrang vor dem Schutz der Nutzer haben könnten

Was man tun kann

  • Kritik an Googles übermäßiger Kontrolle durch Richtlinien gibt es schon lange, zuletzt hat sie sich weiter beschleunigt
    • 2024 wurde mit der Einführung von Chrome Manifest v3 die Funktion von Werbeblockern geschwächt,
    • 2025 wurde die Entwicklung des Android Open Source Project (AOSP) nicht mehr öffentlich geführt und diese Verifikationsinfrastruktur im Verborgenen aufgebaut
  • Das System zur Entwicklerverifikation stellt für freie Software-Vertriebsplattformen wie F-Droid und für kommerzielle Konkurrenten des Play Store eine existenzielle Bedrohung dar
    • Der Widerstand von Nutzern, Entwicklern, Medien und zivilgesellschaftlichen Gruppen nimmt zu, doch ein stärkeres Bewusstsein bei politischen Entscheidungsträgern ist weiterhin nötig
  • Verbraucher können über keepandroidopen.org ihre Vertreter kontaktieren und sich für den Erhalt eines offenen Android-Ökosystems einsetzen
  • Entwicklern wird derzeit nicht empfohlen, am Google-Entwicklerregistrierungsprogramm teilzunehmen
    • F-Droid erklärt ausdrücklich, dieses erzwungene System abzulehnen
  • Mehr als die Hälfte der Menschheit nutzt Android-Smartphones, und das Eigentum am Gerät liegt nicht bei Google, sondern bei den Nutzern
    • Nutzer sollten das Recht haben, selbst zu entscheiden, wem sie vertrauen und woher sie ihre Software beziehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-29
Hacker-News-Kommentare

  • Ich bin der Autor. Ich war ziemlich überrascht über den aggressiven Ton vieler Kommentare und die Vorwürfe, ich sei unaufrichtig.
    Es ist nicht wichtig, den Ursprung des Begriffs „sideload“ zu diskutieren. Wer dieses Wort benutzt, verfolgt meist die Absicht, es wie etwas Hackerhaftes und Unnormales wirken zu lassen.
    Unter Linux, Windows und macOS sagt man nicht „sideload“, sondern einfach „installieren“.
    Ich glaube, dass ich das Recht habe, beliebige Software auf meinem Computer oder dem Computer in meiner Hosentasche zu installieren. Das ist eine Überzeugung, die ich bis zum Ende verteidigen werde.

    • Auch in dieser Community gibt es Leute, die autoritäre Kontrolle mögen. Sie glauben, Apple oder Google Play würden uns schützen, und dass man das verteidigen müsse.
      Diese Haltung zeigt sich oft bei Themen wie der Geschlossenheit mobiler Geräte. Allerdings sind solche Leute nur eine laute Minderheit.
    • Ich denke, es ist besser, das Projekt ganz aufzugeben. Früher habe ich an einem Datenschutzprojekt mitgearbeitet, aber nachdem ich beschimpft wurde, weil ich den „Creators“ auf YouTube schade, wurde mir etwas klar. Die Leute lassen sich von Google schikanieren und finden es noch gut. Seit ich aus Rücksicht auf meine psychische Gesundheit aufgehört habe, habe ich viel mehr Zeit.
    • Könnte man nicht sogar argumentieren, dass F-Droid in der Praxis sicherer als der Google Play Store ist? Google stellt Sideloading als „Malware“-Problem dar, aber tatsächlich hat vielleicht eher der Play Store mehr bösartige Apps verbreitet. Ein kleiner unabhängiger App-Store könnte im Gegenteil sogar besser gepflegt sein.
    • Das Problem breitet sich weiter aus. Inzwischen werden nicht nur Software, sondern auch Hardware wie Fitnessgeräte in Abo-Modelle gezwungen. Widerstand, den man früher mit einem Drehknopf eingestellt hat, funktioniert jetzt ohne ein 30-Dollar-Monatsabo nicht mehr. Das ist schlimmer als die geplante Obsoleszenz des Glühbirnenkartells der 1920er. Es ist deprimierend, dass der Markt so etwas weiter trägt, aber wenn monopolartige Strukturen erst einmal verfestigt sind, entstehen solche Muster.
    • Ich sehe das genauso. Ich wollte nur sagen, dass du damit nicht allein bist.

  • Man muss die Debatte auf eine höhere Ebene heben. Die Kontroverse um „sideloading“ ist zweitrangig. Im Kern geht es um Geräteeigentum und die Grenzen einer Transaktion.
    In dem Moment, in dem ich ein Gerät kaufe, sollte die Transaktion abgeschlossen sein, und danach sollte ich 100 % der Kontrolle haben. Hersteller oder OS-Anbieter sollten 0 % haben.

    • Der erste Schritt müsste eine Reform des DMCA sein. Derzeit ist es nach Bundesrecht sogar verboten, Werkzeuge oder Informationen bereitzustellen, mit denen Nutzer ihre eigenen Geräte kontrollieren können.
      Siehe den relevanten Beitrag der EFF.
      Solche Gesetze ermöglichen es Unternehmen, Menschen mit Hilfe staatlicher Macht einzuschüchtern. Würden diese Bestimmungen dagegen wegfallen, könnten Verbraucher selbst Lockpicks entwickeln.
    • Aber dieses Ideal scheint realistisch unerreichbar. Am Ende steuern wir auf eine Welt zu, in der wir nur noch Geräte mieten, die uns große Tech-Konzerne erlauben. Jeder Code darf nur von autorisierten Entwicklern ausgeführt werden, und alle Daten werden überwacht. Ich habe Angst davor, was nach vollständiger Zentralisierung als Nächstes kommt.
    • Erst wenn perfekte Software auf der Hardware laufen kann, wird das Gerät wirklich mein Gerät. Sonst ist es am Ende nur „mein Gerät mit ihrer Software darauf“.
    • Dann könnte die Frage kommen: „Und wie willst du dann Updates machen?“ Aber der Kern ist die Autonomie, Updates nur dann zuzulassen, wenn der Nutzer es will.

  • Das Verhalten der Plattformen ist nur ein Symptom, nicht das Grundproblem.

    1. Mein Handy gehört mir, und ich sollte jede beliebige App installieren können.
    2. Geprüfte Kanäle wie offizielle Stores sind für die Sicherheit nützlich.
      Wenn beides stimmt, reicht es, beim Installieren außerhalb des offiziellen Stores nur einen Warnhinweis wie „Installation auf eigene Verantwortung“ anzuzeigen. Die meisten Nutzer würden ohnehin nur den offiziellen Store verwenden.
      Aber Apple und Google tun das nicht, weil sie an In-App-Transaktionen Gebühren verdienen. Wenn man diese Plattformsteuer abschafft, verschwindet auch das Sideload-Problem.
    • Wichtig ist nicht „offiziell“, sondern ein vertrauenswürdiger Kanal. F-Droid ist so ein Kanal, Google Play aber nicht. Google versucht vielmehr, solche vertrauenswürdigen Kanäle abzuschaffen.
    • Android zeigt bereits einen Warnhinweis im Sinne von „Installation auf eigene Verantwortung“ an. Google will nun erreichen, dass nur noch registrierte Entwickler Apps verteilen können.
    • Der Warnhinweis existiert bereits, aber die Leute klicken sowieso einfach weiter. Die Realität der Security-Entwicklung ist, dass Nutzer Warnungen nicht verstehen. Die bloße Haltung „Wir haben gewarnt, also ist es nicht mehr unser Problem“ hilft bei der Schadensbegrenzung überhaupt nicht.
    • Diese Android-Funktion gab es bereits, und sie wird nun offenbar verschwinden.
    • Ich vertraue dem Google Play Store auch nicht.

  • Dass wir nicht einmal Root-Rechte haben, ist absurd. Einschränkungen beim Sideloading sind nur ein Symbol dieser Dystopie.

    • Ich halte auf einem Poco F3 mit LineageOS weiterhin Root. Aber ich sorge mich, dass selbst diese Freiheit verschwindet, wenn Hardware-Attestierung zum Standard wird. Wenn Root und Sideloading blockiert werden, ist Android nichts mehr wert.
    • Die Folge dieser Kontrolle ist, dass Apple und Google sogar bestimmen können, welche Technologien und Dienste auf dem Markt wachsen dürfen.

  • Als iOS-Nutzer war ich Apples geschlossene Politik leid und habe mir ein Android-Gerät gekauft, um PoC-Apps zu bauen. Noch immer installiere ich auf mehreren Geräten Apps über F-Droid. Wenn das blockiert wird, sind meine Geräte nutzlos.

    • Dieses Jahr habe ich auf iOS SideStore entdeckt, und die automatische Aktualisierung ist großartig. Ich habe zwei iOS-Apps selbst gebaut und benutze sie jeden Tag. Dank Googles neuer Richtlinie werde ich wohl vorerst nicht zu Android zurückkehren.

  • Viele Kommentare verbeißen sich eher in die Bedeutung eines Wortes als in den eigentlichen Kern des Textes.

    • Ich würde gern scherzen, dass HN zufrieden wäre, wenn F-Droid im Artikel einfach „coined“ durch „popularized“ ersetzt.
    • Auf HN passiert das oft. In einem langen Text klammern sich die Leute an ein einziges Wort und sehen den Wald vor lauter Bäumen nicht.

  • Wenn Google diese Politik wirklich aus Sicherheitsgründen durchdrücken will, könnte man stattdessen einfach ein Sandbox-Benutzerkonto schaffen, in dem inoffizielle Apps installiert werden dürfen. Aber Nutzer, die so etwas wollen, sind eine winzige Minderheit, daher wird Google sich nicht darum kümmern. Leute wie wir sollen dann eben einfach China-Handys direkt importieren.

    • Aber in Ländern mit Importbeschränkungen wie Brasilien kann man nicht zertifizierte Handys nicht einfach einführen.
    • Tatsächlich geht es beim Verbot von Sideloading nicht um Sicherheit, sondern darum, Apps wie NewPipe oder Vanced zu blockieren.
    • Vielleicht gibt es einen Workaround, bei dem man mit Termux direkt ADB ausführt und die F-Droid-App installiert. Aber Google wird solche Versuche bald blockieren.
    • Wenn die Nutzerbasis ohnehin zu klein ist, haben Entwickler keinen Grund mehr, Apps zu bauen.

  • Schade, dass niemand Raymond Carver erwähnt hat.
    Wenn man sich sein bekanntestes Werk ansieht, wirkt die Lage der heutigen mobilen Betriebssysteme genauso düster. Den Film Shortcuts kann ich ebenfalls empfehlen.

    • Stimmt, das geht etwas am Thema vorbei, aber Carver ist ein großartiger Autor.

  • Das Wort „sideload“ wurde ursprünglich mit der Absicht geprägt, etwas wie einen heimlichen und gefährlichen Vorgang klingen zu lassen.
    Früher gab es auch bei Filehosting-Diensten wie Rapidshare oder Megaupload eine Funktion namens „sideload“, die bedeutete, Dateien direkt auf den Server zu übertragen.

  • Unter macOS erscheint beim Starten einer aus dem Internet geladenen App nur die Warnung „Möchtest du diese App öffnen?“. Die Installation selbst wird nicht blockiert. Auf Smartphones sollte es genauso sein.

    • In Wirklichkeit ist es aber komplizierter. Wenn ich zum Beispiel ein von mir gebautes Golang-Binary an jemand anderen schicke, blockiert macOS die Ausführung mit dem Hinweis, die App sei „beschädigt“. Ich halte das für ein Design, das nichttechnische Nutzer aussperren soll.
    • Dieses Update geht in die Richtung, den Nutzern die Entscheidungsbefugnis über Installationen ganz zu nehmen und Apps nur noch installierbar zu machen, wenn Entwickler registriert sind und bezahlen. Am Ende ist das eine Lenkung in ein geschlossenes Ökosystem.
    • macOS zeigt eine Warnung an, aber der Nutzer hat die Wahl, sie zu ignorieren und die App trotzdem auszuführen. iOS nicht, und Google will diesen Weg offenbar nachahmen.
    • macOS warnt jedes Mal, wenn eine App außerhalb des App Store gestartet wird, aber Nutzer können sie trotzdem ausführen, wenn sie sie selbst gebaut oder das Quarantine-Flag entfernt haben.
    • Bei einer Installation über Paketmanager wie brew erscheint nicht einmal diese Warnung.