Android ohne Google-Konto betreiben, .apk-Datein aus anderen Quellen, Gefahren?

[steuber]

Guten Tag zusammen.

Ich wollte mir keinen Google-Account erstellen und habe mir deswegen, da ich ohnehin sehr wenige Apps nutze, die .apk-Datein besorgt und auf dem Handy installiert. Es handelt sich hierbei um Google Chrome und Facebook Messenger.

Die .apk-Datein habe ich von den Seiten:

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

.

So im Nachhinein betrachtet hab ich jedoch, obwohl ich alle Berechtigungen gecheckt hab, irgendwo die Befürchtung - vor allem weil man das an so vielen Stellen liest -, dass ich eine App installiert hab, die wie die normale App aussieht, im Hintergrund aber irgendwelche Sachen ausspioniert.

Nun wollte ich mal fragen wie ihr das allgemein so mit den Gefahren sieht, die daraus entstehen .apk-Datein von woanders als aus dem App-Store zu besorgen? Habt ihr das schonmal gemacht? Ich rede jetzt nicht von Apps die "gecrackt" oder sonstwas sind, eigentlich betrifft es nur "freie Apps", die auch so nichts kosten.

Und kann ich jetzt irgendwie überprüfen ob die Apps sich so verhalten wie sie sollten oder im Hintergrund noch andere Sachen machen, die die "Originalen" nie machen würden?

Grüße,
steuber

 

[TheSniperFan]

Schadsoftware natürlich. Das verhält sich genauso wie auf dem Desktop, wo der DAU sich auf kino.to einen Film anschauen will und auf den Popup klickt, der ihm sagt Flash zu installieren und den Download direkt bereitstellt.

Wichtige Unterscheidung: "Kostenlose Software" ist nicht das Gleiche wie "freie Software", denn kostenlose Software muss nicht frei sein. Freie Android Software gibt's hier:

You do not have permission to view link please Anmelden or Registrieren

.

Der Einfachste Weg herauszufinden ob eine App manipuliert worden ist, ist es die gleiche Version von Google zu laden und die Prüfsummen zu vergleichen. Das funktioniert natürlich nur, wenn beim Upload auf den Playstore nichts an der Datei gemacht wird. Es wäre ja möglich das sie in irgendeiner Form signiert wird. Hier gehe ich natürlich davon aus, dass der Entwickler selbst die Datei hochgeladen hat.
Die Sache ist das Dies nur ein notwendiges, aber kein Hinreichendes Kriterium ist. Das soll heißen, dass wenn die Dateien die Selbe Prüfsumme haben du zwar weißt das Sie nicht schädlicher als die Variante aus dem Store ist, eine unterschiedliche Prüfsumme aber keine Garantie für Schadsoftware ist. Neben dem potentiellen Verändern der Datei durch den Upload, könnte es sich auch um einen kleinen Revisions-Unterschied handeln, da nicht jeder Entwickler bei der Versionierung seiner Software so gründlich vorgeht wie man eigentlich sollte.

Grundsätzlich solltest du auf verlässliche Quellen zurückgreifen. Playstore, F-Droid und xda (zum Beispiel), statt irgendwelcher Blogs.

Erschwerend kommt bei dir noch hinzu, was das für Apps sind. Google Chrome und der Facebook Messenger sind durch die Verbreitung für Malware-Entwickler ähnlich attraktiv wie Flash auf dem Desktop. Also gerade bei solchen Apps, solltest du vorsichtig sein.


Ich schaue aus Interesse gleich mal nach, ob es Unterschiede in der Prüfsumme für Chrome gibt. (Unter der Bedingung, dass die aktuellste Version verfügbar ist).

EDIT:
Wird nichts drauß. Version 40.0.2214.89 ist auf keiner der beiden Seiten verfügbar.

 

[steuber]

Die Seite apk4fun hatte ich nur deswegen genommen, weil sie mal von Heise in einem Beitrag genannt wurde und ich mir dachte, dass die Seite dann mit Sicherheit nicht so schlimm sein kann, wenn Heise sie in einem Artikel nennt.

Als nächstes benötigt man das Android Application Package (APK) der gewünschten App, das bei diversen Android-Seiten (etwa APK4Fun) zu bekommen ist.

, Quelle:

You do not have permission to view link please Anmelden or Registrieren

Und die Seite getapk.co hab ich genommen, weil ich mal nen Werbungs-Thread aufm G*lli-Board gelesen habe. Quelle:

You do not have permission to view link please Anmelden or Registrieren

Naja der Playstore fällt in dem Sinne ja weg, da ich echt keine Lust hab, nur um jetzt 2-3 Apps zu installieren gleich nen Google-Account zu registrieren, der sich dann mit tausend Sachen verbindet/verbinden will.

 

[alter_Bekannter]

Für Android Apps gilt halt das gleich wie auf dem Desktop. Nur nutzt Android für Apps die Rechteverwaltung sinnvoll.

Außerdem:
Das hier ist nicht das Neu-Koreaboard, hier muss nix zensiert werden, Fotze, Gulli, Pisse, Scheisse, Gulli:Board.

Und schon garnicht wird hier wegen irgendwelcher verbotenen Buchstabenkombinationen wie NGB gesperrt.

 

[TheSniperFan]

Du könntest ja zumindest auf Chrome verzichten. Firefox ist nämlich per F-Droid verfügbar.

Außerdem:
Das hier ist nicht das Neu-Koreaboard, hier muss nix zensiert werden, Fotze, Gulli, Pisse, Scheisse, G***i:B***d.

Banned in 3...2...

 

[godlike]

Naja der Playstore fällt in dem Sinne ja weg, da ich echt keine Lust hab, nur um jetzt 2-3 Apps zu installieren gleich nen Google-Account zu registrieren, der sich dann mit tausend Sachen verbindet/verbinden will.

Ach so, aber Apps aus fragwürdigen Quellen sind dir dann lieber? Muss man das verstehen? Mach dir halt einen Google-Account mit Fakedaten. Oder was für eine Paranoia hast du?

 

[gelöschter Benutzer]

Ich wollte mir keinen Google-Account erstellen und habe mir deswegen, da ich ohnehin sehr wenige Apps nutze, die .apk-Datein besorgt und auf dem Handy installiert. Es handelt sich hierbei um Google Chrome und Facebook Messenger.

Die .apk-Datein habe ich von den Seiten:

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

Sorry, aber ich musste eben einfach nur sehr, sehr laut lachen. Meine Kollegen gucken schon komisch.

Erst das Google-Konto nicht nutzen (aber nicht die Google-Services runterwerfen) und dann Google Chrome und Facebook Messenger aus dubiosen Quellen installieren

Ich sag dir eins: Du wirst auf diese Weise sicher mehr ausspioniert, als wenn du dir sichere Browser und Messenger über Google Play installierst.


Empfehlen würde ich, dein Handy mit einer vertrauenswürdigen Custom-ROM (z.B. Cyanogenmod) und dem

You do not have permission to view link please Anmelden or Registrieren

-"Store" zu bespielen. Dann bist du völlig Google- und Facebooklos und kannst in Ruhe deinen Aluhut polieren. Mit der App "Launch App Ops" kommst du auch leicht in das entsprechende Menü zum Datenschutz. Aber mit dem Facebook Messenger (lol, schon wieder lachen müssen) wird das mit dem Datenschutz nix.

Ich selbst nutze die Google-Dienste mit eingeschränkten Rechten durch App Ops (stürzen dann natürlich manchmal ab, wenn sie auf deine Daten zugreifen wollen, macht aber nix) und einem Fake-Konto zum Installieren von TextSecure, Trello und Twitter. K9Mail und weitere Apps bekomme ich aus F-Droid.

 

[alter_Bekannter]

Das hat durchaus eine Gewisse Komik.

Wär doch ein gutes Beispiel für die "Öko-Hipster-Meme".

 

[FTtk]

F-Droid wurde ja hier mehrfach erwähnt.
Daraus "Tinfoil for Facebook" installieren für Facebook
Dazu Tint oder Firefox als Browser
und falls root vorhanden "Orbot" um den Playstore durch TOR zu tunneln und mit fake Daten bei Google registrieren. -> transparenten Proxy für TOR nutzen. Du kannst auch Tinfoil for Facebook durch TOR tunneln, soviel ich weiß wird auch die .onion Adresse von Facebook unterstützt.