Google zieht die Fäden - was mit nicht-zertifizierten Apps auf Android passiert

Android ist Open Source. Das stimmt - zumindest der Kern. Aber das Android, das auf den meisten Smartphones läuft, ist nicht nur der Kern. Es ist ein System, das Google mit seinen eigenen Diensten, Zertifizierungsprogrammen und Durchsetzungsmechanismen umhüllt hat. Und diese Umhüllung wird gerade enger.

Was Play Integrity bedeutet

Google hat mit Play Integrity ein System eingeführt, das Geräte bewertet: Ist das Gerät zertifiziert? Läuft ein autorisiertes Betriebssystem? Wurden systemnahe Modifikationen vorgenommen? Apps können diese Bewertung abfragen und sich weigern zu starten, wenn das Ergebnis nicht ihren Erwartungen entspricht.

Das klingt zunächst nach Sicherheit. Es ist aber auch ein Mechanismus, mit dem Google definiert, was ein "legitimes" Android-Gerät ist - und was nicht. Geräte ohne Google-Zertifizierung, Custom-ROMs und alternative App-Stores werden zunehmend als verdächtig eingestuft.

Was das für F-Droid bedeutet

F-Droid ist ein App-Store für freie und quelloffene Android-Software. Er ist kein Konkurrent zu Google Play im kommerziellen Sinne - er hat keine Werbung, keine Tracking-SDKs, keine Monetarisierung. Er ist einfach ein Weg, Software zu installieren, die nicht Googles Zertifizierungsprozess durchlaufen hat oder durchlaufen will.

Viele Apps in F-Droid sind technisch identisch mit ihren Play-Store-Versionen, aber ohne die Telemetrie, die im offiziellen Build vorhanden ist. Signal, Nextcloud, DeltaChat - all das läuft über F-Droid.

Wenn Geräte-Zertifizierung zur Voraussetzung für grundlegende App-Funktionalität wird, ist F-Droid nicht mehr gleichwertig. Apps, die Play Integrity voraussetzen, laufen einfach nicht - unabhängig davon, ob das technisch notwendig wäre.

Die eigentliche Frage

Wem gehört ein Smartphone? Dem Menschen, der es gekauft hat - oder dem Unternehmen, das das Betriebssystem darauf entwickelt hat? Die Antwort war lange implizit klar: Man kauft ein Gerät, man besitzt es, man entscheidet, was darauf läuft.

Diese Annahme wird gerade aktiv in Frage gestellt. Remote-Attestation, Play Integrity und die damit verbundenen Einschränkungen sind technische Mechanismen, die das Eigentum am Gerät effektiv von der Kontrolle darüber entkoppeln.

Was man tun kann

GrapheneOS ist ein gehärtetes Android-Derivat, das ohne Google-Dienste auskommt und aktiv an Privatsphäre und Sicherheit arbeitet. Es unterstützt eine begrenzte Zahl von Geräten, vorrangig Google Pixel - ironischerweise die Hardware, die Google selbst herstellt.

Wer kein Custom-ROM flashen will, kann mit einem bewusst eingesetzten F-Droid und minimalen Google-Diensten zumindest den Datenhunger reduzieren. Das löst das Grundproblem nicht, aber es ist besser als nichts.

Das eigentliche Problem ist struktureller Natur: Ein Ökosystem, das von einem einzelnen Unternehmen kontrolliert wird, folgt den Interessen dieses Unternehmens. Das war bei Android immer so - es wird nur zunehmend sichtbar.