F-DroidCorona-Warn-App kommt in freien App-Store

Freie Entwickler:innen haben Ersatz für eine von Google entwickelte Schnittstelle geschaffen, auf die die Corona-Warn-App zugreift. Damit kann die App in freien Android-Systemen komplett mit freier Software betrieben werden. Eine entsprechende Version ist jetzt im F-Droid Store verfügbar.

Corona-Warn-App vor einem Hintergrund aus Code.
Auch die Schnittstelle, auf der die Corona-Warn-App basiert, ist jetzt in freier Version verfügbar. Vereinfachte Pixabay Lizenz iXimus
Ein Screenshot der Corona-Warn-App im F-Droid.
Die Corona-Warn-App im F-Droid Store. - Alle Rechte vorbehalten Screenshot Redaktion

Die Corona-Warn-App ist nun vollständig auch als freie Version verfügbar. Seit heute kann man eine von freien Entwickler:innen programmierte Variante der App im App-Store F-Droid herunterladen. Die Neuerung ermöglicht nun allen Android-Nutzer:innen einen Betrieb der App, ohne die zugrundeliegenden Schnittstellen von Google verwenden zu müssen.

Der Code der Corona-Warn-App selbst ist zwar frei verfügbar, baut aber auf proprietären Komponenten auf, die von Apple respektive Google entwickelt wurden. Deshalb arbeiten freie Entwickler:innen bereits seit Längerem ehrenamtlich an einer Alternative. Diese wurde schon im September von microG implementiert, was Nutzer:innen von komplett Google-freien Android-Smartphones den Betrieb der App ermöglichte.

Wie die Free Software Foundation Europe heute meldet, haben einige Entwickler:innen die freie Schnittstelle jetzt komplett in die Warn-App importiert. Damit ist die Alternative jetzt allen Android-Nutzer:innen über den F-Droid Store zugänglich.

Die Entwicklung der Corona-Warn-App wurde trotz einiger Kritik im Großen und Ganzen positiv aufgenommen, auch wenn einige Verbesserungen auf sich warten lassen. Ein beständiger Kritikpunkt ist die Zugänglichkeit – man habe sich nur auf Nutzer:innen von Apple und Google fokussiert und auch hier wurden ältere Geräte außen vor gelassen. Dazu kam die Kritik, dass man Google-Schnittstellen nutzen musste. Die Veröffentlichung der freien Alternative hat zumindest einen Teil dieser Versäumnisse korrigiert.

#1MillionForDigitalRights

Wir brauchen eine Million Euro für ein Jahr netzpolitik.org. Eine Million für ein ganzes Jahr kritischen und unabhängigen Journalismus: Denkanstöße, Berichte aus Brüssel, Analysen, Meldungen, Kommentare, Aufklärung, investigative Recherchen und Leaks. Wir machen Druck für Grund- und Freiheitsrechte in der digitalen Welt. Bis wir unser Spendenziel erreichen, fehlt noch sehr viel Geld. Deswegen:

Hier klicken und sofort spenden!

Hier klicken und sofort spenden!

12 Ergänzungen

  1. Was heißt das jetzt in Bezug auf den Datenschutz ggü. Google?
    Kann man ausschließen, dass Google – anders als bei Nutzung der Google-App-Infrastruktur – unbemerkt Daten aus der Corona-Warn-App und ihrem Umfeld absaugen kann?

    1. Davon ist auszugehen. Die komplette App greift jetzt nur noch auf quelloffenen Code zu. Es ist denkbar, dass Android Metadaten zur Nutzung weiterhin messen kann – also wie oft sie geöffnet wurde und so weiter – , auf die Inhalte der App sollte Google mit dieser Version aber keinen Zugriff haben.

      1. Danke für die Antwort.
        Wie kann man jetzt Druck aufbauen, damit die Bundesregierung diesem Google-unabhängigen Weg folgt?
        Und wie sieht es in der Apple-Welt aus? Gibt es da eine ähnliche Entwicklung?

        1. Konkrete Handlungsempfehlungen kann ich leider keine geben. Theoretisch wäre wohl das „Wishlist“ GitHub-Repository (https://github.com/corona-warn-app/cwa-wishlist) der direkteste Weg, Feedback zu geben. Wobei in einem anderen Kommentar ja bereits erwähnt wurde, dass das erfolglos blieb.

          Da Apple grundsätzlich protektiver ist, was fremden Code angeht, und nicht wie Android im Kern Open-Source ist, fehlt hier eine vergleichbare Dev-Community. Mir sind auf jeden Fall keine ähnlichen Bemühungen bekannt.

      2. Vorsicht mit solchen Behauptungen!
        Verschiedene Organisationen wie z.b. auch der CCC haben die App geprüft und es konnte nirgendswo festgestellt werden, dass Google auf die Daten der Warn-App zugreifen kann.
        Google kann bei beiden Versionen feststellen, dass die App genutzt wird, auf deren Inhalte aber nicht zugreifen.

        Es war nie die Ambition der Entwickler/-innen Google völlig auszusprerren. Stattdessen wollten sie die Warn-App dazu befähigen ohne Google Infrastruktur zu funktionieren. Der Open-Sourcecode der Warn-App wurde so modifiziert, dass es mit dem MicroG-Framework funktioniert und nicht mehr die Play Dienste von Google benötigt.
        Die Arbeiten am MicroG-Framework gibt es seit 2015, also knapp 5 Jahre bevor es die Corona Pandemie gegeben hat.

        Fun-Fact: Das Pojekt mircoG wird von der Bundesregierung (Bundesministerieum für Bildung und Forschung) gefördert.

  2. Spannend wäre zu wissen, ob man von der Version im Play Store zur Version in F-Droid wechseln kann, ohne dass Fingerabdrücke verloren gehen. Kann man im Zweifel beide Apps für 14 Tage parallel nutzen, sodass man über die zuvor installierte Version informiert wird, falls ein positiver Kontakt vorliegt bzw. man selbst in die Bedrängnis kommt, einen positiven Test mitteilen zu können?

  3. Da kommt die Frage auf, warum die Taskforce die mit mehreren Millionen zugebuttert wurden nicht in der Lage waren, eine eigenständige Google unabhängige Lösung zu entwickeln. Auf GitHub wurde im offiziellen Repository rabiat abgewürgt. Letztlich wurde ein Frontend entwickelt, und die eigentliche Arbeit auf Google und Apple ausgelagert. Für das Geld wäre eine vollständige Open source Lösung inklusive Backend drinnen gewesen. Im Grunde würde nur ein halbes Produkt geliefert und das überteuert.

    1. Da würde ich erst einmal von ausgehen. Das Verhalten der Systemschnittstelle ist durchaus spezifiziert.

      Ob dann irgendein dunkler Kram dazukommt, der Geheimnisse von Apple+Google zur Basis hat, womit dann die open source App von kommerziellen Geräten ignoriert wird, das kann ich natürlich nicht sagen. Vermute aber, dass die Entwickler der open Source Version das durchaus zu testen versuchen.

      Testen ist prinzipiell teilweise möglich bzw. denkbar, in dem man in ein Testsystem die Möglichkeit einbaut gerade empfangene IDs auf infiziert zu setzen (innerhalb des Testsystems oder auf gefakten Infrastrukturservern), das wäre in der Richtung schon in der Hand der open source Entwickler, BLE Broadcasts lassen sich mit einfachster Hardware abreifen und nach IDs auswerten. Anders herum geht es vermutlich sogar auch, wenn auf einem kommerziellen Entwicklergerät eine modifizierte Version der offiziellen Corona Warn App zum Einsatz kommt, die die Daten über Infizierte von einem gefakten Infrastrukturserver zieht – ich meine da ist keine weitere Schranke eingebaut, wie ein Zertifikatsaustausch mit der jew. Regierung/Behörde auf Systemebene zur Prüfung des Servers, kann mich aber da täuschen, dann wäre der Test in der Richtung eben nicht möglich.

      Also wenn kein Lock-in Trick verwendet wird, ist die open source Version, oder ein beliebiges anderes Gerät, das sendet und/oder empfängt, in den Prozess integrierbar.

      1. Die App meldet aber, sie sei noch nicht lange genug aktiv gewesen.
        D.h sie registriert selbst die Kontakte. Keine „Übernahme“ der Daten der „Offiziellen“

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.