Copycats und Google machen Open-Source-Apps das Leben schwer

Golem.de: Verwenden Ihre Apps auch Clouddienste?

Beckmann: Die meisten der Apps laufen komplett lokal. Bei vielen Spielen muss das Smartphone weitergereicht werden, wenn man es zu mehreren spielt. Dadurch brauchen wir weder einen zentralen Dienst noch irgendwelche besonderen Berechtigungen.

Im Falle des Werwolf-Spiels öffnet ein Spieler einen Server im WLAN und die anderen Geräte verbinden sich als Clients anschließend mit dem Server, also dem Smartphone des ersten Spielers. So bleibt alles im lokalen Netz und es braucht keine Drittpartei mit einem Server im Internet.

Mayer: Bei der Wetter-App müssen wir natürlich irgendwo die Wetterdaten herkriegen, da führt kein Weg dran vorbei. Wir haben uns für Openweathermap entschieden, weil sie die übersichtlichste Datenschutzerklärung hatten.

In der App gibt es dann zwei Möglichkeiten: Entweder man nutzt den Key, den wir in der App zur Verfügung stellen und den standardmäßig alle Nutzer verwenden. Dadurch hat man zwar kleine Einschränkungen, ist aber weniger exponiert. Alternativ kann man sich selbst einen API-Key bei Openweathermap erstellen und dadurch beispielsweise mehr Anfragen senden - ist aber auch besser zuortbar.

Beckmann: Unser Ernährungstracker greift wiederum auf die Openfoodfacts-Datenbank zurück.

Golem.de: Was ist die meistgenutzte App?

Beckmann: Das sind ganz klar der QR-Scanner und die Sudoku-App mit jeweils über 50.000 Installationen über den Play Store. Das sind aber auch die mit Abstand erfolgreichsten Apps, alle anderen sind deutlich drunter. Bei beiden kommen natürlich noch die Nutzer des alternativen Appstores F-Droid dazu, die aber nicht wie bei Google gemessen werden.

Golem.de: Apropos messen: Viele App-Hersteller behaupten, sie könnten keine guten Apps entwickeln ohne Tracking und Telemetrie. Wie stehen Sie dazu?

Mayer: Das ist ein zweischneidiges Schwert. Einer der großen Vorteile des Play Stores gegenüber dem F-Droid ist für uns, dass wir bei einem Absturz einer App Daten bekommen. Dadurch wissen wir, wenn eine App abstürzt, und bekommen den Stacktrace. Das gibt dann insbesondere bei einem Absturz auf exotischeren Geräten einen Anhaltspunkt, wonach man suchen muss. Bei F-Droid gibt es das gar nicht. Das ist natürlich viel privatsphärefreundlicher.

Beckmann: Ich kann mich da nur anschließen. Solche Daten können zwar dazu dienen, ein Produkt zu verbessern, aber sie sind definitiv nicht notwendig, um eine gute App zu schreiben und sie zu pflegen.

Mayer: Es ist aber auch immer die Frage, was dabei tatsächlich rumkommt. Natürlich kann man eine Option leichter erreichbar machen, wenn man anhand der Telemetriedaten sieht, dass sie viel genutzt wird. Das Gleiche kann man aber auch beispielsweise mit Livetests herausfinden. Das ist aufwendiger, aber privatsphärefreundlicher.

Wir haben unsere PFA-Grundprinzipien, das heißt, bei uns wird es nie Tracking oder Werbung geben, auch wenn wir die Telemetrie, die der Play Store unabhängig davon zur Verfügung stellt, nutzen, weil wir sie sowieso haben.

iOS-Unterstützung derzeit nicht geplant

Golem.de: Bisher gibt es ihre Apps nur unter Android. Einige werden jedoch bereits in Kotlin entwickelt. Habt ihr Pläne, auch iOS zu unterstützen?

Beckmann: Unser Fokus liegt im Moment klar auf Android-Apps - auch weil wir bisher schlicht keine iOS-Entwickler haben und mit den Android-Apps schon ausgelastet sind. Unsere Apps schreiben wir mittlerweile primär in Kotlin. Aber um wirklich plattformübergreifende Apps zu entwickeln, würden wir eher auf das Flutter-Framework zurückgreifen. Das haben wir aber bisher noch nicht verwendet.

Golem.de: Wie viele Leute arbeiten im Privacy-Friendly-Apps-Projekt mit?

Mayer: In unserem Privacy-Friendly-Apps-Team bin ich vor allem für die Orga zuständig, während Reyhan Düzgün sich um die Kommunikation kümmert, also E-Mails, die reinkommen, oder Tweets und Toots. Um die Pflege der Apps kümmert sich Christopher Beckmann, konkret um die Weiterentwicklung, das Beheben von Bugs oder die Apps auf neue Android-Versionen portieren. Umfangreiche Weiterentwicklungen der Apps bieten wir häufig wieder als Programmierpraktikum an. Ganz neu im Team ist eine wissenschaftliche Hilfskraft, die auch bei der Pflege und Entwicklung hilft.

Wir sind aber auch immer auf der Suche nach Leuten, die unser Team verstärken. Aktuell suchen wir eine weitere studentische Hilfskraft, die uns bei der Pflege der Apps hilft. Auf die Stelle kann sich grundsätzlich jede Person, die in Deutschland studiert, bewerben.

Aber alle Apps sind Open Source und wir freuen uns immer, wenn Menschen mitmachen. Sei es, indem sie uns nach Features fragen, die die Apps brauchen, damit sie sie benutzen, oder Code, der neue Features hinzufügt oder Bugs behebt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

App-Patenschaften geplant

Golem.de: Was ist für die Zukunft geplant?

Mayer: Derzeit planen wir App-Patenschaften. Privatpersonen oder Firmen können dann eine Patenschaft übernehmen und Geld für die Weiterentwicklung einer App spenden. Dabei kann es sich dann je nach Geldbeutel um größere oder kleinere, einmalige oder regelmäßige Spenden handeln. Mit dem Geld können wir dann mehr Energie in die Maintenance der Apps stecken.

Golem.de: Wie finanzieren Sie Ihre Stellen bisher?

Mayer: Die Stellen werden von verschiedenen Trägern finanziert. Ich werde beispielsweise über eine wissenschaftliche Mitarbeiterstelle im Rahmen des Subtopic Engineering Secure Systems der Helmholtz-Gemeinschaft finanziert. Entsprechend liegt der Fokus auf Forschungsfragen im Kontext von Usable Security, aber ich versuche mir Freiräume für die Koordination der Privacy Friendly Apps zu schaffen.

Golem.de: Gibt es bei der Entwicklung auch Probleme?

Mayer: Tatsächlich haben wir ein Problem, das wir selbst nicht lösen können: Immer wieder kopieren Entwickler unsere Apps, integrieren Werbung und Tracking und bieten diese dann selbst im Play Store an. Teils unter dem gleichen oder einem ähnlichen Namen. Manchmal ändern die nicht einmal das Impressum und wir erhalten dann negatives Feedback von Nutzern, beispielsweise, dass unsere Apps gar nicht privatsphärefreundlich seien. So werden wir dann zumindest aufmerksam darauf.

Leider kann man gegen die Apps kaum vorgehen, auch wenn sie gegen Open-Source-Lizenzen verstoßen, weil sie beispielsweise ihren angepassten Code nicht veröffentlichen. Bei solchen Meldungen sträubt sich Google leider sehr, die Apps aus dem Store zu nehmen. Das ist natürlich besonders bedauerlich, weil wir uns sehr viel Mühe geben, privatsphärefreundliche Apps zu entwickeln, was von solchen Copycats dann konterkariert wird.