Im Herbst 2024 kündigte der Macher der offiziellen Android-App an, sein Projekt Syncthing einzustellen. Jetzt hat die Abwandlung übernommen.
Wer seine Daten ohne Cloud zwischen Smartphone, Notebook und Server verschieben möchte, landet früher oder später bei Syncthing. Unter Android hat sich mittlerweile nicht die offizielle App, sondern der Fork von Catfriend1 durchgesetzt. Die Abwandlung bietet mehr Einstellmöglichkeiten, einen sichtbaren Fortschritt und einen besseren Umgang mit SD-Karten, während die ursprüngliche App immer langsamer gepflegt wurde.
Wenn eine Android-App von einer einzigen Person abhängt
Im Herbst 2024 kündigte der Maintainer der offiziellen Android-App an, das Projekt einzustellen. Das letzte Release sollte gemeinsam mit der Dezember-Version erscheinen, danach wollte er das Repository archivieren. Begründet hat der Programmierer Simon diesen Schritt mit immer strengeren Vorgaben von Google sowie zu wenig Zeit und Motivation für weitere Arbeiten an der Android-Variante von Syncthing.
Wer Syncthing ernsthaft auf dem Smartphone nutzt, landete früher oder später automatisch beim Fork. Genau dieser Fork steckt jetzt in einer Situation, die an sein Original erinnert. Es gibt keine bestätigte Hintertür, dafür aber viele Fragezeichen.
Plötzlich war das Repo ist weg, der Coder auch und keiner weiß warum
Mitte November fiel im Syncthing-Forum auf, dass das Repo bei GitHub plötzlich nur noch eine 404er Fehlermeldung ausgab. Das Profil von Catfriend1 ist auf privat gestellt und direkte Nachrichten sind somit nicht mehr möglich. Auch die Liberapay-Seite, über die sich der Entwickler unterstützen ließ, verschwand aus dem Netz. Mittlerweile wird man beim Aufruf des alten Repos automatisch auf den Fork weitergeleitet.
Kurz darauf tauchte ein Repository mit fast identischem Namen auf, inklusive Profilbild, das an Catfriend1 erinnert. Doch so ganz passt es nicht. Danach landet die alte Adresse bei einem neuen GitHub-Account unter github.com/researchxxl/syncthing-android. Der Account wurde im November angelegt und die Projektbeschreibung lautet schlicht „Syncthing Fork – A Syncthing Wrapper for Android“.
Für eine App mit Vollzugriff auf den Speicher ist das eine eher ungünstige Entwicklung. Maintainer abgetaucht, Repo mit neuem Namen, keine Hintergrundinfos, wieso man jetzt einfach weitergeleitet wird. Das ließ viel Raum für Spekulationen offen. Dementsprechend ließ eine hitzige Diskussion im Forum von Syncthing nicht lange auf sich warten.
Syncthing: Neuer Admin mit alten Schlüsseln
Auf den ersten Blick wirkt das neue Projekt im Code unauffällig. Die Historie und die Prüfsummen der Commits passen zu den archivierten Ständen des alten Repos. Es gibt keine plötzlichen großen Änderungen, die alles auf den Kopf stellen.
Interessant wird es bei den Schlüsseln und bei den Builds. Die aktuellen Versionen sind weiterhin mit demselben GPG-Schlüssel signiert wie früher. Auch F-Droid hat seine Metadaten bereits angepasst und nutzt das GitHub-Projekt von researchxxl als neue Quelle für die Builds von Syncthing Fork.
Im Issue „Status” schreibt der neue Maintainer unter dem Nickname „researchxxl”, er wolle die Entwicklung fortführen. Er möchte auch den bisherigen Play-Store-Publisher „nel0x” einbinden, die Build-Pipelines wieder aktivieren, den Namen klären und F-Droid kontaktieren. Er erwähnt außerdem, dass er zunächst ein eigenes Syncthing-Android-Repository aufgesetzt habe, bevor der Übergang vom alten Repository stattfand.
In dem verlinkten Bericht wird darauf hingewiesen, dass die Zusammenarbeit zwischen researchxxl und nel0x zwar sichtbar ist, aber eher nach einem schnell zusammengezimmerten Übergang aussieht als nach einem sauber vorbereiteten Staffelwechsel. Das Ganze sehe wenig vertrauenserweckend aus, kommentierte LinuxNews.de den Wechsel.
Die eigentliche Frage bleibt jedoch: Warum verschwindet der alte Maintainer komplett von der Bildfläche, während seine Schlüssel und Zugänge beim neuen Programmierer weiterlaufen, als wäre nichts passiert? Und warum hat er seine Schritte nicht erläutert, um die Community in seine Pläne einzubinden?
Zwischen Skepsis und Beruhigung
Im Syncthing-Forum versucht der Hauptentwickler imsodin, die Debatte zu sortieren. Er warnt vor wilden Spekulationen und macht gleichzeitig deutlich, dass Vertrauen bei einer App mit diesem Rechteumfang nicht automatisch auf neue Namen übergehen sollte. Vor allem hoffe man, dass es Catfriend1 persönlich gut gehe, und suche nach einer nachvollziehbaren Erklärung für das plötzliche Verschwinden.
Syncthing-Gründer Calmh schätzt die Lage ähnlich ein. Er hält es für gut möglich, dass Catfriend1 schlichtweg keine Lust mehr hatte, den Support und die Pflege „nebenbei“ zu stemmen. Im Moment sehe der Code der neuen Versionen unauffällig aus, schreibt er. Einen akuten Notfall erkenne er aber nicht. Gleichzeitig macht er klar, dass man der neuen Konstellation etwas Zeit geben müsse, bevor man endgültig darüber urteilen kann. Ohne Transparenz bleibe jedoch ein schaler Beigeschmack.
Auf Reddit und im Fediverse fällt die Reaktion deutlich härter aus. In Threads zu „Syncthing Fork Github Gone“ wird empfohlen, automatische Updates zu stoppen oder die App zu deinstallieren, bis mehr Klarheit herrscht. Nutzer dokumentieren, dass der neue Account zunächst Catfriend im Namen trug und erst nach Kritik zu researchxxl wechselte.
Bislang hat man noch keinen offensichtlichen Schadcode im neuen Stand gefunden. Aber gleich mehrere Linien, die eigentlich tabu sein sollten, wurden unübersehbar gerissen.
Wenn Updater und Stores einfach mitlaufen
Spannend wird der Fall auch für all jene, die ihre Apps nicht über den Play Store, sondern über F-Droid oder Updater wie Obtainium pflegen. Obtainium folgt GitHub-Weiterleitungen stillschweigend. Wenn ein Repository umbenannt oder verschoben wird, holt sich das Tool die Releases von der neuen Adresse, ohne den Nutzer zu fragen.
Genau das ist hier passiert. Wer Syncthing Fork nur über GitHub eingebunden hatte, bekam die neuen Builds von researchxxl automatisch auf das Gerät. In einem aktuellen Issue diskutieren Nutzer nun, ob Obtainium bei künftigen Wechseln des Code-Besitzers und bei Weiterleitungen zumindest eine Warnung anzeigen oder Updates blockieren sollte, bis der Nutzer zustimmt.
F-Droid selbst hat seine Paketbeschreibung bereits angepasst. Version 2.0.11.2 wird weiterhin als „Syncthing Fork” mit erweitertem Funktionsumfang beschrieben. Im Hintergrund kommt der Quellcode aber schon von „researchxxl”. Wer nur die App-Seite in F-Droid liest, merkt von der gesamten Verschiebung wenig. Immerhin steht oben dabei, dass es sich um eine Neuveröffentlichung des alten Codes handelt, den jemand übernommen hat.
Was aus dem Vorfall hängen bleibt
Der Vorfall zeigt, wie anfällig Code-Projekte sind, wenn die Verantwortung in wenigen Händen liegt und der Rest der Welt sich daran gewöhnt, dass schon alles passen wird. Über Monate hinweg konnte ein Maintainer an einer sicherheitsrelevanten Bibliothek Änderungen vornehmen, weil niemand mehr damit gerechnet hat, dass dort jemand mit einer anderen Agenda sitzt.
Beim Syncthing-Fork ist die Lage anders. Der neue Maintainer hat sich nicht langsam eingeschlichen, sondern ohne jede Erklärung eine bestehende App inklusive aller Schlüssel übernommen. Trotzdem sehen die Muster vertraut aus. Eine Person kontrolliert den Code, die Versionen und die Signaturen einer App mit Vollzugriff. Der ursprüngliche Maintainer verschwindet einfach. Das Projekt und die Schlüssel wandern zu einem neuen Account. Updater und Stores laufen einfach hinterher.
Im oben verlinkten Artikel betont man, dass Forks und Nachfolgeprojekte nach ihrer Einführung das Vertrauen der Nutzer erst aufbauen müssen. Sie erben das Vertrauen nicht automatisch mit dem alten Namen und den alten Schlüsseln. So etwas muss man sich erst verdienen.
Die weitere Nutzung des alten GPG-Schlüssels macht es nicht besser. Aus kryptographischer Sicht belegt er nicht mehr, dass Catfriend1 eine neue Version gebaut hat, sondern nur, dass jemand Zugriff auf denselben geheimen Schlüssel besitzt. Damit wird die Idee hinter signierten Releases ausgehöhlt.
Welche Optionen haben Android-Nutzer ohne Syncthing?
Eine perfekte Alternative zum bisherigen Fork gibt es derzeit nicht. In Foren werden andere Forks genannt, die näher an der alten offiziellen App liegen, sowie komplett andere Lösungen wie FolderSync oder andere proprietäre Sync-Software. Auf F-Droid taucht etwa Syncthing Lite auf, das stärker abgespeckt ist und einen anderen Fokus setzt.
Wer den Syncthing-Fork produktiv nutzt, muss sich trotzdem entscheiden, wie viel Risiko sie bzw. er damit eingehen will.
Passwortdatenbanken, berufliche Dokumente, journalistische Recherchen oder private Archive sind keine Ordner, die man leichtfertig einer App mit einer unklarer Maintainer-Situation überlassen sollte. Gerade auf Geräten, die ohnehin schon tief in ein eigenes Ökosystem eingebunden sind, sollte man sich ansehen, was im Hintergrund mitläuft.
Was jetzt pragmatisch sinnvoll ist
Kurzfristig ist der Schritt am einfachsten, der am seltensten gemacht wird. Am besten sofort die Auto-Updates abschalten. Und dies im Google Play Store, in F-Droid und in Tools wie Obtainium. Wer Updates selbst anstößt, hat zumindest einen Moment, in dem auffällt, dass eine neue Version ansteht, und kann sich die Frage stellen, ob er sie wirklich braucht.
Danach lohnt sich ein Blick auf die eigenen Sync-Ordner. Welche Daten sind wirklich kritisch? Was könnte man vorübergehend aus der Synchronisierung nehmen oder auf den Desktop-PC und ds Notebook begrenzen? Muss der gesamte Datenbestand auch auf dem Smartphone liegen? Oder reicht gar eine Auswahl?
Langfristig wird sich zeigen müssen, ob sich der Programmierer researchxxl transparent aufstellt. Dazu gehört eine saubere Präsentation in den relevanten Foren, eigene Schlüssel, dokumentierte Übergänge, reproduzierbare Builds und ein offener Umgang mit der Projektgeschichte. Wenn das passiert, kann aus der aktuellen Lage ein neues, solides Android-Frontend für Syncthing entstehen. Wenn nicht, bleibt der Fork ein Beispiel dafür, wie man in kurzer Zeit sehr viel Vertrauen verspielt.
Vertrauen als Währung, die Syncthing verspielt hat
Stand heute gibt es keinen Beleg dafür, dass sich die neuen Versionen von Syncthing gezielt gegen Nutzer gerichtet haben. Die App hat bislang keine unerwünschten oder überraschenden Handlungen vollzogen.
Was fehlt, ist etwas anderes. Eine deutliche Erklärung, warum der alte Maintainer untergetaucht ist. Und ein Statement, warum seine Schlüssel weiterhin genutzt werden und wie die Übergabe tatsächlich abgelaufen ist. Die Auto Updater und App Stores haben die Neuerung einfach blind übernommen. Die Nutzer erfahren davon nur, wenn überhaupt, wenn sie zufällig in Foren oder im Web über die oben erwähnten Nachrichten stolpern sollten.
Nach den Vorfällen der vergangenen Jahre ist das mindestens naiv. Für eine Sync-App mit Vollzugriff auf den Speicher ist das sogar leichtsinnig.
Bis mehr Klarheit herrscht, bleibt nur ein nüchterner Umgang mit der Situation. Niemand muss in Panik ausbrechen, aber dem Code kann man nicht einfach weiter blind vertrauen. Wer den Syncthing Fork nutzen möchte, sollte sich bewusst entscheiden, welche Version er auf sein Gerät lädt und welche Daten auf dem Smartphone landen sollen. Außerdem muss man im Hinterkopf behalten: Der eigentliche Knackpunkt ist nicht der Code an sich. Es ist die Frage, ob eine völlig unbekannte Person einfach den Code im Namen des bisherigen Programmierers unterschreibt.
