Syncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht

Kontroverse rund um Syncthing-Fork: Das GitHub-Repository des Projekts, einer beliebten Android-Variante der Dateisynchronisations-Software Syncthing, war erst nicht mehr verfügbar und tauchte dann unter zweifelhaften Umständen wieder auf. Wie Nutzer im offiziellen Syncthing-Forum berichten, verschwand das Projekt des Entwicklers Catfriend1 plötzlich. Der Maintainer selbst ist seitdem nicht erreichbar und hat sein Profil auf privat gestellt.

Syncthing ermöglicht die dezentrale Synchronisation von Dateien zwischen verschiedenen Geräten ohne Cloud-Anbieter. Da die Anwendung vollen Zugriff auf das Dateisystem hat, sorgt das plötzliche Verschwinden des Repositorys in der Community für erhebliche Verunsicherung.

Drei Repository-Resets

Laut Aussagen im Forum handelt es sich nicht um den ersten Vorfall dieser Art. Ein Nutzer berichtet, dass es 2025 bereits dreimal zu Repository-Resets gekommen sei. Syncthing-Mitbegründer Jakob Borg erklärte im Forum, dass es im Juli einen ähnlichen Ausfall gab, bei dem die Repository-History neu geschrieben wurde, um unangemessene Inhalte zu entfernen. Das Repository sei damals korrekt zurückgekehrt.

Jetzt ist die Situation jedoch anders: Ein neuer GitHub-Account namens researchxxl hat das Projekt offenbar übernommen. Es gibt jedoch keine öffentlich nachvollziehbare, verifizierbare Übergabe durch Catfriend1 – in bekannten Kanälen ist zumindest nichts dergleichen zu finden. Und das, obwohl der neue Maintainer theoretisch nun beliebigen Code unter der bisherigen Signatur auf eine große Zahl von Geräten bringen könnte. In der Community wird die Kommunikation des neuen Projektverantwortlichen wenigstens als ausweichend, beschwichtigend und wenig transparent wahrgenommen. Konkrete Fragen nach der Übergabe und nach mehr Offenlegung bleiben weitgehend unbeantwortet oder werden heruntergespielt.

Technisch wurden die bisherigen Änderungen von einigen Leuten geprüft und es wurden keine offensichtlichen bösartigen Modifikationen gefunden; F‑Droid baut die App zudem reproduzierbar und verifiziert, ob der veröffentlichte Code zu den Binaries passt. Dass „bisher nichts Böses gefunden“ wurde, ist aber explizit kein langfristiger Vertrauensbeweis – zum Beispiel könnten zukünftige Commits nach dem Abflauen der Kontroverse weniger genau kontrolliert werden und der neue Schlüsselhalter hat dauerhaft weitreichende Rechte.

In einem GitHub-Issue lassen sich die organisatorischen Fragen, etwa zur Einrichtung von Build-Prozessen, zur Freigabe über F-Droid und zur möglichen Umbenennung des Projekts, öffentlich nachvollziehen. Dabei meldet sich auch der bereits bekannte Entwickler und Play‑Store‑Verwalter nel0x, der bei der Weiterentwicklung helfen will – mehrere Syncthing‑Entwickler und Teile der Community erklären, dass sie eher seinen Builds vertrauen und hoffen, dass zum Beispiel F‑Droid künftig dorthin umzieht.

Signierschlüssel und Sicherheitsbedenken

Aus Sicherheitssicht besonders problematisch: Unklar ist, ob der neue Account Zugang zu den Signierschlüsseln der ursprünglichen App hat – diese Frage wird in der Community intensiv diskutiert. Allein die Möglichkeit wirft jedoch Fragen zur Sicherheit der App auf, da unklar ist, wie diese Schlüssel in die Hände des neuen Maintainers gelangt sind. Ohne offizielle Stellungnahme von Catfriend1 lässt sich nicht ausschließen, dass das Entwicklerkonto kompromittiert wurde. Hier werden böse Erinnerungen an die xz-Lücke 2024 wach.

Die Community diskutiert intensiv über die Situation. Einige Nutzer hoffen auf eine Rückkehr des ursprünglichen Repositorys wie bei früheren Vorfällen, andere zeigen sich besorgt über die fehlende Transparenz. Hinzu kommt ein uraltes Problem freier Software: Borg wies im Forumsbeitrag darauf hin, dass die Wartung von Open-Source-Projekten eine weitgehend undankbare Aufgabe sei und jemand anderes die Gelegenheit nutzen könnte, einen Mirror anzubieten.

Für Nutzer der App bedeutet die Situation Unsicherheit: Updates könnten ausbleiben, und die Vertrauenswürdigkeit künftiger Versionen ist fraglich. Wer Syncthing-Fork installiert hat, sollte die Entwicklungen genau beobachten und sich gegebenenfalls mit Alternativen vertraut machen. Die zu finden, ist für Android-Nutzer derzeit schwierig, da die offizielle Syncthing-Android-App im Dezember 2024 eingestellt und das Repository archiviert wurde. Als mögliche Lösung hat nel0x angekündigt, seine Version weiterzuentwickeln – die Community hofft, dass F-Droid künftig auf diese Version umsteigt.

(fo)