Обновление F-Droid Week 22 интересно не одним заметным приложением, а накопившимся операционным сдвигом: приложения получили новые permissions, отказались от поддержки старых Android, добавили ML-функции, изменили sync-поведение и расширили сценарии, чувствительные к приватности. Для мобильной безопасности именно так и стоит читать длинный changelog.
В посте также повторяется более широкий сигнал F-Droid: распространение Android-приложений находится под давлением из-за изменений Google в установке приложений. Читателей отправляют на KeepAndroidOpen.org. Контекст важный, но ближайшая задача локальная: проверить, что изменилось в приложениях, которыми вы реально пользуетесь.
Что изменилось#
Пост F-Droid «This Week in F-Droid» от 29 мая 2026 года — плотная еженедельная сводка. В ней есть крупные обновления, новые приложения и длинный хвост небольших апдейтов. Смысл не в общем количестве. Важнее типы изменений, которые одновременно приходят в репозиторий.
Несколько приложений получили заметные функциональные обновления. ArcaneChat обновили с множеством исправлений и улучшений. Calls больше не экспериментальные, channels тоже вышли из экспериментального статуса, location streaming улучшили, переводы обновили. Также появились design fixes, sync optimisations, chat filters, room tags, thumbnail control и изменения push notifications для multi-account-сценариев.
Медиа-приложение, переименованное с более общего прежнего названия, получило очень большой changelog после того, как функции стабилизировались и стали полностью FLOSS. В заметке F-Droid упоминаются maps integration, использование INTERNET permission, optional ML features, app sandboxing processing, поддержка 360-degree, переработка vault, markup, album groups, FCast, private folder, timeline, subtitles и новые video controls. Такое обновление не стоит воспринимать как «просто новую версию». Оно меняет то, что приложение умеет делать, к чему получает доступ и чему пользователь должен доверять.
В сводке есть и работа, связанная с ProofMode, включая поддержку WebDAV server и bug fixes. Источник описывает приложение как полезное для documenters, archivists, journalists и advocates, работающих в сложных технологических и человеческих условиях. Это более рискованная аудитория, чем у обычных утилит. В таком контексте даже небольшие изменения workflow могут повлиять на хранение доказательств, привычки backup и privacy-риск.
Другие обновления выглядят привычнее, но их тоже стоит заметить. Апдейт игры в основном касается самой игры, а Android-часть получила новый settings screen и улучшения удобства для touch screens. Если после обновления игра не запускается и жалуется на missing game files, F-Droid советует reimporting the game data files. Другое приложение для camera translation добавило live camera translation; у части пользователей старых Android были crashes, которые разработчик, как сообщается, уже исправил, но следующий релиз на момент поста F-Droid еще ожидался.
Gitnex, клиент для Forgejo и Gitea, получил UI overhaul. Еще одно обновление Git-связанного приложения затрагивает мобильную работу с GitLab. В списке также есть bug fixes и export saved-signature as PNG в другом приложении. Среди новых приложений — инструменты для Work Profiles, VPN/proxy detection, call verification против deepfake impersonation, SSH/SFTP, LAN file sharing, private AI chat, on-device translation, household management, offline health tracking, two-factor authentication и privacy scoring.
Именно это сочетание и важно: репозиторий давно не состоит только из игр и простых утилит. В нем все больше приложений рядом с identity, location, communications, media evidence, AI workflows и network routing.
Почему это важно для мобильной безопасности#
Open source-дистрибуция снижает один класс проблем доверия, но не убирает операционные риски. Пользователи F-Droid часто предпочитают APK, собранные из видимого исходного кода, а не непрозрачные release uploads. Это разумная модель доверия. Но обычная работа по мобильной безопасности остается: permissions, network access, update behavior, возраст OS, account exposure и backup choices.
Самый очевидный пример из этой сводки — app permissions. Если приложение добавляет maps integration и начинает использовать INTERNET permission, это может быть оправданно. Но privacy-модель при этом меняется. Медиа-приложение, которое на практике раньше было local-first, после обновления может стать network-capable app. Optional ML features могут быть полезны, но сразу возникают вопросы: где идет processing, какие models используются и покидает ли content устройство. Сводка F-Droid говорит, что optional ML features и app sandboxing processing входят в changelog, но детали нужно проверять в release notes самого приложения, а не автоматически выбирать самый безопасный сценарий.
Поддержка старых Android — еще одна практическая проблема. Источник отмечает, что одно приложение отказалось от Android 5 support, одновременно исправляя annoyances и technical debt. Это не обязательно враждебно к пользователям. Поддержка очень старых Android может мешать maintainability и security posture. Но для тех, кто застрял на старых устройствах, последствия прямые: updates прекращаются, совместимость сужается, а устройство сложнее удерживать в безопасном рабочем состоянии.
F-Droid советует искать более свежую совместимую Android distribution, упоминая LineageOS Wiki как возможный ориентир, или покупать более новое устройство, если позволяют финансы. Совет здравый, но доступен не всем одинаково. Одни пользователи могут unlock, flash и поддерживать community ROM. Другие не могут — из-за locked bootloaders, отсутствующих builds, региональных вариантов устройств или собственной tolerance к риску. «Установить более свежую distribution» стоит рассматривать как вариант для оценки, а не универсальное решение.
Обновление важно еще и потому, что несколько перечисленных приложений работают в чувствительных сценариях. Инструменты для journalists, advocates, digital forensics, private chat, call verification, VPN detection, Work Profiles и two-factor authentication нельзя сравнивать с flashlight app. Ошибка в permissions, слабая схема backup или неверно понятая sync-функция могут раскрыть sources, identities, location patterns или recovery codes.
Что проверить перед обновлением или установкой#
Начните с приложений, которыми вы действительно пользуетесь. Длинный список обновлений F-Droid — не призыв аудитить всё подряд. Это повод проверить софт, который касается ваших messages, files, identity, network path, location, camera, microphone или authentication.
Для каждого важного приложения смотрите update notes и permission changes. Особенно внимательно — новый network access, location features, camera use, microphone use, storage access, push notifications, account sync и backup/export features. Если приложение добавило INTERNET permission, спросите себя, какой функции оно нужно и можно ли продолжать пользоваться приложением без этого workflow.
Для Android security сверяйте версию OS с поддерживаемым диапазоном приложения. Если приложение перестает поддерживать вашу версию Android, не считайте, что старая сборка будет безопасной бесконечно. Она может работать, но будущих fixes уже не получит. Если вы на Android 5 или другой старой версии, проверьте, есть ли для устройства поддерживаемая alternative ROM, можно ли unlock bootloader и готовы ли вы к failure modes при flashing. Если нет, планируйте работу с пониженным доверием: меньше чувствительных приложений, меньше сохраненных данных, более строгая account recovery hygiene и никаких ожиданий, что app updates спасут устройство.
Для communications и evidence apps после обновления тестируйте workflows. Calls, channels, push notifications, WebDAV export, media vaults, private folders и sync optimisation могут менять характер отказов. Функция, которая работает в обычном чате, может сломаться при плохой связи, нескольких accounts, нехватке storage или агрессивном battery management. Security operations держатся на скучной надежности.
Для AI- и ML-связанных приложений разделяйте три вопроса. Функция optional? Processing идет on device или через provider? Какие data отправляются, хранятся, экспортируются или логируются? Пост F-Droid перечисляет private AI chat и on-device translation-style tools, но каждое приложение нужно проверять отдельно. «Open source» и «private» — полезные сигналы, но не доказательство, что именно ваша configuration безопасна.
Если вы используете Work Profiles или sandboxing tools, после обновления проверьте isolation. Видит ли приложение только те accounts, files, notifications или network routes, которые вы ожидаете? Получают ли cloned или isolated apps push notifications? Разделены ли backups? Проверки скучные, зато они ловят реальные поломки.
Чего не стоит утверждать слишком уверенно#
Пост F-Droid — еженедельная сводка, а не vulnerability report. В нем не сказано, что эти приложения скомпрометированы. Он не доказывает, что новые permissions вредоносны. Он не устанавливает, что изменения Google в установке приложений одинаково затронут каждого пользователя. Корректный вывод уже: многие Android-приложения в open source-экосистеме одновременно меняют capabilities, support и trust boundaries.
Это также не доказательство, что F-Droid не несет рисков. F-Droid улучшает inspectability и build trust для многих пользователей, особенно по сравнению со скачиванием случайных APK со страниц releases или mirrors. Но пользователям все равно нужно читать permission changes, понимать privacy-модель конкретного приложения и поддерживать само устройство.
Практичная позиция проста. По возможности выбирайте дистрибуцию, опирающуюся на source. Держите OS свежей там, где это реально. Читайте крупные changelogs для чувствительных приложений. Считайте новые network, location, sync, ML и backup-функции security-relevant, пока не проверите их.
Длинные changelogs — не шум. Именно там мобильная безопасность меняет форму до того, как это превращается в инцидент.