Überblick: Das vertraute Sync ohne Cloud beginnt zu wanken
Syncthing ist für viele Nutzer eine bewährte Lösung Daten ohne Cloud auf Smartphone Notebook und Server zu synchronisieren. Dabei hat sich auf Android-Basis ein Fork von Catfriend1 durchgesetzt der weiterhin Funktionen, bessere SD-Karten-Unterstützung und sichtbaren Fortschritt bietet. Doch die Ruhe ist trügerisch denn Anfang 2024 kündigte der ursprüngliche Entwickler an das Projekt endgültig einzustellen.
Das Ende des offiziellen Android-Clients: Warum der Support eingestellt wird
Im Herbst 2024 gab Simon der Maintainer der offiziellen Android-App, bekannt. Dass Projekt im Dezember archiviert wird. Seine Begründung liegt in steigenden Google-Vorgaben, Zeitmangel und mangelnder Motivation. Seither hat die offizielle App keine Aktualisierungen mehr erfahren und mit ihrem Ende schien die bestehende Nutzerschaft auf sich allein gestellt.
Das plötzliche Verschwinden des Repositories: Ein Rätsel ohne klare Antwort
Mitte November wurde im Syncthing-Forum entdeckt, dass das GitHub-Repo bei GitHub eine 404-Fehlerseite zeigte. Der Account von Catfriend1 ist privat direkte Kommunikation kaum noch möglich. Auch die Unterstützung via Liberapay verschwand spurlos. Nach kurzer Zeit wurde die alte Adresse auf eine neu angelegte Instanz weitergeleitet die mit minimalem Text auf einen Fork verweist — ohne Hinweis auf Hintergründe.
Der kontroverse Neueinsteiger: Ist das Vertrauen noch legitim?
Ein neues Repository tauchte unter researchxxl auf. Es trägt denselben Namen ein ähnliches Profilbild und verweist auf einen Fork von Syncthing für Android. Doch die Details wecken Misstrauen: Der Account heißt erst researchxxl, wurde im November 2024 registriert und beschreibt das Projekt lapidar als „Syncthing Fork – A Syncthing Wrapper for Android.“ Es fehlt an Transparenz – keine Erklärungen, warum der alte Maintainer verschwand, keine nachvollziehbaren Übergaben. Die signierten Builds gleichen den früheren allerdings das sitzende Vertrauen ist erschüttert.
Hinter den Kulissen: Ein Blick auf Signaturen & Code
Obwohl die aktuellen Versionen mit den bekannten GPG-Schlüsseln signiert sind ist die Geschichte komplex. F-Droid hat die Metadaten bereits aktualisiert – der Quellcode kommt allerdings vom neuen Account. Die Historie der Commits stimmt weitgehend mit dem alten Code überein. Dennoch bleibt die Frage offen: Warum verschwand der ursprüngliche Support? Was bedeutet es, dass die Schlüssel bestehen bleiben ebenfalls wenn der ursprüngliche Entwickler weg ist?
Reaktionen in der Community: Skepsis hält Einzug
Im Diskussionsforum von Syncthing war die Stimmung aufgebracht. Der Hauptentwickler imsodin warnte vor vorschnellen Spekulationen, betonte jedoch: Vertrauen bei einer App mit Vollzugriff auf den Speicher darf nicht einfach an einen neuen Namen übertragen werden. Calmh der Gründer von Syncthing, äußerte sich ähnlich: Er schätzt eher eine persönliche Motivation- oder Kapazitätsentscheidung des alten Maintainers. Er empfiehlt Geduld und Ablenkung von schnellen Urteilen.
Kritiker fordern mehr Transparenz
Auf Reddit, im Fediverse und in Foren wurde dringlich geraten: Nutzer sollten automatische Updates blockieren. Der Wechsel der Konten – zuerst Catfriend1, dann researchxxl – erscheint dubios. Bei einigen ist die Befürchtung groß, es könne sich um einen Angriff handeln. Bislang fanden Experten keinen Schadcode die grundlegende Vertrauensbasis ist jedoch erschüttert.
Folgen für Nutzer: Was bedeutet das für den Alltag?
Wer Syncthing bisher via Play Store, F-Droid oder andere Tools genutzt hat, muss vorsichtig werden. Desktop-Tools wie Obtainium das einfach Weiterleitungen folgt holen sich automatisch die neuesten Builds. Nutzende sollten dringend die Updates deaktivieren und ihre sensiblen Daten beurteilen. Besonders bei privaten Dokumenten Kontodaten oder Recherchen ist Zurückhaltung geboten.
Das Für & Wider: Das Risiko abschätzen
Derzeit gibt es keine Anzeichen für bösartigen Code im neuen Fork. Dennoch ist die Sicherheit bei einem Projekt, das auf schwachen Füßen steht, fragwürdig. Der Verlust der Transparenz – keine klaren Übergaben, unklare Schlüssel – kann kritische Folgen haben. Die Nutzer sind gut beraten; den Fork nur mit Vorsicht zu verwenden oder vorerst auf die alte Version zu vertrauen.
Was Nutzer jetzt tun sollten
Kurzfristig empfiehlt es sich automatische Updates zu deaktivieren bestehende Daten kritisch zu prüfen und die Nutzung auf weniger riskante Alternativen zu überdenken. Langfristig wird nur eine transparente nachvollziehbare Projektführung das Vertrauen wiederherstellen. Bis dahin bleibt nur eine nüchterne Bewertung der aktuellen Situation – und die bewusste Entscheidung welche Versionen man auf dem Gerät installiert.
Kommentare
: Vertrauen ist die wichtigste Währung
Der Vorfall zeigt die Fragilität kleiner Open-Source-Projekte. Wenn einzelne Entwickler plötzlich ohne Erklärung verschinden – und ihre Schlüssel weiterverwendet werden – dann untergräbt das das Fundament der Sicherheit. Nutzer stehen vor der Entscheidung: Weiter vertrauen oder vorsichtig agieren. Für eine sichere Zukunft braucht es weiterhin offene Kommunikation und klare Übergaben.