Vor nicht allzu langer Zeit hat Google Play eine neue Richtlinie für Apps eingeführt; seither dürfen Programme nicht länger den Zugriff auf Anrufe und SMS-Nachrichten anfordern, wenn dies nicht ausdrücklich für ihre korrekte Funktionsweise nötig ist. Diese Einschränkung soll in naher Zukunft so weit verschärft werden, dass bald ausschließlich Anruf- und SMS-Apps nach diesen Berechtigungen fragen dürfen. Derzeit wird diese Regel jedoch noch von einer relativ langen Ausnahmeliste begleitet.
Entwickler hatten bis zum 9. März Zeit, ihre Produkte an die neuen Richtlinien von Google anzupassen. In diesem Beitrag möchten wir näher darauf eingehen, warum es sich bei dieser neuen Bestimmung jedoch um ein zweischneidiges Schwert handelt.
Übermäßig datenhungrige Apps
Dass Android-Apps oftmals mehr Berechtigungen einfordern, als sie tatsächlich für eine korrekte Funktionsweise benötigen, liegt auf der Hand: Werfen Sie lediglich einen Blick auf die Liste der Berechtigungen, die bestimmte Apps während ihrer Installation anfordern. Warum muss dem Online-Shop von AliExpress beispielsweise die Erlaubnis erteilt werden, Audioaufnahmen zu tätigen oder Ihre Anrufinformationen einzusehen?
Selbst große und bekannte Marken missbrauchen Berechtigungen zeitweise zu illegitimen Zwecken, und es sollte Sie definitiv nicht überraschen, dass Apps von weniger bekannten oder vielleicht sogar völlig unbekannten Herstellern in Sachen „ordnungsgemäßes Einfordern von Berechtigungen“ noch deutlich schlechter abschneiden. Einige dieser Apps könnten bösartig sein und den Zugriff auf Anrufe und SMS-Nachrichten verwenden, um den Nutzern Daten und Geld zu stehlen. Malware, die SMS-Nachrichten beispielsweise komplett eigenständig senden und empfangen kann, sollte keine Probleme damit haben, Sie ohne Ihr Wissen für einen kostenpflichtigen Dienst anzumelden oder eine SMS-Nachricht mit einem Einmalcode von Ihrer Bank abzufangen.
Google Play setzt auf Sicherheit
Google zufolge ist das Ziel dieser Einschränkungen der Schutz der Nutzer-Privatsphäre. Die Logik, die hinter dieser ganzen Idee steckt, ist simpel: Authentische Entwickler ziehen es vor, auf unnötige Berechtigungen zu verzichten, anstatt von einem derart wichtigen Softwaremarkt mit unzähligen Nutzern abzutreten. SMS-Abfänger und Anruf-Spyware hingegen bleibt keine andere Wahl, als den Mark tzu verlassen. Tolle Neuigkeiten, oder etwa nicht? Leider ist das Leben nicht ganz so einfach wie es auf den ersten Blick scheint.
Das kann schief gehen: Ausnahmen, die die Regel nicht bestätigen
Im wirklichen Leben müssen zahlreiche Apps auf Anrufe und SMS-Nachrichten zugreifen, um viele nützliche Features zu implementieren; dazu gehören beispielsweise Funktionen wie die Kontoverifizierung, das Erstellen von Backups, das Synchronisieren von Anrufen und Nachrichten zwischen Geräten, das Blockieren von Spam und vieles mehr.
Um legitimen Entwicklern nicht zu schaden und Benutzern keine nützlichen Tools zu verweigern, sind in der aktuellen Google-Play-Richtlinie Ausnahmen vorgesehen, die es ermöglichen, dass diese begehrten Berechtigungen in bestimmten Fällen von Nutzern eingefordert werden dürfen. Umgekehrt können aber auch Cyberkriminelle das Verbot umgehen, indem sie Allowlist-Funktionen in ihren Apps integrieren. Es ist daher eher unwahrscheinlich, dass Google Play erfolgreich alle Apps, die Anrufe und SMS-Nachrichten ausspionieren, verbannen wird: Schädliche Taschenlampen-Apps werden einfach durch schädliche Spam-Anrufblocker ersetzt.
Weitere Risiken & Gefahren
Ein weiteres mögliches Problem: Google Play zeigt nicht nur verdächtigen Apps, sondern auch authentischen und nützlichen Apps den Weg vor die Tür. Die meisten Entwickler haben ihre Liste der angeforderten Berechtigungen wahrscheinlich ohne großen Aufwand überarbeitet; es wird aber sicherlich auch einige andere App-Entwickler geben, die sich aus irgendeinem guten Grund dazu entschieden haben, nicht mit auf diesen Wagen aufzuspringen. Es wäre jedenfalls nicht das erste Mal, dass es zu so einem Szenario kommt: So konnten sich die Autoren des wahnsinnig populären Spiels Fortnite beispielsweise nicht mit den Bedingungen von Google Play abfinden und entschieden sich letztendlich dazu, auf ihre Präsenz im Google Play Store vollständig zu verzichten.
Der Abgang legitimer Entwickler ist definitiv keine gute Nachricht für Nutzer. Zum einen werden Apps, die im offiziellen Google-Store fehlen, wahrscheinlich an anderer Stelle gesucht, was die Wahrscheinlichkeit erhöht, dass Nutzer auf eine Fake-App zurückgreifen. Und zum anderen werden viele Entwickler, die Googles neuen Filter nicht bestehen, zu anderen Websites mit niedrigeren Sicherheitsanforderungen wechseln. Und Fans ihrer Apps werden ihnen mit Sicherheit folgen, was bedeutet, dass auch die Nutzerzahl solcher Websites anwächst. Das wiederrum sind großartige Nachrichten für Cyberkriminelle!
So können Sie sich auch in Zukunft schützen
Mit der Einführung der neuen Google-Play-Richtlinie wird die Leistungsdynamik auf dem mobilen App-Markt gestört, und Android-Nutzer müssen in naher Zukunft Augen und Ohren besonders offen halten:
- Laden Sie Apps niemals aus verdächtigen Quellen herunter. Sollte sich eine spezifische App nicht im Google Play Store finden lassen, laden Sie diese nicht gleich von der erstbesten Website herunter, die in den Suchergebnissen erscheint. Suchen Sie am besten nach der offiziellen Entwickler-Website und laden Sie die App dort herunter.
- Installieren Sie ausschließlich Software, die von renommierten Unternehmen entwickelt wurde. Vergewissern Sie sich vorher, dass die App, nach der Sie suchen, tatsächlich für Android verfügbar ist.
- Überprüfen Sie, welche Berechtigungen die App von Ihnen verlangt, und räumen Sie ihr unter keinen Umständen zusätzliche Rechte ein, auch wenn Sie sicher sind, dass es sich bei der Anwendung nicht um verschleierte Malware handelt. Auf unserem Blog haben wir bereits über App-Berechtigungen für Android 6 und 7 sowie Android 8 berichtet.
- Schützen Sie Ihr System mit einer guten Antivirus-Lösung wie zum Beispiel Kaspersky Security Cloud. Der Spürsinn unserer Lösung für Malware ist wahrscheinlich deutlich sensibler als Ihrer.