Hintergrund

Zugriffsrechte: Was darf meine App? (Android)

Beitragsbild_Krake

Wer Apps auf seinem Smartphone oder Tablet installiert, wird irgendwann aufgefordert, Zugriffsrechte zu genehmigen. Aber was bedeuten diese Zugriffsrechte eigentlich, woher kommen sie und wozu sind sie gut? Worauf es ankommt, zeigt dieser Artikel.

Aktualisiert am
Veröffentlicht am
Autor
Schlagworte
App-Rechte · App-Store · App-Updates
Drucken

Aktualisiert am

Ob Adressbuch, Anrufliste, oder Ortsdaten – Smartphones speichern zahlreiche sensible Daten. Zusätzlich ermitteln eingebaute Sensoren ständig weitere Daten, wie Umgebungstemperatur, Höhe oder den Neigungswinkel des Gerätes.

Wer diese Informationen für uninteressant hält, könnte überrascht werden: So ließe sich theoretisch durch die Verknüpfung der genannten Daten ermitteln, ob der Träger des Smartphones nüchtern ist oder nicht, denn schon ein leicht taumelnder Gang führt zu völlig anderen Messwerten.

Daher sollte nicht jede App allzu einfach Zugriff auf Daten und Funktionen des Gerätes bekommen. Unter anderem deshalb hat Google sein Betriebssystem so konstruiert, dass jede einzelne App streng getrennt von allen anderen Apps und vom Betriebssystem läuft.

Man spricht bei dieser Konstruktion auch von einer „Sandbox“ (Sandkasten), in der Apps laufen. Um aus dieser Sandbox heraus auf Sensoren und Funktionen des Betriebssystems zugreifen zu können, braucht jede App die entsprechenden Zugriffsrechte. Diese Zugriffsrechte entscheiden darüber, was eine App alles auf dem Gerät tun kann.

Unterschiede bei Android-Versionen

Zwischen den Android-Versionen 5.1 (Lollipop) und 6.0 (Marshmallow) wurde das Rechtesystem grundlegend überarbeitet. Nutzer von Android-Versionen bis 5.1 (Lollipop) haben nicht viel Einfluss auf die Rechtevergabe: Entweder stimmen sie bei der Installation allen Rechten zu, oder verzichten auf die Installation der App. Änderungen an den Rechten sind nach der Installation kaum mehr möglich.

Anders verhält es sich ab der Version Android 6.0 (Marshmallow). Viele Rechte einer App können bei dieser Version angezeigt und einzeln entfernt werden. Programme können bei Android 6.0 einzelne Rechte auch erst anfordern, wenn sie im Betrieb benötigt werden. Allerdings werden viele Zugriffsrechte im neuen System automatisch gewährt und gar nicht mehr angezeigt.

Der folgende Text bezieht sich größtenteils auf beide Systeme. Einzelheiten, die nur das alte, oder nur das neue System betreffen, sind ausgewiesen.

Was draufsteht ist auch drin

Um zum Beispiel auf Kamera, SD-Karte oder auf die Telefonfunktion zugreifen zu können, müssen die Programmierer ihrer App explizit eine Liste mitgeben, auf der die Rechte dafür verzeichnet sind. Diese Liste befindet sich in der Datei „AndroidManifest.xml“, die jede Android-App braucht, um zu funktionieren. Die Rechte in dieser Datei werden auf technischer Ebene von den einzelnen Betriebssystem-Teilen abgefragt.

Bis zur Android-Version 5.1 (Lollipop) gilt: Beim Installieren einer App wird direkt aus dieser AndroidManifest.xml-Datei eine für Menschen lesbare Liste der Zugriffsrechte erzeugt, und den Nutzern angezeigt. Ab Version 6.0 (Marshmallow) erscheint die Anzeige nicht mehr beim Installieren, sondern erst, wenn die Berechtigung tatsächlich von der App benötigt wird.

Für alle Versionen gilt: Es handelt sich bei der Anzeige nicht um ein bloßes Etikett für die Nutzer, auf dem alles mögliche stehen könnte. Im Gegenteil: Apps sind technisch auf das begrenzt, was Ihnen an Zugriffsrechten eingeräumt wurde. Diese Rechte kann die App nach der Installation nur noch durch ein Update ändern.

Wer es ganz genau wissen will, kann sich die AndroidManifest.xml-Datei seiner Apps sogar im Original anzeigen lassen – zum Beispiel mit der App „Dexplorer“.

Misstrauen angebracht

Verlangt eine App Rechte, die nicht unmittelbar im Zusammenhang mit der Funktion der App stehen, sollte das misstrauisch machen. Wenn etwa ein Taschenrechner Zugriff auf WLAN, GPS-Daten und Adressbuch haben möchte, könnte er sich später als Datenspion entpuppen.

Zahlreiche Apps fordern wesentlich mehr Berechtigungen an, als für ihre Funktion notwendig wäre. Sie übermitteln gesammelte Nutzerdaten über das Internet auf Server, wo sie zusammengefasst und weiterverkauft werden. Für Nutzerdaten existiert ein eigener Markt.

Wie weit verbreitet diese Datensammlerei ist, zeigte schon 2012 ein Test der Stiftung Warentest: Neun von 62 untersuchten Apps erhielten darin die Bewertung „sehr kritisch“, weil sie unter anderem Namen und Telefonnummern ungefragt und unverschlüsselt an Dritte versendeten.

Auch wenn es trivial klingt: Apps mit übergriffigen Zugriffsrechten kann man auch einfach nicht Installieren. Fast immer gibt es eine bessere Alternative. Apps, die Ihre Privatsphäre in der Regel respektieren, finden sich zum Beispiel im alternativen App-Store F-Droid.

Rechte-Gruppen bis Android 5.9

Mit dem Update auf die Play-Store-Version 4.8.20 (Juni 2014) hat Google eine Neugliederung des Berechtigungssystems vorgenommen. Seitdem werden die Rechte, die Nutzer bei der Installation angezeigt bekommen, großzügig in Kategorien eingeteilt.

Da sich diese Kategorien im Detail relativ oft ändern, verweisen wir an dieser Stelle auf die Support-Seite von Google, wo die aktuelle Einteilung mit Erläuterungen für Versionen bis Android 5.9 gelistet ist.

Problematisch ist diese Kategorisierung, wenn Nutzer Ihre Apps aus Googles Play-Store automatisch aktualisieren lassen. Denn Apps können sich seit der Play-Store-Version 4.8.20 dabei ungefragt weitere Berechtigungen einholen: Wenn die neue Berechtigung zu einer bereits vorhandenen Berechtigungsgruppe gehört, wird der Nutzer nicht mehr darüber informiert. Stattdessen erscheint lediglich der missverständliche Hinweis: „Die App XY erfordert keine besonderen zusätzlichen Berechtigungen“.

Hat eine App beispielsweise die Berechtigung „SMS empfangen“ aus der Gruppe „SMS“ eingefordert, kann sie durch ein Update ohne zusätzlichen Hinweis auch die App-Berechtigung „SMS senden“ einfordern, wodurch Kosten entstehen können.

Aus diesem Grund ist die Funktion „Automatisch Aktualisieren“ mit Bedacht zu verwenden. Ab Android 6.0 werden neue Rechte, die durch Updates zustande kommen, immer abgefragt.

Rechte anzeigen und einschränken

Mit sehr aufwendigen Verfahren ist es auch vor Android 6.0 (Marshmallow) möglich, Apps einzelne Rechte zu entziehen. Dazu entwickelte die Universität des Saarlandes ursprünglich die kostenfreie „SRT AppGuard“, die jedoch neuerdings nur noch als Testversion kostenlos verfügbar ist.

Wer sich nicht durch die einzelnen Rechte-Listen der Apps kämpfen will, kann sich die Rechte aller installierten Apps auch übersichtlich sortiert und gegliedert anzeigen lassen. Das erledigt beispielsweise die App „Clueful Privacy Advisor“ vom Antivirus-Hersteller Bitdefender, oder die israelische App „MyPermissions„. Beide Apps sind kostenlos.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!