Google beschränkt Zugriff auf SMS bei bestimmten Android-Apps
Der Zugriff auf SMS und Anrufprotokolle soll nur noch bei Apps erlaubt werden, wenn er für ihren primären Einsatzzweck erforderlich ist. Entwickler von Apps müssen die fraglichen Berechtigungen entweder entfernen oder mit triftigen Gründen um eine Genehmigung zu ersuchen. m
In den kommenden Wochen plant Google Apps, die ohne zwingende Gründe auf SMS und Anrufprotokolle der Nutzer zugreifen, aus seinem Play Store zu entfernen. Die Maßnahme wurde im Oktober 2018 angekündigt. Google reagierte damit offenbar auf zahlreiche berichtete Datenleaks einschließlich dem Facebook-Skandal um Cambridge Analytica. Die neue Regelung soll App-Entwickler daran hindern, den Nutzern Berechtigungen abzuluchsen für sensible Datenzugriffe, die sie nicht wirklich benötigen. Die App-Entwickler wurden mit einer Frist zum 9. Januar 2019 aufgefordert, die fraglichen Berechtigungen entweder zu entfernen oder mit triftigen Gründen um eine Genehmigung zu ersuchen.
In Googles Android Developers Blog heißt es dazu: “Wir nehmen den Zugriff auf sensible Daten und Berechtigungen sehr ernst”. “Das gilt insbesondere bei Berechtigungen für SMS-Nachrichten und Anrufprotokolle, die eingeführt wurden, damit Nutzer ihre bevorzugten Dialer- oder Messaging-Apps wählen konnten.”
Aber auch für viele andere Zwecke, die nicht dieselbe Zugangsebene benötigten, seine die Berechtigungen eingeholt worden. Nach der neuen Richtlinie aber sollen nur noch Anwendungen den vollen und fortlaufenden Zugriff auf die sensiblen Daten erhalten, wenn das für ihren primären Einsatzzweck erforderlich ist – und die Nutzer verstehen, warum diese Daten für die Funktionsfähigkeit der App sorgen. Entwickler, deren Apps die fraglichen Berechtigungen bislang nutzten, müssen entweder darauf verzichten oder eine Berechtigungserklärung einreichen, in der sie Gründe für eine erwünschte Ausnahmegehmigung darlegen.
Google verspricht eine gründliche Prüfung, bei der dieselben Kriterien für alle Entwickler gelten – einschließlich Dutzenden von Googles eigenen Anwendungen. Berücksichtigung finden sollen dabei der Nutzen von Features für die Anwender, die Wichtigkeit der Berechtigung für die Kernfunktion einer App sowie die Risiken durch den Zugriff auf sensible Daten beim jeweiligen Einsatzzweck.
Laut Google zeigte sich bereits, dass viele der überprüften Apps mit diesen Berechtigungen ihre Funktion auch mit weniger weitreichenden APIs und damit einem beschränkten Zugriff erfüllen können. So könnten etwa Entwickler, die SMS zur Kontenverifizierung nutzen, alternativ die SMS Retriever API nutzen.
Auch Entwickler von Apps, die das Tool Account Kit von Facebook nutzen, das eine passwortlose Anmeldung mit nur einer Telefonnummer oder einer E-Mail-Adresse erlaubt, sind betroffen. Facebook selbst legte diesen Entwicklern nahe, die SMS-Berechtigungen aus ihren Apps zu entfernen. Die nächste Version des Account Kit SDK soll die Berechtigung Receive_SMS nicht mehr nutzen, um den neuen Regeln zu entsprechen. Facebook selbst war schon aufgefallen, weil es über Jahre hinweg von Android-Smartphones Metadaten über jegliche Telefonanrufe und Textnachrichten sammelte. Das Social Network hatte dabei ausgenutzt, dass in älteren Android-Versionen die Berechtigung für den Zugriff auf Kontakte auch die Anruf- und SMS-Listen einschloss.
Betroffene App-Entwickler sind von der Änderung teilweise gar nicht begeistert, wie Android Police berichtet. Demnach sollen Googles Prüfer auch gut begründete Ausnahmeanträge nicht genehmigt haben. Während sich einige beliebte Apps wie Tasker Genehmigungen sichern konnten, gelang es anderen wie Cerberus nicht – und sie mussten auf die Berechtigungen verzichten, um nicht den Hinauswurf aus dem Google Play Store zu riskieren. Der Cerberus-Entwickler gibt an, dass er deshalb mit einem Update umfangreiche Funktionalität aus seiner Anti-Diebstahl-Anwendung entfernen musste: “Das tötet im Grund einen der Köpfe von Cerberus.”