Categories: MobileMobile Apps

Android-Apps: Google beschränkt Zugriff auf SMS

Google wird in den kommenden Wochen Apps aus seinem Play Store entfernen, die ohne zwingende Gründe auf SMS und Anrufprotokolle der Nutzer zugreifen. Angekündigt wurde die Maßnahme im vergangenen Oktober. Die App-Entwickler wurden mit einer Frist zum 9. Januar 2019 aufgefordert, die fraglichen Berechtigungen entweder zu entfernen oder mit triftigen Gründen um eine Genehmigung zu ersuchen. Google reagierte damit offenbar auf zahlreiche berichtete Datenleaks einschließlich dem Facebook-Skandal um Cambridge Analytica. Die neue Regelung soll App-Entwickler daran hindern, den Nutzern Berechtigungen abzuluchsen für sensible Datenzugriffe, die sie nicht wirklich benötigen.

„Wir nehmen den Zugriff auf sensible Daten und Berechtigungen sehr ernst“, heißt es dazu in Googles Android Developers Blog. „Das gilt insbesondere bei Berechtigungen für SMS-Nachrichten und Anrufprotokolle, die eingeführt wurden, damit Nutzer ihre bevorzugten Dialer- oder Messaging-Apps wählen konnten.“ Die Berechtigungen seien aber auch für viele andere Zwecke eingeholt worden, die nicht dieselbe Zugangsebene benötigten. Nach der neuen Richtlinie aber sollen nur noch Anwendungen den vollen und fortlaufenden Zugriff auf die sensiblen Daten erhalten, wenn das für ihren primären Einsatzzweck erforderlich ist – und die Nutzer verstehen, warum diese Daten für die Funktionsfähigkeit der App sorgen.

Entwickler, deren Apps die fraglichen Berechtigungen bislang nutzten, müssen entweder darauf verzichten oder eine Berechtigungserklärung einreichen, in der sie Gründe für eine erwünschte Ausnahmegehmigung darlegen. Google verspricht eine gründliche Prüfung, bei der dieselben Kriterien für alle Entwickler gelten – einschließlich Dutzenden von Googles eigenen Anwendungen. Berücksichtigung finden sollen dabei der Nutzen von Features für die Anwender, die Wichtigkeit der Berechtigung für die Kernfunktion einer App sowie die Risiken durch den Zugriff auf sensible Daten beim jeweiligen Einsatzzweck.

Laut Google zeigte sich bereits, dass viele der überprüften Apps mit diesen Berechtigungen ihre Funktion auch mit weniger weitreichenden APIs und damit einem beschränkten Zugriff erfüllen können. So könnten etwa Entwickler, die SMS zur Kontenverifizierung nutzen, alternativ die SMS Retriever API nutzen.

Betroffen sind auch Entwickler von Apps, die das Tool Account Kit von Facebook nutzen, das eine passwortlose Anmeldung mit nur einer Telefonnummer oder einer E-Mail-Adresse erlaubt. Facebook selbst legte diesen Entwicklern nahe, die SMS-Berechtigungen aus ihren Apps zu entfernen. Die nächste Version des Account Kit SDK soll die Berechtigung Receive_SMS nicht mehr nutzen, um den neuen Regeln zu entsprechen. Facebook selbst war schon aufgefallen, weil es über Jahre hinweg von Android-Smartphones Metadaten über jegliche Telefonanrufe und Textnachrichten sammelte. Das Social Network hatte dabei ausgenutzt, dass in älteren Android-Versionen die Berechtigung für den Zugriff auf Kontakte auch die Anruf- und SMS-Listen einschloss.

Betroffene App-Entwickler sind von der Änderung teilweise gar nicht begeistert, wie Android Police berichtet. Demnach sollen Googles Prüfer auch gut begründete Ausnahmeanträge nicht genehmigt haben. Während sich einige beliebte Apps wie Tasker Genehmigungen sichern konnten, gelang es anderen wie Cerberus nicht – und sie mussten auf die Berechtigungen verzichten, um nicht den Hinauswurf aus dem Google Play Store zu riskieren. Der Cerberus-Entwickler gibt an, dass er deshalb mit einem Update umfangreiche Funktionalität aus seiner Anti-Diebstahl-Anwendung entfernen musste: „Das tötet im Grund einen der Köpfe von Cerberus.“

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago