Android-Apps: Google beschränkt Zugriff auf SMS

Google wird in den kommenden Wochen Apps aus seinem Play Store entfernen, die ohne zwingende Gründe auf SMS und Anrufprotokolle der Nutzer zugreifen. Angekündigt wurde die Maßnahme im vergangenen Oktober. Die App-Entwickler wurden mit einer Frist zum 9. Januar 2019 aufgefordert, die fraglichen Berechtigungen entweder zu entfernen oder mit triftigen Gründen um eine Genehmigung zu ersuchen. Google reagierte damit offenbar auf zahlreiche berichtete Datenleaks einschließlich dem Facebook-Skandal um Cambridge Analytica. Die neue Regelung soll App-Entwickler daran hindern, den Nutzern Berechtigungen abzuluchsen für sensible Datenzugriffe, die sie nicht wirklich benötigen.

„Wir nehmen den Zugriff auf sensible Daten und Berechtigungen sehr ernst“, heißt es dazu in Googles Android Developers Blog. „Das gilt insbesondere bei Berechtigungen für SMS-Nachrichten und Anrufprotokolle, die eingeführt wurden, damit Nutzer ihre bevorzugten Dialer- oder Messaging-Apps wählen konnten.“ Die Berechtigungen seien aber auch für viele andere Zwecke eingeholt worden, die nicht dieselbe Zugangsebene benötigten. Nach der neuen Richtlinie aber sollen nur noch Anwendungen den vollen und fortlaufenden Zugriff auf die sensiblen Daten erhalten, wenn das für ihren primären Einsatzzweck erforderlich ist – und die Nutzer verstehen, warum diese Daten für die Funktionsfähigkeit der App sorgen.

Entwickler, deren Apps die fraglichen Berechtigungen bislang nutzten, müssen entweder darauf verzichten oder eine Berechtigungserklärung einreichen, in der sie Gründe für eine erwünschte Ausnahmegehmigung darlegen. Google verspricht eine gründliche Prüfung, bei der dieselben Kriterien für alle Entwickler gelten – einschließlich Dutzenden von Googles eigenen Anwendungen. Berücksichtigung finden sollen dabei der Nutzen von Features für die Anwender, die Wichtigkeit der Berechtigung für die Kernfunktion einer App sowie die Risiken durch den Zugriff auf sensible Daten beim jeweiligen Einsatzzweck.

Laut Google zeigte sich bereits, dass viele der überprüften Apps mit diesen Berechtigungen ihre Funktion auch mit weniger weitreichenden APIs und damit einem beschränkten Zugriff erfüllen können. So könnten etwa Entwickler, die SMS zur Kontenverifizierung nutzen, alternativ die SMS Retriever API nutzen.

Betroffen sind auch Entwickler von Apps, die das Tool Account Kit von Facebook nutzen, das eine passwortlose Anmeldung mit nur einer Telefonnummer oder einer E-Mail-Adresse erlaubt. Facebook selbst legte diesen Entwicklern nahe, die SMS-Berechtigungen aus ihren Apps zu entfernen. Die nächste Version des Account Kit SDK soll die Berechtigung Receive_SMS nicht mehr nutzen, um den neuen Regeln zu entsprechen. Facebook selbst war schon aufgefallen, weil es über Jahre hinweg von Android-Smartphones Metadaten über jegliche Telefonanrufe und Textnachrichten sammelte. Das Social Network hatte dabei ausgenutzt, dass in älteren Android-Versionen die Berechtigung für den Zugriff auf Kontakte auch die Anruf- und SMS-Listen einschloss.

Betroffene App-Entwickler sind von der Änderung teilweise gar nicht begeistert, wie Android Police berichtet. Demnach sollen Googles Prüfer auch gut begründete Ausnahmeanträge nicht genehmigt haben. Während sich einige beliebte Apps wie Tasker Genehmigungen sichern konnten, gelang es anderen wie Cerberus nicht – und sie mussten auf die Berechtigungen verzichten, um nicht den Hinauswurf aus dem Google Play Store zu riskieren. Der Cerberus-Entwickler gibt an, dass er deshalb mit einem Update umfangreiche Funktionalität aus seiner Anti-Diebstahl-Anwendung entfernen musste: „Das tötet im Grund einen der Köpfe von Cerberus.“