Apps Rechte mit OpenPDroid Privacy Manager entziehen

Ein großer Unterschied zwischen Android und iOS besteht darin, dass Sie unter Android die Rechte einer App bei der Installation absegnen müssen und anschließend dieses „Ja“ nicht mehr aufheben können. Außer Sie setzen auf PDroid.

App-Berechtigungen sind ein weites Themenfeld, das immer wieder für hitzige Debatten sorgt. Einerseits herrscht bei Android völlige Transparenz: Der Nutzer weiß beispielsweise, dass das lustige Spiel mit den verärgerten Vögeln und den hungrigen Schweinen auf die Telefonnummer des eingehenden Anrufs zugreifen möchten. Andererseits ist der Android-User diesen Rechteanforderungen insofern ausgeliefert, als er immer nur dem gesamten Rechtepaket zustimmen kann. Auf gerooteten Geräten lassen sich mit diversen Root-Apps (zum Beispiel LBE Privacy) normalen Apps die Rechte entziehen, aber häufig sind diese dann aufgrund diverser Abstürze kaum mehr benutzbar.

Wer sein Smartphone nicht nur gerootet hat, sondern auch ein Custom-ROM einsetzt, kann mit dem OpenPDroid Privacy Manager [1] beliebigen Apps kritische Rechte entziehen, ohne dass die Apps abstürzen. Es handelt sich dabei um das neuste Projekt aus der PDroid-Familie, mit den meisten Funktionen. Dieser Artikel erklärt Ihnen Schritt für Schritt, wie das geht. Falls auf Ihrem Handy bereits Android 4.3 installiert ist, können Sie sich das Rooten und Custom-ROMs sparen. Lesen Sie dazu den Kasten Ab Android 4.3 inklusive.

Ab Android 4.3 inklusive

Android 4.3 bringt bereits eine entsprechende Funktion mit, über die sich Apps nachträglich Rechte entziehen lassen. Das Feature ist aber noch nicht offiziell, deshalb finden Sie es nicht auf Anhieb unter den Einstellungen. Mit der App Permission Manager von Appaholics [2] rufen Sie die versteckten Einstellungen ganz einfach hervor. Wenn Sie einen Launcher mit Support für Aktivitäten benutzen (Apex, Nova), dann legen Sie einfach eine neue Verknüpfung vom Typ Aktivität an und wählen anschließend aus der Liste der Aktivitäten die Einstellungen. Hier scrollen Sie zum Eintrag App-Vorgänge und fügen diese Aktivität einem der Desktops hinzu.

In den Einstellungen sind die Rechte in vier Reiter sortiert: STANDORT, PERSÖNLICH, SMS/MMS und GERÄT. Möchten Sie zum Beispiel WhatsApp den Zugriff auf Ihren Standort entziehen, dann scrollen Sie auf dem Reiter Standort zum WhatsApp-Eintrag, tippen diesen an und schieben dann den Schieberegler einfach auf AUS. Sie finden hier dann auch gleich sämtliche weiteren Berechtigungen, die Sie WhatsApp entziehen können. In unseren Tests hat das recht gut funktioniert, ohne dass WhatsApp abgestürzt ist oder den Dienst aufgegeben hat.

Was aber deutlich interessanter ist: Sie sehen an dieser Stelle auch gleich, ob und wann die App von den eingestellten Rechten Gebrauch gemacht hat. So können Sie recht gut entscheiden, ob die Berechtigung eine Gefahr darstellt. Die Einstellung unterstützt auch das Entziehen von Rechten, die für die App unbedingt nötig sind. Sie können also der Kamera-App die Kamera-Funktion verbieten. Dann stützt die App entweder ab oder zeigt eine entsprechende Fehlermeldung an.

Der PDroid Manager

Zuerst jedoch zum PDroid Manager. Wie kann diese App ohne Root-Rechte anderen Apps Rechte entziehen? Dazu ist es wichtig zu verstehen, wie Apps ihre Rechte nutzen. Dies tun sie über genau definierte Schnittstellen (APIs), die das Android Betriebssystem bereitstellt. Die APIs müssen Sie sich als Rohrleitungen vorstellen. Eine App mit dem Recht die Kontakte zu lesen, bekommt vom Betriebssystem eine Rohrleitung zu den Kontakten bereitgestellt und saugt sie dort ab. Kappt nun eine Root-App einfach diese Leitung, dann merkt das die App und reagiert häufig mit einem Absturz.

Wird die Rohrleitung jedoch nicht gekappt, sondern lediglich zu einer anderen Stelle hin umgebogen, wo sich eine leere Kontaktliste befindet, dann ist die App zufrieden, da sie den gewünschten Zugriff auf die Kontaktliste hat und der User ebenfalls, da er keine seiner Kontakte preisgibt. Die Fähigkeit diese Rohrleitungen umzubiegen, muss dem Betriebssystem erst beigebracht werden. Das passiert über entsprechende Patches, die genau zum Betriebssystem passen. Deshalb benötigen Sie für PDroid eine Custom-ROM und den passenden Kernel. Für die offiziellen ROMs von Google, Samsung oder HTC gibt es keine solchen Patches.

PDroid braucht also keine Root-Rechte. Damit ist die App auch für den IT-Betrieb größerer Institutionen interessant, wenn sie den Mitarbeitern die private Nutzung des dienstlichen Smartphones erlauben wollen und keine kaum handhabbare Blacklist für Apps führen wollen. Mit der Sicherheitsleitlinie inkompatible Rechte lassen sich über PDroid entziehen.

Viele Möglichkeiten

PDroid blockiert den Zugang zur Identität (SIM-Karten-ID, IMEI, Telefonnummer, Gerätebezeichnung), zum Telefonbuch, zu Systemlogs, zur Telefonnummer des eingehenden Anrufers, zum GPS- oder Netzwerk-Standort, dem Kalender, SMS/MMS und vielen weiteren Rechten. PDroid hindert Apps auch daran, beim Booten automatisch zu starten, SMS/MMS zu senden oder Anrufe zu tätigen, Informationen zum WLAN oder Telefonnetz abzurufen, Töne oder Bilder aufzunehmen. Auch das bei Reklame-Apps beliebte Setzen von Browser-Bookmarks verhindert die App erfolgreich. Das Ganze konfigurieren Sie für jede App individuell.

PDroid kann einer App eine zufällige oder vordefinierte Identität oder GPS-Koordinaten vortäuschen. Letzteres ist besonders interessant, wenn Sie etwa mit Sky-Map schon immer einmal den Sternenhimmel am Nordpol oder bei Stonehenge betrachten wollten. Dazu geben Sie die entsprechenden Koordinaten (siehe Wikipedia [3]) für Sky-Map ein und starten die App. Die Konfigurationen lassen sich in Datei exportieren und damit auch leicht auf mehrere Geräte leicht verteilen. Der Export empfiehlt sich auch für Sie Zuhause, da Sie so nach dem Flashen eines neuen ROMs sehr leicht wieder zur eigenen Konfiguration zurückkehren können.

Mit großer Macht kommt aber auch große Verantwortung – mit PDroid machen Sie das Telefon sehr leicht unbrauchbar: Entziehen Sie etwa der Navi-App den Zugriff auf das GPS, der Kamera-App das Recht die Kamera anzusteuern oder blocken die SMS-App, funktioniert die Routenführung nicht mehr, es lassen sich keine Bilder schießen und auch keine SMS mehr versenden. Andererseits: Rechte mit PDroid zu entziehen und wieder zu gewähren ist mit wenigen Handgriffen erledigt – es ist nicht einmal ein Neustart nötig.

Trotz großer Funktionsvielfalt kommt PDroid aber auch seine Grenzen: Apps den Zugriff auf das Internet oder die Speicherkarte komplett zu untersagen ist nicht möglich. Der Funktionsumfang hängt zudem von der PDroid-Version ab. Die erste Version PDroids lief ab Android 2.0, konnte aber nur vergleichsweise wenige Rechte entziehen. PDroid 2.0 kennt mehr Funktionen wie etwa Apps am automatischen Starten zu hindern, braucht aber mindestens Android 4.0. OpenPDroid beherrscht die meisten Funktionen und erklärt auch die Bedeutung der einzelnen Rechte, benötigt aber mindestens Android 4.1. Insgesamt ist die Lage ein wenig unübersichtlich, achten Sie daher beim Erstellen Ihres Patches zum gewünschten Custom-ROM auf die von PDroid generierten Fehlermeldungen.

PDroid installieren

PDroid arbeitet über Patch-Pakete, die Sie selber bauen und ähnlich wie ein Custom-ROM in das System einspielen müssen. Android User rät davon ab, Patche aus fragwürdigen Quellen herunterzuladen, da der Erzeuger des Patches beliebige Einstellungen oder Komponenten des Android-Systems ändern könnte. Bauen Sie Ihren persönlichen Patch lieber selber.

Um einen Patch zu erstellen, benötigen Sie das zuerst das ZIP-Paket Ihres Wunsch-Custom-ROMs für Ihr Handy. Linux-User laden sich zudem den Autopatcher [4] herunter und entpacken ihn in einem frei wählbaren Verzeichnis. Dazu muss sichergestellt sein, dass Git auf dem System installiert ist, da der Autopatcher die zum Patchen benötigte Programme und Tools per Git aus dem Internet lädt. Unter Windows laden Sie dagegen lediglich ApG [5] in der aktuellen Version herunter.

Unter Linux legen Sie das ZIP-Archiv des zu flashenden Custom-ROMs in das Verzeichnis mit dem Autopatcher und starten den Patch mit nachfolgendem Befehl. [ROM] ersetzen Sie dabei mit dem Dateinamen des Custom-ROMs. [MODS] steht im Falle des PDroid-Managers für openpdroid und [ROMETYPE] ersetzen Sie mit einem Kürzel entsprechend des von Ihnen genutzten ROM-Typs. Bei einem CyanogenMod-ROM tragen Sie an dieser Stelle zum Beispiel cm ein.

$ ./auto_patcher [ROM] [MODS] [ROMTYPE]

Beim ersten Patch lädt der Autopatcher noch diverse Programme via Git herunter, danach folgen eine Reihe von Meldungen, die Sie im im Normalfall ignorieren können. Am Ende sollte Ihnen der Autopatcher mit einem "Congratulations, the patching was successful" melden, dass der Patch erfolgreich gebaut wurde. Zudem sehen Sie (siehe Abbildung 1) die Dateinamen zweier ZIP-Dateien (update-X-opendroid.zip und restore-X.zip, wobei "X" als Platzhalter für das ROM mit einem Zeitstempel steht). Mit dem ersten Patch spielen Sie PDroid ein, mit dem Zweiten machen Sie die Änderungen am Betriebssystem bei Bedarf wieder rückgängig.

Unter Windows müssen Sie lediglich ApG aus einem Dateimanager heraus starten. Die oben genannten Platzhalter wählen Sie in der Windows-Version des Autopachters mit der Maus aus, mit einem Klick auf Start beginnen Sie den Build-Vorgang. Zum Flashen kopieren Sie nun das Custom-ROM, die zwei gerade erzeugten ZIP-Dateien (und gegebenenfalls die Google-Apps inklusive Play Store [6]) auf den internen Speicher Ihres Handys.

Wir beim Einspielen einer neuen Firmware löschen Sie das Gerät am besten per Wipe und spielen dann Custom-ROM und die Gapps über das ClockWorkMod-Recovery ein. Als letzten Schritt im Recovery flashen Sie den Update-Patch mit PDroid aus der zuvor ausgeführten Prozedur.

Nach einem Neustart des Handys, richten Sie das System wieder ein und installieren abschließend den PDroid Manager aus dem Google Play Store. Beim ersten Start der App sehen Sie dann eine vollständige Liste aller auf dem Smartphone befindlicher Apps, bei jeder einzelnen App können Sie nun die Rechte nach Ihren Wünschen managen.

Installieren Sie nun eine neue App, erscheint in der oberen Zeile ein kleines Icon über das Sie direkt PDroid starten. Dort erteilen oder entziehen Sie der App dann gezielt Ihre Android-Rechte. Mit einem Tipp auf das Diskettensymbol schließen Sie die Konfiguration ab. Wer möchte, setzt bei den Punkten Zugriff protokollieren oder Bei Zugriff benachrichtigen einen Haken. PDroid informiert Sie daraufhin, dass die App auf gewisse Rechte und Dienste zugreift – oder daran gehindert wurde. Sollten Sie die Aufgabe der angegebenen Rechte nicht verstehen, reicht ein Tipp auf den Namen und eine kurze Erklärung zu öffnen.

Es hat sich als eine eine gute Strategie erwiesen, einer App in einem ersten Anlauf alle Rechte zu entziehen und dann die tatsächlich benötigten Rechte nach und nach wieder freizuschalten. So müssen Sie zwar viel probieren, aber da die Rechteverwaltung mit PDroid sehr einfach und ohne Neustart funktioniert, besteht so die Möglichkeit ein Maximum an Privatsphäre und Sicherheit zu erzielen.

Fazit

Android Apps Rechte zu entziehen ist generell nicht einfach, da Apps durch harten Rechteentzug mit Abstürzen reagieren. Für Anwender aber, die ohnehin schon ein Custom-ROM nutzen, ist PDroid eine gute Möglichkeit um händisch in das Rechtemanagement Androids eingreife zu können. Wenn es gelingt, einen entsprechenden Patch für Ihr Lieblings-ROM zu erstellen, dann ist es mit der PDroid Manager sehr leicht – auch ohne Root-Rechte – die Zugriffsrechte von Apps zu kontrollieren.

Wer nicht gleich auf einen gepachten Kernel und ein Custom-ROM umsteigen möchte, aber die Rechte all zu neugieriger Android-Apps trotzdem einschränken will, kann dies alternativ auch mit XPrivacy aus dem XPosed Framework tun [7][8]. Dafür braucht es lediglich Root-Rechte auf Ihrem Handy oder Tablet, ein Custom-ROM ist nicht zwingend notwendig.