Start Aktuell Neue Play Store Berechtigungsgruppen schaffen Hintertür für böswillige Apps

Neue Play Store Berechtigungsgruppen schaffen Hintertür für böswillige Apps

2432
0

Optisch schöner als früher ist der Dialog für die Berechtigungen zur Installation einer App in jedem Fall. Aber leider hat Google mit der Neuerung auch ein paar potentielle Sicherheitsprobleme eingebaut, denen man sich durchaus bewusst sein sollte. Android User klärt auf und zeigt, wie man sich weiterhin am besten schützen kann.

Die wichtigsten Infos vorweg: Mit dem Update des Play Stores gibt es einen neuen, optisch aufgepeppten Dialog für die Berechtigungen. Was beim Update vor lauter Optik unterging, sind die neuen Berechtigunsgruppen, die Google geschaffen hat. Verlangt eine App Zugriff auf eine Berechtigung innerhalb einer Gruppe, kann sie später beliebige neue Berechtigungen innerhalb dieser Gruppe hinzufügen, ohne dass der Nutzer dazu — wie bisher — beim Update einen entsprechenden Hinweis erhalten würde. Zudem hat Google die Berechtigungen für den Internetzugriff komplett aus dem Dialog entfernt, da "Apps normalerweise auf das Internet zugreifen".

Aufgefallen sind die Änderungen dem Nutzer Iamtubeman, der über die Neuerungen des Google Play Store auf Reddit ausführlich berichtet hat. Inzwischen hat auch xda-developers.com das Thema in einem sehr kritischen Beitrag aufgeriffen, der zudem konkrete Empfehlungen bereithält, was Google bei einem zukünftigen Update wieder rückgängig machen bzw. ändern sollte. 

Wo liegt das Problem?

Neu gibt es bei den Android-Apps feste Gruppen für Berechtigungen. Diese waren schon immer gruppiert, aber Google hat nun 13 neue Kategorien eingeführt. Innerhalb einer Kategorie gilt wie bisher: alles oder nichts. Wer also zum Beispiel einer App den Zugriff auf "Identität" erlaubt, erteilt ihr damit den Zugriff, um Konten auf dem Gerät zu suchen, neue Konten anzulegen, die eigenen Kontaktinformationen auszulesen und die eigene Kontaktkarte zu ändern. Beim Standortzugriff wiederum gibt es den ungefähren Standort (Wifi/3G), den genauen Standort (GPS und Netzwerk), zusätzliche Standortanbieterbefehle und den GPS-Zugriff (nur GPS). Musste früher eine App zum Beispiel beim Standort bei einem Update anzeigen, dass sie nun anstelle des ungefähren Standorts auch den genauen Standort abfragen möchte, ist dies von nun an nicht mehr notwendig. Hat der Nutzer eine Kategorie bei der Installation einmal abgewinkt, benötigt die App keine weiteren Anfragen mehr. Das ist vor allem dann etwas unglücklich, wenn durch ein Update und durch eine geschickte Kombination mehrerer, scheinbar harmloser Berechtigungen neue Möglichkeiten entstehen. Wie Iamtubeman auf Reddit korrekt schreibt, ist es eine App, die zunächst nur nach der Berechtigung READ_EXTERNAL_STORAGE verlangt durch ein "stilles" Update möglich auch die Berechtigung für MOUNT_FORMAT_FILESYSTEMS zu erhalten und somit die externe MicroSD-Karte komplett zu formatieren. Der Nutzer bekommt dies beim Update nicht angezeigt.

In der neuen Play Store App erlaubt man nicht wie früher spezifische Berechtigungen sondern bewilligt komplette Gruppen.
In der neuen Play Store App erlaubt man nicht wie früher spezifische Berechtigungen sondern bewilligt komplette Gruppen.

Wie kann man sich schützen?

Google hält in der Online-Dokumentation ein paar recht gute Hinweise bereit. Die detaillierten Berechtigungen, wie sie der Play Store vor dem Update auf Version 4.8.20 angezeigt hat, sind weiterhin verfügbar. Allerdings muss man dazu in der Google Play App nicht auf Installieren klicken, sondern gaaaanz weit nach unten scrollen und dort unter Zusätzliche Informationen bei den Berechtigungen auf Details ansehen klicken. Hier findet man bei Apps, die nur die Internet-Berechtigung beantragen dann den Hinweis, dass es eine Kategorie "Sonstiges" gibt. Wenn man eine App bereits installiert hat, dann sind die kompletten Berechtigungen inklusive "Sonstiges" auch weiter hin in den Einstellungen unter Apps (Anwendungsmanager bei Samsung) | Berechtigungen sichtbar.  Wer unter keinen Umständen ein Update erlauben möchte, das zusätzliche Berechtigungen mit sich bringt, sollte ab sofort über die Einstellungen in der Google Play App die automatischen Updates deaktivieren (Sidebar | Einstellungen | Automatische App-Updates). Anschließend ist man gezwungen, vor dem Update die komplette Liste der Berechtigungen durchzugehen, um die Details zu erfahren.

Wer sehen möchte, welche Berechtigungen die App im Detail erhalten möchte, muss nach ganz unten scrollen und hier auf Details tippen.
Wer sehen möchte, welche Berechtigungen die App im Detail erhalten möchte, muss nach ganz unten scrollen und hier auf Details tippen.

Die Gruppe "Sonstiges" wird bei einer normalen Installation ohne Blick auf die Details nicht angezeigt.
Die Gruppe "Sonstiges" wird bei einer normalen Installation ohne Blick auf die Details nicht angezeigt.

Android User meint..

Die Aufregung von Iamtubeman halten wir für etwas übertrieben, da Google die komplette Liste der Berechtigungen ja nicht vorenthält sondern schlicht an eine andere Stelle in der Play Store App verschoben hat. Wer will, kann sich also bei jedem Update die komplette Liste anschauen (oder anders formuliert: von nun an ist man als Nutzer quasi gezwungen, sich immer die komplette Liste anzuschauen).  Klar ist es nicht schön, dass Apps via Update quasi ungesehen neue Berechtigungen einführen können, aber wer eine App regelmäßig nutzt und mit der Qualität der App zufrieden ist, lässt üblicherweise auch dann keine Updates aus, wenn damit neue Berechtigungen einher gehen (Stichwort: SMS-Zugriff von Facebook…). Zudem gilt das Verstecken der neuen Berechtigungen nur, wenn sich diese innerhalb einer Gruppe befinden. Eine App die weder auf die Kontakte noch auf den Kalender zugreifen durfte, darf dies auch aktuell bei einem Update nicht einfach so tun, sondern muss einen entsprechenden Hinweis anzeigen. Das eigentliche Problem liegt darin, dass Google kritische Rechte wie Kontakte und Kalender oder externen Speicher lesen und externen Speicher formatieren in eine Gruppe schmeißt. Da eine Koppelung dieser beiden Gruppen aber zum Beispiel bei den Kontakten für jede gute Kalender-App sinnvoll ist, ist auch dieser Schritt logisch. Wer eine App den Zugriff auf den Kalender und die Kontakte nur ungern erlaubt, sollte die App nicht installieren, egal ob Kalender-App oder Adressbuch-App…

Unabhängig davon empfiehlt Android User jedem Nutzer, sich mit den neuen Berechtigungsgruppen von Android-Apps vertraut zu machen! Die komplette Liste der neuen 13 Gruppen findet sich auf den Google-Support-Seiten. Und nicht vergessen: eine Berechtigungsgruppe abgenickt, bedeutet de facto alle Berechtigungen dieser Gruppe durchgewinkt zu haben!

Quelle: Reddit, via XDA-Developers.com