Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
3 Min Lesezeit 17 mal geteilt 58 Kommentare

Berechtigungs-Wahnsinn: Wenn Dich die App verschaukeln will

Manche Apps brauchen gar keine, andere wollen am liebsten Eure Unterwäsche fotografieren: Berechtigungen sind ein heikles Thema, das man vor der Installation penibel beachten sollte.

Ich würde bestimmt auch super ins AndroidPIT-Team passen!
Glaubst du das auch?
50
50
10739 Teilnehmer
play store eric angewidert
© AndroidPIT

Der Play Store ist sehr liberal und offen gestaltet. App-Programmierer aus aller Welt versuchen, dort ihr Geld zu verdienen. In jüngster Zeit aber kommen immer mehr Applikationen auf den Markt, die trotz guter Durchschnittsbewertungen und scheinbar guten Kritiken für sehr viel Unmut in der Community sorgen. Das jüngste Beispiel ist das Subway Train Game, das den User an allen möglichen Stellen über den Tisch zieht:

  • Die Bilder suggerieren ein Running-Adventure, es handelt sich aber um einen Puzzler.
  • Die App verlangt Standort-Infos und will auf Dateien zugreifen, obwohl das nichts mit dem Gameplay zu tun hat.
  • Die App will Euch abhören und filmen können.

Was soll denn der Unsinn? Und warum geben so viele Leute diesem Spiel eine positive Bewertung? Nun, die erste Frage lässt sich noch leichter beantworten: Es gibt böse Menschen. Die zweite ist schon schwieriger stichfest zu beantworten. Wahrscheinlich wird eine Horde von automatisierten Fake-Accounts darauf angesetzt, über positive Bewertungen die Gesamtnote immer über einem erträglichen Niveau zu halten. Selbst die Sortierung nach Nützlichkeit der Erfahrungsberichte ist nur eingeschränkt hilfreich, da die Roboter hier vermutlich ebenfalls ihre Daumen austeilen.

Was tun?

Die Liste von möglichen App-Berechtigungen haben wir für Euch neulich erst an dieser Stelle überarbeitet. Anhand der dortigen Erklärungen und des Typs der App, die Ihr ins Auge gefasst habt, könnt Ihr abwägen, ob die erforderlichen Berechtigungen von der Anwendung sinnvoll eingesetzt werden. Eine Wecker-App muss Euren Standort nicht kennen und eine Karten-App muss keine SMS lesen können. Wenn eine App das doch verlangt, dann verstößt sie zwar noch nicht gegen die Google Play-Programmrichtlinien für Entwickler, dennoch solltet Ihr sie melden, da der Verdacht auf einen Betrugsversuch sehr nahe liegt. In dem besagten Regelwerk heißt es unter anderem “Produkte dürfen keine falschen oder irreführenden Informationen enthalten. Dies gilt für sämtliche Inhalte, Titel, Symbole, Beschreibungen und Screenshots.” Vor allem die Bilder bei der Beschreibung von Subway Train Game geben eine falsche Vorstellung von dem Spiel und haben nur entfernt etwas mit dem Puzzler zu tun.

app melden k
Scheut nicht davor zurück, eine bedenkliche App zu melden! / © AndroidPIT

Hoffen wir auf Sorgen wir für Besserung!

Damit die Qualität der im Play Store angebotenen Apps steigt, setzt Google intensiv auf die aktive Mitwirkung der Nutzergemeinde. Ausfälle wie Subway Train Game, die in etlichen Ländern auf den ersten Platz der Spiele-Neuerscheindungen gelangen, beweisen, dass das einfache Bewertungssystem nicht mehr ausreicht. Die dreisten Betrüger scheuen nicht vor Verletzungen der Richtlinien wie “Entwickler dürfen darüber hinaus nicht versuchen, die Platzierung eines Produkts im Store zu ändern oder Produktbewertungen oder Erfahrungsberichte auf unzulässige Weise zu manipulieren” zurück, um sich an den Anwendern zu bereichern.

Wer des Englischen mächtig ist, der kann den Hersteller der App kontaktieren und zur Rede stellen. Des Weiteren kann man sich in unserem Foren-Thread "Faule App-fel" mit anderen Usern austauschen, wenn man sich über eine App unsicher ist, ob mit ihr alles mit rechten Dingen zugeht. Zusätzlich gibt es Online-Communitys wie Reddit, die mit /r/BadApps einen Subreddit erstellt haben, der sich eigens dieser Problematik widmet.

Wenn Ihr sicher seid, dass die App ein Scam ist, und Ihr einen besseren Play Store haben wollt, dann müsst Ihr eine Minute investieren und

  • im Play Store in Android am Fuße der App-Beschreibung auf “Als unangemessen melden” tippen,
  • einen entsprechenden Grund auswählen
  • und noch einige Worte wie “Nicht wie beschrieben” oder “irreführend” oder “inakzeptable Berechtigungen erforderlich” angeben,

damit die Play-Store-Verantwortlichen wirklich einschreiten. Viel Erfolg!

17 mal geteilt

Top-Kommentare der Community

  • Martin K. 18.06.2014

    Darf ich mal ganz frech fragen wofür die Android Pit App Lokalisierung in den Berechtigungen braucht?

  • Matthias N. 18.06.2014

    Ich bilde mir ein Das war für die 'ortsbezogenen App Empfehlungen'

  •   25
    Michael Schneider 18.06.2014

    Also ich finde die Änderungen von Google am PlayStore richtig gemein. Viele neue Rechte sieht man nur noch in den Details. Be Evil scheint das neue Motto von Google zu sein...

  • Eric T 18.06.2014

    man kann in den Einstellungen "ortsbasierte appempfehlungen" anklicken, wahrscheinlich deswegen

  • Izzy
    • Blogger
    18.06.2014

    So richtig das alles klingt, spätestens mit der letzten "Umgestaltung" der Playstore-App lässt es sich für den "einfachen Anwender" gar nicht mehr umsetzen. An einem Beispiel erklärt, wie "Böser Bube" seine "Böse App" einbringen könnte:

    Heute eingestellt, benötigt sie die Berechtigung "SMS empfangen", für den Bestätigungs-Code und damit verbundene Freischaltung. Anzeige in der Playstore-App: "Will eine der Berechtigungen aus der Gruppe..." – welche genau, steht da nicht. Die vollständige Liste der Permissions findet Norman Normaluser kaum (die meisten tippen ja ohnehin gleich auf den "Haben will!" Button, ohne überhaupt etwas zu lesen). Der eine oder andere findet sie doch, schaut sie an, und sie sieht OK aus.

    Bei den nächsten paar Updates ändert Bube erst einmal nichts an den Permissions. Die User-Basis wächst, die Bewertungen schauen gut aus. Ein paar Monate später kommt das "böse Update", das jetzt auch (Premium-) SMS senden will. Die Play-App sagt: "verlangt keine besonderen zusätzlichen Berechtigungen" (wie auch bei den vorigen Updates), da "SMS senden" ja in der gleichen Gruppe wie "SMS empfangen" ist (habt Ihr "automatische Updates" aktiviert, seht Ihr nicht einmal das). Nach dem Update sendet die App fleißig Premium-SMS, und bevor der Monat um ist, ist Bube abgetaucht. Es bleiben abgezockte User. (Analoges gilt übrigens auch für den allgegenwärtigen "Telefonstatus", dem man "Anrufe tätigen", "Anrufe umleiten", etc. nachreichen könnte – oder dem harmlosen "Netzwerkstatus", dem sich etwa "Netzwerkverbindungen trennen oder herstellen" (am Besten im Ausland bei Roaming) nachschieben ließe).

    Wie hätte das vorher bemerkt werden können? Nur, wenn man vor dem Einspielen eines jeden Updates penibel die Permissions der installierten Version mit denen hinter dem etwas versteckten Link auf der App-Seite im Playstore abgeglichen hätte. Das soll einem User zuzumuten sein? Wohl eher nicht.

    Dem Esel ist's zu wohl geworden. Der Playstore ist nun einmal der Ort, wo die meisten (fast alle) Apps zu finden sind – und es gibt einfach keine Alternative, die an diesen Umfang auch nur annähernd herankommt. Also müssen die Nutzer wohl oder übel alles akzeptieren, was sich dort an Änderungen einfindet.

    Meine Übersichten ( http://android.izzysoft.de/applists.php ) weisen daher nun auch App-Links zu F-Droid aus. Dort findet Ihr ausschließlich gratis Apps (allerdings nur ca. 1.200, dafür aber auch weniger "Müll") – OpenSource, und von F-Droid selbst aus diesen Quellen erstellt. Ich hoffe, dass möglichst viele Entwickler von OpenSource Apps diese dort in das offizielle Repository einbringen, damit die Zahl steigt.

    Zusätzlich zu dem guten Permission-Artikel, den Eric weiter oben verlinkt hat ( http://www.androidpit.de/app-berechtigungen-android-erklaerung ), findet Ihr eine weitere Auflistung mit zusätzlichen Details auch bei den genannten Übersichten: http://android.izzysoft.de/applists.php?topic=perms

58 Kommentare

Neuen Kommentar schreiben:

  • Was soll es mir bringen,wenn ich Haus eigene Apps im PlayStore an den Pranger stellen will? Sämtliche Apps haben Rechte die keiner braucht.Es gibt bei Android eine Option mit dem Namen- meine SD Karte schützen- das ist die größte Verarsche aller Zeiten,alle Apps haben sich mittlerweile so entwickelt,das sie von Hause her diese Berechtigung haben


  •   32

    Das Problem ist Google. Sie haben die Macht darüber was wie geschieht.
    Es geht um Marktanteile bzw Verbreitungsgrad weltweit. Jeder Schüler und dritte Welt Handy user soll durch kostenlose Apps gelockt werden.

    Und so sind wir wieder beim Thema Qualität und Android.

    Niemand der Player (Politik, dev, Google, User) will etwas ändern. Es geht um Geld dass fließt, obwohl kein Geld für die jeweilige Apps bezahlt wurde.
    Die Devs werden weiter auf Geld und nicht Moral-Anstand-Qualität setzen. Und Google spielt mit.
    Leider die Wahrheit.

    Wo ist Aufklärung für junge Leute die Handys herangeführt werden, oder erwachsene mit erst Smartie.

    Es s sollte aufgeklärt werden wie bei hiv oder sexuelle Aufklärung. Aber das ist schlecht fürs Geschäfft.

    Warum werde ich zu Tode genervt von AndroidPit endlich mal die APP zu installieren ?
    Haltet mich nicht für blöde


  • Der Grund warum fast jede kostenlose App den Standort wissen will ist ganz einfach: Standortbezogene Werbung.

    Man muss sich als Nutzer einfach entscheiden ob man eine App mit Geld oder mit seinen privaten Daten bezahlt. Wer Geiz geil findet muss eben mit den Konsequenzen leben.


    • Izzy
      • Blogger
      20.06.2014 Link zum Kommentar

      Generell stimme ich Dir hier zu. Der Haken in der Praxis ist nur, dass es nicht immer eine werbefreie (kostenpflichtige) Variante gibt: Viele Apps sind nur in der "Freemium" Version verfügbar.


      • Was wiederum darauf zurückzuführen ist, dass kaum jemand bereit ist etwas für eine App zu bezahlen und der Entwickler deshalb gar keine kostenpflichtige Version anbietet.


      • Izzy
        • Blogger
        20.06.2014 Link zum Kommentar

        Das kann ich als nicht-Entwickler nicht wirklich beurteilen. Aber die "Kostenlos-Mentalität" scheint in der Tat sehr verbreitet. Wenn Leute sich schon beschweren, dass eine 1-Euro-App "zu teuer" ist, muss man zumindest bei diesen Leuten Deinen Verdacht bestätigen.


  • Bitte wie? Eltern, die ihre Kinder heimlich orten wollen, gehören erzogen! Und Kinder, die bedenkenlos Apps mit Spionagerechten runterladen, auch! Denen hilft man doch nicht noch, ihr verpeiltes Ansinnen auszuleben. Aber darum geht es doch hier m.E. auch gar nicht, sondern um Apps die Rechte anfordern, welche ganz offensichtlich nichts mit Komfort oder Funktionsumfang zu tun haben. Wenn z.B. die meisten Wetter-Apps die Telefonidentität lesen und Konten identifizieren, dann fällt mir dazu Wiedererkennung zur statistischen Auswertung ein und sammeln von Anmeldeverhalten bei verschiedenen Diensten, informationen über Teilnahme an sozialen Netzwerken usw. usf. Für Wetterdaten und -filme sind solche Daten völlig unnötig, behaupte ich mal. Es gibt ja Apps, die es vor machen und es sind auch nicht die unbeliebtesten. Aus den 'unnötigen' Informationen lässt sich für Datenspione ja schon einiges schließen. Und wenn dann der Programmautor oder sein Freund (oder meinetwegen auch die Webebannerfirma) noch ein paar weitere Apps anbietet, lässt sich schon schön was über den Nutzer zusammen sammeln. Bestimmt halten viele das sogar für legal oder für eine dem Autor zustehende Gegenleistung. Ist es aber sicher nicht, insbesondere wenn es ohne Einverständnis des Nuzers FÜR DEN GENAUEN ZWECK erfolgt. Es ist es ein schwerer Vertrauensmissbrauch und ggf. auch eine Straftat. Besonders fragwürdig sind auch Apps, die mit fadenscheinig angeflickten "Komfortfunktionen" auf private Kontaktdaten zugreifen wollen: Ein Taschenrechner oder eine Taschenlampe brauchen doch nun wirklich keinen Kontakte-Zugriff. Es wird doch wohl keiner ernsthaft behaupten wollen, das soetwas aus den Bedürfnissen der Benutzer erwächst und der Benutzer die App links liegen lassen würde, wenn er sein Rechenergebnis nicht per SMS verteilen kann - nein, also bitte. Der Nutzer erteilt Rechte gern, wenn er ehrlich (!) und transparent informiert wird (am besten open source, wie oben schon erwähnt wurde). In Hinterhalte gelockt und ausspioniert werden will definitiv KEINER!
    Also bitte nicht jetzt die Schuld auf die Anwender schieben...


    • Izzy
      • Blogger
      20.06.2014 Link zum Kommentar

      Siehe dazu auch http://www.heise.de/-2235548 – so etwas ohne Einwilligung des Anwenders zu machen, könnte durchaus teuer werden. Wenn da mal jemand durchgreift. Und was die teilweise abartigen "Komfort-Funktionen" betrifft: Haben die Betroffenen noch nichts vom "Share-Menü" gehört? "Teilen mit"→"SMS", und schon kann ich das Rechenergebnis auch per SMS teilen, um Dein Beispiel aufzugreifen. Ähnliches für die Anruf-Funktion: Hier kann auch die Rufnummer an den Dialer weitergegeben werden. Ist natürlich dem Anwender nicht zuzumuten, da er dann doch extra den Anruf bestätigen müsste </Sarkasmus>. Die Liste ließe sich noch fortsetzen, aber das lass ich mal besser :)


  • Erste Frage: Es gibt böse Menschen. Zweite Frage v Es gibt dumme Menschen!
    Wecker-App braucht keinen Standort? Sleep as Android hat die Berechtigung.


    • Izzy
      • Blogger
      19.06.2014 Link zum Kommentar

      Permissions wie Internet, Standort, und Telefonstatus kommen häufig über eingebundene Werbemodule in eine App. Es gibt aggressive Module, die gar noch mehr verlangen. Leider zu oft sind sich die App-Entwickler dessen nicht bewusst, und reagieren teilweise recht erschrocken; dann sind sie i.d.R. auch bereit, auf ein weniger aggressives Modul (eines anderen Werbe-Netzes) umzustellen. Also einfach einmal die Entwickler informieren – denn wenn sich keiner beschwert, gibt es auch wenig Anlass zu Änderungen daran.


  • Ich benutze "AppGuard". Damit lassen sich die Berechtigungen im einzelnen ausschalten.


    • Ich halte (SRT-) Appguard aus 2 Gründen problematisch:
      1. Packt es einen Wrapper um die Applikation, damit es die Rechte entziehen kann. Das ist höchst problematisch bezüglich Urheberrecht, Lizenzen usw.
      2. Es entzieht die Rechte (ok, machen andere auch). Das kann dazu führen, dass die App dann nicht mehr funktioniert.
      Da gefällt mir der Ansatz von xprivacy, zufällig generierte Daten oder eben leere Werte zu liefern, wesentlich besser.


      • Izzy
        • Blogger
        19.06.2014 Link zum Kommentar

        Punkt 1 hat noch einen weiteren Haken: Integriert man ein Modul, wird es Teil der App – und hat somit auch Zugriff auf alles, worauf diese App zugreifen kann. Unter Umständen fängt man sich damit also einen weiteren "großen Schnüffler" ein, der auf alles Zugriff hat.

        Klar, das gilt in gleichem Maße für alle "root Apps". Die Frage ist daher, wie vertrauenswürdig die jeweiligen "Macher" sind. Sofern die jeweilige App Open Source (und schon eine gute Weile verfügbar) ist, hätte ich damit weniger Bedenken – da eventuelle "Hintertüren" sich aufspüren ließen. Bei "Closed Source" ist dies so leider nicht möglich, hier ist das Vertrauen gegenüber dem "Macher" das Einzige, worauf man bauen kann (sofern es vorhanden ist).


  • Hallo, ich bin neu hier im Blog.
    Ich hatte mich kürzlich für die App "Koordinaten Eingeben" interessiert. In den "Details" fand ich u.a. die Berechtigungen "Vollständiger Internetzugriff" und "Netzwerkstatus". Beim anstarten des Downloads sind beide aber nicht aufgeführt! (hab dann abgebrochen). Stattdessen hier "Wlan", welches dann wiederum in den Details nicht erscheint. Ist das jetzt etwa die neue Transparenz von Google's Playstore? Oder hat der Autor geschlafen? Und ich dachte bisher, beim Download würden ALLE Berechtigungen unumgehbar abgefragt - liege ich falsch? Können Apps die Rechte-Abfrage unterdrücken und dann trotzdem meine Kontakte ausspionieren?
    Vielleicht würde es ja helfen, wenn ab sofort Jeder jede App bei Google meldet, die Google mit unvollständigen Rechten im Download anzeigt. Das beschert Google dann viel Arbeit und vielleicht überlegen sie sich's nochmal...


    • Izzy
      • Blogger
      19.06.2014 Link zum Kommentar

      Google erachtet die Berechtigung "vollständiger Internetzugriff" für "normal" und "harmlos", daher wird sie (seit den neuesten Änderungen) gar nicht mehr bei der Installation angezeigt. "ALLE" Berechtigungen wurden auch zuvor nur angezeigt, wenn man die entsprechende Sektion an Ende der Liste erweiterte.

      Vielleicht würde es ja helfen, wenn tonnenweise User solche Apps bei Google melden mit der Frage, ob sich selbige "Berechtigungen erschleichen" (da sie ja nicht angezeigt werden). Google würde dann mit Sicherheit lediglich auf die entsprechende "Hilfe-Seite" verweisen – aber eventuell auch die derzeitige Praxis nochmals überdenken (letzteres allerdings nur, wenn es genügend viele User machen). Ob ein Hinweis, dass, wenn das "normal" sein soll, man in Zukunft Google Play fernbleiben und auf einen anderen Store ausweichen würde, da "Druck aufbaut", ist eine andere Frage: Wie ich weiter oben bereits schrieb, gibt es einfach keine "Alternative auf Augenhöhe". Auch nicht annähernd.


  • Unter CM kann man in den Einstellungen unter Datenschutz für jede Berechtigung einer App einstellen, ob sie zugelassen ist, ob jedes mal gefragt werden soll oder ob sie blockiert werden soll. Mit root Rechten und einer App funktioniert dies auch mit jeder anderen Rom.

    Meiner Meinung nach sollte das zu jeder zukünftigen Version von Android hinzugefügt werden!


  •   32

    Ich finde es Frecheit , dass niemand von offizieller Seite da was macht.
    Europa sollte nicht USA sein.

    Wenn mir an den Berechtigungen was nicht passt dann gibts halt keine APP.
    Dieses Thema sollte viel öffentlicher gemacht werden. Unsere smarties sind eine totale rund um die Uhr Überwachung !
    Das vergessen wir gerne weil unser Phone Spass macht.

    Whats APP für 15 mrd Dollar ....
    Haben die 15 mrd user ?

    Google duldet es. Es geht ums Geschäfft. Smartphones sind nicht euer Freund. Im Hintergrund laufen ganz abartige Dinge die keiner von uns will. Deshalb mit bedacht handeln.

    Wem würdet ihr jeden Tag eure Kontakte, Bewegungsprofil, Surfadressen, Telefonate usw geben ?
    Eurer Mutter, Bürgermeister, der SA (1933), oder eurer Frau ??


  • Izzy
    • Blogger
    19.06.2014 Link zum Kommentar

    Das Problem mit den "überflüssigen Rechten" liegt allerdings auch nicht selten daran, dass die Entwickler es "nicht besser wissen". Warum nicht? Von ein paar "mir doch egal" Kandidaten einmal abgesehen: Es gibt einfach keine gute Dokumentation dazu. Habe ich bei der Recherche zu meiner Permission-Übersicht gemerkt. Und das was da ist, ist dann auch oftmals noch falsch. Da stehen dann Dinge wie "diese Funktion braucht die Permission READ_INTERNAL_STORAGE". Also lässt der Entwickler seine App diese verlangen. Der Haken: Diese Permission gibt es gar nicht (es gibt aber READ_EXTERNAL_STORAGE und READ_MEDIA_STORAGE). Oder man liest in der Code-Dokumentation einer App "It is not quite clear which permission this needs, so we request them all". Alles klar?

    Das zweite Problem sind dann die Werbemodule, die auch (je nach Werbenetz) so einiges an Rechten haben wollen. Und an dieser Stelle stecken IMHO die wahren Schnüffler. Da lohnt sich ein Blick mit Apps wie "AppBrain Ad Detector". App mit Leadbolt? Nope, thanks, keep it.

    Also im Zweifel Entwickler anfragen. Der sollte in der App-Beschreibung (oder verlinkt auf seiner Website) ganz klar Stellung beziehen, wozu seine App welche Permission braucht. Und auch, wo er es nicht weiß (und warum sie dann da ist). Ein paar Mal war das Resultat meiner Anfrage bereits, dass die nächste Version "bereinigter" daherkam :)


  • Das Offene an Android hat wirklich gigantische Vorteile.
    Google verschärft die Playstore Bedingungen leider nicht und ist mit den eigenen Apps auch nicht gerade dezent b.z.w vorbildlich.

    Es beschäftigen sich gerade wenigstens etwas mehr Menschen mit dem Thema und immer mehr Mittel dagegen stehen zur verfügung.

    Druck ausüben und Apps mit Maßlosen rechten, aus diesem Grund abwerten.
    Umso mehr Leute so vor gehen und bewerten desto eher überlegen sich die Entwickler was ihnen lieber ist, Daten oder wenig Sterne. So einfach wäre es.


  • Super Beispiel: die aktuelle Version der androidpit app die nun auch den Standort wissen möchte. Spitze.

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!