Schwächen im Berechtigungsmodell machen es Facebook und Co. leichter – Viele aktuelle Privacy-Fortschritte, viele Baustellen

Über viele Jahre hinweg habe Facebook im Geheimen die Android-Smartphones seiner Nutzer ausspioniert – so oder so ähnliche tönte es unlängst aus zahlreichen Schlagzeilen. Und auch wenn sich zumindest die Schärfe dieses Vorwurfs bei näherer Betrachtung nicht aufrechterhalten lässt, so zeigt der Vorfall doch eines sehr genau: Wie schlecht es generell um den Schutz der Privatsphäre von Smartphone-Nutzern bestellt ist. Das gilt zwar nicht nur für Android, aufgrund gewisser Spezifika der Google-Welt betrifft es diese aber doch stärker als Apples iOS. Warum dem so ist, und was Google unternehmen könnte, um diesen Umstand zu ändern, soll im Folgenden näher beleuchtet werden.

Facebook-Zugriff

Nehmen wir dazu zunächst den aktuellen Vorfall zur Hand: Facebook hat sich hier kurzerhand Zugriff auf die SMS- und Anruf-Logs verschafft, und diese auf seine Server hochgeladen. Dass dies überhaupt möglich ist, liegt zunächst an einer Eigenheit von Android, die genaugenommen mit dessen größerer Offenheit im Vergleich zu iOS zu tun hat. So erlaubt Google im Gegensatz zu Apple die Entwicklung eigener Dialer – also unabhängiger Telefonie-Apps. Das bedeutet aber natürlich auch, dass Android dafür Zugriff auf gewisse Funktionalitäten anbieten muss, die Apple seinen Entwicklern versagt. Dazu gehört neben dem Initiieren von Anrufen eben auch der Zugriff auf Sprachnachrichten oder Anruf-Logs.

Mit all dem geht die sogenannte "Phone"-Berechtigung einher, der die Nutzer in aktuellen Android-Versionen explizit bei der ersten Nutzung der App zustimmen müssen. Facebook hat die Datensammlung im betreffenden Fall also keineswegs im Geheimen vorgenommen, die User haben (zumindest in den meisten Fällen) ihre Erlaubnis dafür gegeben – ob sie sich noch daran erinnern können oder nicht. Und das übrigens nicht mal sonderlich verschleiert, wurde doch dabei von Facebook sogar auf den Zugriff auf die Call Logs hingewiesen, etwas das so konkret gar nicht notwendig gewesen wäre.

Warum braucht Facebook Telefon-Zugriff?

Und doch zeigt das Ganze Handlungsbedarf für Android-Hersteller Google. Stellt sich doch die Frage, wieso überhaupt irgendwelche beliebigen Apps Zugriff auf die Phone-Berechtigung beantragen dürfen. Angesichts der Sensibilität der dahinter verborgenen Daten sollte diese künftig auf explizit für Telefonie entwickelte Apps beschränkt werden. Dass dem derzeit noch nicht so ist, hat – wie so oft unter Android – historische Gründe. In der Vergangenheit haben viele Apps die Phone-Berechtigung auch für andere Dinge verwendet, etwa um eine eindeutige Identifizierung einzelner Geräte für Kauf-Apps zu ermöglichen. Davon rät Google zwar schon länger ab – und bietet passende Alternativen an – trotzdem wählen noch immer viele Apps diesen Weg. Der aktuelle Vorfall könnte nun zum Aufhänger gewählt werden, damit Google die eigenen Regeln in dieser Hinsicht verschärft.

Falsches Vertrauen in das Internet

Doch das konkrete Beispiel zeigt auch noch einen zweiten Problembereich, und diesen teilt sich Android dann wieder mit iOS: Beide Betriebssysteme gewähren automatisch allen Apps Zugriff auf das Internet – und erlauben es auch nicht so ohne weiteres diese Berechtigung im nachhinein wieder zu entziehen. Die Argumentation für diese Entscheidung klingt dabei zunächst durchaus nachvollziehbar: Ein Smartphone ist ganz und gar auf Internetnutzung ausgerichtet, insofern wäre es sinnlos hier die Nutzer beim Start jeder Apps mit einer Berechtigungsabfrage für den Zugriff auf das Netz zu belästigen. Zumal Studien zeigen, dass zu viele solcher Abfragen dazu führen, dass die Nutzer einfach nicht mehr lesen, was sie da allem zustimmen – und somit keine wirklich bewusste Entscheidung mehr treffen.

screenshot: andreas proschofsky / der standard Nur weil Apps Berechtigungen verlangen, heißt das noch lange nicht, dass man sie auch erteilen sollte. Wenn kein wirklich nachvollziehbarer Grund erkennbar ist, empfiehlt sich generell solche Anfragen abzulehnen.

Das mag durchaus richtig sein, erklärt aber nicht, wieso man nicht zumindest die nachträgliche Deaktivierung anbietet, wie sie etwa bereits einige Community-Android-Varianten erlauben. Vor allem aber wird dabei übersehen, dass die Kombination mit dem Internetzugriff die Datenschutzproblematik bei einigen Smartphone-Funktionalitäten erheblich verschärft. Es ist eben ein riesiger Unterschied, ob eine App für ihren Betrieb den Zugriff auf das eigene Adressbuch braucht oder ob diese Daten dann auch gleich auf einen Server des Betreibers hochgeladen und im schlimmsten Fall auch noch für alle möglichen anderen Dienste analysiert oder gar weiterverkauft werden. Klar: Zum Teil ist hier auch die Politik gefordert, die hier schärfere Datenschutzregeln schaffen muss. Gleichzeitig sollten mobile Betriebssystem aber noch stärker davor warnen, wenn sensible Daten auch ins Netz hochgeladen werden – und die Entwickler dazu zwingen, darüber aufzuklären, was damit passiert. Und zwar nicht irgendwo versteckt in den Untiefen einer Nutzervereinbarung sondern in einer verständlichen Abfrage vor dem ersten Upload.

Meine Daten, deine Daten?

Ganz generell bedarf es aber auch der Schärfung des öffentlichen Bewusstseins für solche Fragen. So macht es einen entscheidenden Unterschied, ob ich der Weiterverarbeitung meiner eigenen Standortdaten zustimme, oder ob ich Privacy-Entscheidungen für andere (mit)treffe. Und genau das ist etwa beim Upload des Adressbuchs oder des Anrufverlaufs der Fall, dessen sollten sich alle bewusst sein. Insofern ist auch jegliche Weiterverarbeitung solcher Daten jenseits des eigentlichen Verwendungszwecks ganz prinzipiell besonders problematisch. Wenn also etwa Facebook diese Informationen nutzt, um "bessere Freundesvorschläge" zu machen, wie man sagt, dann ist dies ein inakzeptabler Eingriff in die Privatsphäre eben dieser Kontaktpartner, die einer solchen Verarbeitung nie zugestimmt haben. Dass Facebook in dieser Hinsicht kaum Schranken kennt, dürfte aber ohnehin hinlänglich bekannt sein, ist doch seit Jahren bekannt, dass das Unternehmen Schattenprofile über User anlegt, die gar nicht auf dem eigenen Service registriert sind. Aber auch andere große Service-Anbieter wie Google oder Amazon agieren in dieser Hinsicht nur marginal besser.

Verräterischer Datenspeicher

Doch zurück zu Android: Jenseits des aktuellen Vorfalls gibt es nämlich auch noch andere Baustellen. Die größte ist dabei wohl die Storage-Berechtigung: Damit Apps lokale Daten speichern können, brauchen sie natürlich Zugriff auf den lokalen Datenspeicher. Wer sich dafür die erwähnte Storage-Berechtigung einholt, bekommt aber Zugriff auf alle lokal gespeicherten Daten, und könnte damit allerlei Unfug treiben. So könnte etwa über die am Gerät liegenden Fotos ermittelt werden, wo sich der Besitzer in letzter Zeit so herumgetrieben hat, immerhin sind die Aufnahmen üblicherweise mit Standortdaten kombiniert – und das Ganze ohne je die eigentlich dafür gedachte Location-Berechtigung einzuholen.

Der Clou an dem Ganzen: Viele jener Apps, die die Storage-Berechtigung beantragen, benötigen eigentlich gar keinen solch weitreichenden Zugriff. Immerhin bietet Android auch so schon lange die Möglichkeit ein privates Verzeichnis am lokalen Speicher zu nutzen – also ganz ohne explizite Anfrage. Wer also nicht gerade einen Dateimanager anbietet, sollte einen solch weitreichenden Zugriff also gar nicht brauchen Dass die Storage-Berechtigung trotzdem zu den Verbreitetsten bei Android-Apps gehört, zeigt einerseits, dass Google hier auf anderem Weg Druck zeugen muss, aber wohl auch, dass man hier noch nicht für alle Anwendungsfälle eine passende Alternative gefunden hat.

Exkurs

Am Rande sei erwähnt, dass es noch einen Spezialfall gibt, der im Fall der datensammelnden Facebook-Apps für manche User durchaus eine Rolle gespielt haben könnte. Nämlich jener von vorinstallierten Apps: Bei diesen können nämlich die Hersteller die "wichtigsten" App-Berechtigungen von Haus aus vergeben. Sinn dahinter ist es, dass die Nutzer nicht nach der Neueinrichtung eines Smartphones mit eine Unzahl an Berechtigungsanfragen überhäuft werden. Das setzt allerdings voraus, dass die jeweiligen Hersteller verantwortungsvoll mit dieser Macht umgehen – was der Erfahrung nach leider nicht immer der Fall ist.

Verbesserungen

Die gute Nachricht: Google scheint sich der Defizite in der Android-Welt durchaus bewusst zu sein. So hat schon Android 8 einige wichtige Privacy-Verbesserungen mit sich gebracht, mit dem kommenden Android P nimmt man nun Änderungen vor, von denen sich sogar Apple noch eine Scheibe abschneiden könnte. Wird doch hier der Zugriff auf Mikrofon, Kamera und Sensoren im Hintergrund komplett deaktiviert – selbst wenn die Nutzer vorher die notwendige Berechtigung erteilt haben. Ein wichtiger Schritt, um potentielle Spionageaktivitäten auszuschalten.

Die Verantwortung der Nutzer

Klar ist aber auch: Solange die Nutzer nicht vorsichtiger bei der Vergabe von Berechtigungen an irgendwelche Apps werden, bringen all die strukturellen Verbesserungen am Betriebssystem herzlich wenig. Und das heißt eben manchmal auch, auf die vermeintlich ach so tolle Taschenlampen-App zu verzichten, wenn die aus unerfindlichen Gründen auf das eigene Adressbuch zugreifen will – und sich nach Alternativen umzusehen. Und natürlich sich mal in Ruhe zu überlegen, welche Verantwortung man eigentlich für die Daten Dritter hat – und welche Rolle man damit selbst in all der Datensammelei von großen und kleinen Unternehmen einnimmt. (Andreas Proschofsky, 1.5.2018)