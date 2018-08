Veröffentlichung jenseits des Play Stores ist finanziell verständlich, aus einer Sicherheitsperspektive aber verantwortungslos

Der Play Store ist der Dreh- und Angelpunkt der Android-Welt: Wer eine App oder ein Spiel veröffentlichen will – und nicht gerade in China sitzt – kommt um den App Store von Google kaum herum. Zwar erlaubt Android prinzipiell auch die Installation auf anderem Wege oder über App Stores von Drittherstellern, für die breite Masse an Entwicklern ist ein Verzicht auf den Play Store aber schon aus ökonomischen Gründen schlicht nicht realistisch. Nun will ein großer Hersteller aber beweisen, dass es geht, und spielt dabei mit der Sicherheit seiner eigenen Nutzer.

Nicht verfügbar

Vor einigen Tagen hat Epic Games die erste Beta für die Android-Version von Fortnite veröffentlicht. Doch wer im Play Store danach sucht, wird dies vergeblich tun: Epic fordert seine Nutzer auf, den zugehörigen Installer manuell von der eigenen Webseite herunterzuladen, und auf ihren Smartphones einzurichten. Zu den Gründen für diese ungewöhnliche Entscheidung hatte sich Tim Sweeney, Chef des Spieleherstellers bereits im Vorfeld öffentlich geäußert. Da war etwa viel von einem "engeren Verhältnis zu den Nutzern" und anderen Faktoren die Rede. In Wirklichkeit ist all dies aber natürlich nur Begleitmusik, relevant ist eigentlich nur ein Punkt. Epic sieht nicht ein, warum man Google an den Einnahmen des eigenen Spiels beteiligen soll. Die Regeln des Play Stores sichern dem Android-Hersteller nämlich 30 Prozent sämtlicher hier lukrierten Umsätze.

Ein Betrag, den Sweeney unverschämt hoch findet, und der auch tatsächlich durchaus diskussionswürdig ist. Doch die Konsequenz, die Epic daraus zieht, ist alles andere als im Sinne der eigenen Kunden. Eine Veröffentlichung jenseits des Play Stores öffnet nämlich Tür und Tor für Schadsoftware. So müssen die User nicht nur zentrale Sicherheitssperren deaktivieren, um überhaupt das Spiel einrichten zu können, es ist auch befürchten, dass schon bald gefälschte und mit Trojanern versehene Varianten des Spiels im Umlauf sein werden. Gerade für Phishing-Angriffe ist so ein Szenario mit einem dermaßen populären Spiel ein gefundenes Fressen.

Schadensbegrenzung

Nun versuchen zwar alle Seiten das Risiko zu minimieren, Epic etwa in dem man den Installer auch über den Samsung Game Launcher anbietet, und die Spieler nach der Installation dazu auffordert, die Möglichkeit manuelle Pakete auf dem Smartphone installieren zu können, wieder zu deaktivieren. Google indem der Play Store mittlerweile explizit darauf hinweist, dass Fortnite hier nicht verfügbar ist, um Nachahmern keine Chance zu geben. Und doch eröffnet sich hier ein nicht zu unterschätzendes Risiko – vor allem für technisch weniger versierte User.

Am iPhone geht es auch

Dass Epic diesen Weg überhaupt beschreiten kann, ist übrigens der relativ großen Offenheit von Android zu verdanken. Am iPhone zahlt der Hersteller exakt dieselben 30 Prozent Umsatzbeteiligung ohne Murren – einfach weil man hier schlicht keine andere Wahl hat. Und dabei geht es übrigens um durchaus relevante Beträge, rund 50 Millionen soll Fortnite bisher in die Kassen von Apple gespült haben.

Privacy und Security ausgehebelt

Aus einer Sicherheitsperspektive bereitet aber noch ein weiterer Punkt an der Fortnite-Beta Sorgen. Die jetzt verfügbare Version ist nämlich mit einer sehr alten "Zielversion" (Target API) erstellt worden, und zwar Android 5.0. Dadurch umschifft Epic Games zentrale Sicherheits- und Privacy-Verbesserungen, die Google in den letzten Jahren eingeführt hat, etwa die Möglichkeit Berechtigungsanfragen einzeln abzulehnen. Diese "dynamischen Berechtigungen" gibt es erst seit Android 6. Auch kann man so einzelne Geräte wesentlich exakter identifizieren, als es mit neueren Android-Versionen möglich ist – was man ersten Berichten zufolge auch für Anti-Cheating-Maßnahmen nutzt.

Doppelt spannend ist dieser Punkt im aktuellen Kontext, weil hier noch eine zweite Motivation für den Play-Store-Verzicht durchschimmert. Google verbietet nämlich mittlerweile die Verwendung solcher alten Target APIs im Play Store – und zwar eben exakt aus Privacy- und Security-Gründen. Epic hätte das Spiel in dieser Form also gar nicht über den Play Store veröffentlichen können.

Fazit

Aus Sicht der Nutzer bleibt zu hoffen, dass sich Google und Epic doch noch irgendwie zusammenraufen, und zu einer gemeinsamen Lösung kommen. Der aktuelle Status ist jedenfalls für alle Beteiligten unerfreulich – vor allem aber für die Nutzer. Und um die soll es ja angeblich immer gehen. (Andreas Proschofsky, 16.8.2018)