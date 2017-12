Ein App-Entwickler hat auf Reddit Googles Antwort auf seine Anfrage bezüglich der im November angedrohten 30-Tagesfrist veröffentlicht. Offensichtlich zieht der Internetriese den Rausschmiss von Apps nicht so streng wie angekündigt durch.

Mitte November hatte Google angekündigt. Apps aus dem Play Store zu verbannen, die unvorschriftsmäßigen Gebrauch der Accessibility-Services-API machen. Nun veröffentlicht ein Entwickler auf Reddit eine Antwort auf seine Anfrage bei Google, die nahelegt, dass der Internetriese zunächst die Nutzung der API auch jenseits des verbesserten Zugriffs für Menschen mit Behinderungen prüft. Somit steht entgegen den ursprünglichen Plänen nicht allen Entwicklern zwangsläufig ein Rausschmiss ihrer Apps bevor, die sich in einer Grauzone befinden.

Grundsätzlich ist die November angekündigte Maßnahme durchaus sinnvoll, da die Accessiblity Services sich jenseits des gut gemeinten Zwecks für zahlreiche Angriffe missbrauchen lassen können. Über die alternativen Ein- und Ausgabetechniken können Apps beispielsweise Klicks simulieren und so Werbeeinnahmen generieren. Noch gravierender ist, dass sich so Keylogger umsetzen lassen oder Apps mit entsprechenden Berechtigungen Bestätigungsdialoge eigenmächtig abnicken. Auch der Zugriff auf Texte in Messengern ist unbeschadet der Ende-zu-Ende-Verschlüsselung direkt am Endgerät möglich.

Abschalten oder erklären

Direkt nach der Ankündigung gab es jedoch kritische Stimmen auf Reddit. Die Verfasser argumentieren, dass es durchaus sinnvolle Anwendungsbereiche jenseits der Unterstützung von Menschen mit Behinderungen gibt. Offensichtlich überdenkt Google das strikte Vorgehen nun. Wörtlich heißt es in der Antwortmail des Internetriesen: "Wir evaluieren die verantwortungsvolle und innovative Nutzung der Accessibility Services. Während der Einschätzung unterbrechen wir die Kündigung mit 30-Tagesfrist, über die wir Sie zuvor kontaktiert hatten".

Im weiteren Verlauf erklären die Verfasser der Mail, wie Entwickler vorgehen sollten: Sie sollten für Apps, die die BIND_ACCESSIBILITY_SERVICE-Erlaubnis nicht unbedingt benötigen, die entsprechende Deklaration aus dem Manifest der Anwendung entfernen. Daraufhin sind keine weiteren Maßnahmen erforderlich, um den Rauswurf aus dem Play Store abzuwenden.

Grünes Licht für den verantwortungsvollen Einsatz

Sollten Apps die Berechtigung ausschließlich für den eigentlichen Zweck anfordern, also der Unterstützung von Menschen mit Behinderungen, müssen Entwickler das in der ausführlichen Beschreibung der App (android:description) über eine entsprechende Bestätigung den Endanwendern mitteilen. Dazu dient im Englischen folgender Wortlaut: "All usage of accessibility service privileges is exclusively for the purpose of providing accessibility features to users", also "jegliche Nutzung der Accessibility-Services-Privilegien dient ausschließlich dem Bereitstellen der Barrierefreiheit-Features für die Nutzer".

Komplex wird der Mittelweg: Auch hierfür müssen Entwickler die android:description zum Beschreiben der Anwendung anpassen. Für die Erklärung gibt es keinen festen Wortlaut, aber sie muss nicht nur darstellen dass, sondern genau offenlegen, warum die App die API verwendet, um die Aktionen des Nutzers zu verfolgen. Wenn Entwickler also der Ansicht sind, dass ihre App die Accessibility Services zwar nicht (nur) für den eigentlichen Zweck, aber verantwortungsvoll und nützlich verwendet, können sie dem Rausschmiss aus dem Play Store mit einer passenden Erklärung entkommen. (rme)