Menü
Developer

Kommentar: Google macht es sich zu leicht beim Android-Schutz

Der begrenzte Zugriff auf SMS und Anruferlisten unter Android ist sinnvoll, aber Google ignoriert die Entwicklersorgen, findet Rainald Menge-Sonnentag.

vorlesen Drucken Kommentare lesen 143 Beiträge

Seit Anfang des Monats macht Google Ernst mit dem Rausschmiss von Android-Apps aus dem Play-Store, die ohne triftigen Grund Berechtigungen aus den Gruppen SMS oder Anruferliste benötigen. Grundsätzlich ist das ein begrüßenswerter Zug. Zudem hatte der Internetriese die Maßnahme bereits Anfang Oktober angekündigt und im Januar großzügig die Frist um zwei Monate verlängert. Allerdings ist die radikal umgesetzte Schutzmaßnahme für zahlreiche Entwickler ein Schlag ins Gesicht.

Ein Kommentar von Rainald Menge-Sonnentag

Rainald Menge-Sonnentag ist Redakteur bei heise Developer. Als Jugendlicher programmierte er ZX Spectrum und VC 20 in Basic und Assembler. Später kamen zwar Pascal, C++, Java und C# hinzu, aber heute fehlt ihm leider die Zeit zum Programmieren.

mehr anzeigen

Der springende Punkt ist die Definition des triftigen Grunds: Zahlreiche Beschwerden von Entwicklern seit Bekanntmachung der Maßnahme zeigen, dass Google viele Begründungen nicht akzeptiert. Die Betroffenen sind häufig vor allem frustriert, weil sie augenscheinlich Standardantworten erhalten, die ihr Anliegen nicht berücksichtigen. Die im Folgenden aufgeführten Apps sind explizit keine Empfehlungen, sondern lediglich Beispiele für die Probleme aus Entwicklersicht.

Bereits im November beschwerten sich die Macher der App Cerberus Anti-Diebstahl via Twitter, dass einige wichtige Funktionen wie der Versand von SMS beim Tausch der SIM-Karte oder das Auffinden verlorener Geräte über SMS ohne die Berechtigungen nicht möglich seien. Um die Verbannung aus dem Play-Store zu umgehen, haben die Macher die App angepasst, und sie ist nach wie vor gelistet. Unter "Neue Funktionen" war jedoch derzeit statt Zusatzfunktionen lediglich der Hinweis zu finden, dass aufgrund der entzogenen Berechtigungen viele Features nicht funktionieren.

Ebenfalls betroffen ist der Blackberry Hub+, wie ein Beitrag auf der Site CrackBerry zeigt. Auch der Gründer von OpenDataKit beklagt, dass der fehlende SMS-Versand die Arbeit der World Health Organization erschwere, deren Mitarbeiter in Regionen mit schlechter Infrastruktur über die Kurznachrichten in einer App Informationen über den ausreichenden Vorrat an Impfstoffen austauschen.

Auf Reddit findet sich ein längerer Thread mit einer Historie zahlreicher Ereignisse. Hier mag man durchaus einwenden, dass Nutzer auf Reddit schnell zu extremen Reaktionen und Vorurteilen neigen. Was jedoch jenseits hochgekochter Emotionen und Trollbeiträgen bleibt, ist eine ausreichend große Zahl von Entwicklern, die schlicht frustriert sind von der Art und Weise, wie Google das Thema handhabt.

Dabei zieht sich eins wie ein roter Faden durch: Google setzt seine Richtlinienpolitik radikal durch, dass "Anrufliste" oder "SMS" nur dann erlaubt sind, wenn sie erforderlich sind, um die Hauptfunktionen der App zu aktivieren. Laut der Play-Console-Hilfe bedeutet das: "Hierbei handelt es sich um die Funktion, die in der Beschreibung der App als zentrale und wichtigste Funktion hervorgehoben wird. Sie ist von entscheidender Bedeutung für die Funktionalität der App."

Nur ist es wohl so, dass aus dem Zitat vor allem der erste Satz gilt mit der Betonung auf "wichtigste Funktion", während die entscheidende Bedeutung aus dem zweiten Satz weniger zum Tragen kommt. Das Satzpaar offenbart die Schwachstelle der Vorgabe. Hier wäre es besser gewesen, wenn die Richtlinie das ausdrückliche Hervorheben und die Notwendigkeit einfordert, aber die Latte mit der wichtigsten Funktion nicht zu hoch legt.

Im Endeffekt wälzt Google mit dem Vorgehen die Verantwortung für den Schutz auf die Entwickler ab. Durch das Vermeiden von Grauzonen profiliert sich Google nach außen als Schützer der Endnutzer. Dass dabei zahlreiche sinnvolle Apps über die Klinge springen, ist dem Internetriesen offensichtlich gleichgültig. Das ist nicht nur schade, sondern enttäuschend bei einem Unternehmen, dass sich selbst gerne als Freund der Entwickler darstellt mit dem Engagement im Open-Source-Umfeld und Förderwettbewerben wie Summer of Code.

Die anfangs genannte Cerberus-App offenbart zudem ein Folgeproblem für die Endnutzer. Die Macher bieten im Play-Store einen Fix dafür an, dass viele Funktionen nun fehlen: Man solle die App doch von der Website der Programmierer herunterladen. Anschließend sind schnell noch die Phone- und SMS-Permissions zuerst zu de- und dann zu reaktivieren. Das Vorgehen ist nicht nur umständlich – die Erlaubnis für das Herunterladen von Apps aus einer externen Quelle bringt die bekannten zusätzlichen Risiken mit sich. Aber hier kann sich Google wieder aus der Verantwortung stehlen: Davor warnt der Konzern die Nutzer lange genug. (rme)