Play Store verschleiert App-Berechtigungen

In den letzten Wochen aktualisierte Google einige seiner Apps, darunter auch den App-Markt Play Store. Zu Gunsten einer besseren Übersichtlichkeit werden die erforderlichen Berechtigungen der Apps im Play Store nun in sogenannte Berechtigungsgruppen unterteilt.

Was angesichts der unzähligen App-Berechtigungen auf den ersten Blick lobenswert erscheint, entpuppt sich beim genaueren Hinsehen allerdings als riesige Sicherheitslücke. Der Grund: In der neuen Version des Play Stores müssen Apps den Nutzer nicht mehr informieren, wenn sie neue Rechte einfordern. Voraussetzung dafür ist, dass die App im Vorfeld bereits Berechtigungen aus derselben Berechtigungsgruppe beansprucht hat.

Ein Beispiel: Ein simples Kalender-Widget, das bis dato lediglich Zugriff auf die Informationen Ihres Kalenders hatte, könnte nach einem Update unbemerkt auch Ihre Kontakte lesen und ändern oder ohne Ihr Wissen Kalendertermine anlegen und E-Mails versenden, denn all diese Möglichkeiten fallen in die Berechtigungsgruppe "Kontakte / Kalender".

Um der Update-Falle im Google Play Store zu entgehen, empfiehlt es sich zunächst, die automatischen Updates in Google Play zu deaktivieren. Rufen Sie hierzu in Google Play die Einstellungen auf und wählen Sie unter "Automatische Updates" die Option "Keine automatischen Updates zulassen". Damit Sie dennoch keine wichtigen Updates verpassen, sollten Sie in den Einstellungen zusätzlich die "Benachrichtigungen über Updates" aktivieren.

Anfallende Updates aktualisieren Sie zukünftig entweder über die Benachrichtigungen in der Statusleiste oder direkt in Google Play unter "Meine Apps" und "installiert". Nach der Auswahl des jeweiligen Updates lassen sich die Berechtigungen der App im unteren Teil der App-Beschreibung unter "Berechtigungen" einsehen.

Das ist zwar keine komfortable Lösung sein, doch derzeit bietet sich kein einfacherer Weg, um eine mögliche Update-Falle abzuwenden. Erfahrene Nutzer, die auf ihrem Gerät über Root-Rechte verfügen, entgehen der Gefahr über die kostenlose Open-Source-App Xposed Frameworks und dem dazugehörigen Modul Xprivacy.

Xprivacy ermöglicht eine detaillierte Rechte-Vergabe für jede einzelne App auf Ihrem Gerät. Datenhungrige Anwendungen, wie etwa Facebook, lassen sich über Xprivacy sogar mit gefälschten Daten füttern - die App ist dadurch weiterhin funktionsfähig und ihre Daten bleiben geschützt.

Als weitere Möglichkeit dem Datenhunger von Facebook & Co. aus dem Weg zu gehen, bietet es sich an, auf die offiziellen Apps aus dem Play Store zu verzichten und stattdessen vertrauenswürdige Open-Source-Alternativen einzusetzen.

Im Open-Source-Markt F-Droid finden Sie beispielsweise eine breite Auswahl an Apps und Spielen für nahezu jeden Einsatzzweck. Um F-Droid auf Ihrem Gerät zu installieren, öffnen Sie die Einstellungen Ihres Android-Smartphones oder -Tablets, wählen "Sicherheit" und aktivieren dort im Bereich "Geräteverwaltung" die Option "Unbekannte Herkunft".

Anschließend navigieren Sie mit dem Web-Browser zur Homepage von F-Droid und laden den App-Markt herunter. Eine brauchbare Facebook-Alternative finden Sie dann in F-Droid beispielsweise mit Tinfoil for Facebook.