"Privatsphäre darf kein Luxusgut sein": Diese Aussage von Google-Chef nehmen mehr als 50 Organisationen aus den Bereichen Privatsphäre und Bürgerrechte zum Anlass, um das Unternehmen in einem offenen Brief zu einer Verschärfung der Regeln rund um Android auzufordern. Die Palette der Unterzeichner reicht dabei von Privacy International über die US-Bürgerrechtsorganisation EFF bis zu Amnesty International.

Bloatware

Konkret geht es in dem Schreiben um von den Geräteherstellern vorinstallierte Apps – von den Nutzern oftmals als "Bloatware" tituliert. Die Unterzeichner stoßen sich daran, dass solche Apps nicht nur nicht deinstallierbar sind, sondern gleichzeitig auch besondere Rechte haben. So kann der Gerätehersteller ihnen Zugriff auf sensible Informationen wie Kamera, Mikrofon und Standort gewähren, ohne dass die Nutzer zuvor um Erlaubnis gefragt werden müssen.

Ein Umstand, der an sich nicht neu ist. Google argumentiert damit, dass es sich hierbei um einen Kompromiss handelt, da sonst die Nutzer beim Einrichten eines Smartphones mit Berechtigungsanfragen überflutet würden. Diese berge wiederum die Gefahr, dass die Nutzer erst recht blind allem zustimmen oder dass sie in Unverständnis der Materie grundlegende Funktionalitäten des Geräts deaktivieren, und dann mit einem nur eingeschränkt funktionstüchtigen Gerät dastehen. Das ist zwar generell durchaus richtig, immerhin braucht etwa eine Telefonie-App nun mal unbedingt den Zugriff auf die entsprechende Berechtigung, um funktionstüchtig zu sein. Gleichzeitig ist aber auch schwer zu leugnen, dass viele Hersteller diesen Trick nutzen, um auch nicht essentiellen Apps Berechtigungen ohne Nachfrage zu erteilen.

Die unterzeichnenden Organisationen sehen darin jedenfalls ein massives Privacy-Problem, gerade bei Herstellern sehr günstiger Geräte würde das immer wieder genutzt, um die Nutzer auszuspionieren. Also fordert man Google dazu auf, dass für vorinstallierte Apps die gleichen Regeln wie für über den Play Store besorgte Programme gelten, und künftig alle sensiblen Berechtigungen einzeln abgefragt werden müssen. Zudem verweist man darauf, dass vorinstallierte Apps zusätzlich noch Dinge tun dürfen, die normalen Apps nicht zur Verfügung stehen, diese Praxis sollte komplett beendet werden, so die Forderung.

Mangelnde Updates

Einen weiteren Problempunkt hat man bei der Wartung solcher Apps ausgemacht: Eine aktuelle Studie zeige, dass 91 Prozent aller vorinstallierten Apps keinen Eintrag im Play Store habe. Damit würden sie nach dem Support-Ende für das betreffende Smartphone auch nicht mehr aktualisiert, was sie zu einem rasch wachsenden Sicherheitsrisiko mache. Insofern solle es verpflichtend werden, dass die Apps im Play Store gelistet werden, und sie dann auf diesem Weg auf dem Laufenden gehalten werden, wenn auf dem Gerät kein Google-Konto eingerichtet ist. Zumindest der letzte Teil ist übrigens bereits erfüllt: Auf vielen aktuellen Smartphones werden die vorinstallierten Apps schon jetzt auch ohne Google-Account über den Play Store aktualisiert.

Deinstallation

Eine weitere Forderung der Unterzeichner: Vorinstallierte Apps sollten sich komplett deinstallieren lassen – und zwar gleich in einem Rutsch mit damit verbundenen Hintergrunddiensten. Damit spielt man wohl nicht zuletzt auf Facebook an, von dem oft auf Smartphones auch diverse Background Services installiert sind, die selbst dann aktiv bleiben, wenn die App selbst deaktiviert wird.

Dieser Punkt würde allerdings auch einen grundlegenden Umbau in der Art, wie Android ausgeliefert wird, bedingen. Immerhin gehört es zu den zentralen Sicherheitsprinzipien, dass das System digital signiert ist, um jegliche Manipulationen daran zu verhindern. Eine komplette Entfernung einer App lässt sich damit aber natürlich nicht bewerkstelligen, ohne zu allen möglichen Folgeproblemen zu führen. Entsprechend gibt es unter Android die Möglichkeit Apps zu deaktivieren, was ohnehin weitgehend auf das Gleiche hinauskommt – wenn man einmal vom Platzverbrauch absieht.

Alternativ wäre es möglich, sämtliche Apps erst beim Setup herunterzuladen, Google Play hat dafür auch einen Mechanismus, der auf einigen Smartphones bereits für einen Teil der Apps genutzt wird. Dies hat aber natürlich wieder den Nachteil, dass ohne Internetverbindung kein funktionsfähiges Gerät eingerichtet werden kann – und gerade in Ländern mit beschränktem Netzzugang und Download-Limits könnte das ein massives Problem werden. Trotzdem bliebe für Google zumindest die Möglichkeit ein Set an Kern-Apps zu definieren, die für den Betrieb eines Geräts unbedingt vonnöten sind, und nur mehr deren Vorinstallation zuzulassen.

Forderung

Abschließend zeigen sich die Unterzeichnenden davon überzeugt, dass die vorgeschlagenen Änderungen eine echte Verbesserung für Millionen Menschen darstellen könnten. Immerhin sollte es nicht so sein, dass die Nutzer ihre Privatsphäre und Sicherheit aufgeben müssen, um ein Smartphone nutzen zu können. (Andreas Proschofsky, 13.1.2020)