Eine automatisierte Google-Warnung an die Entwickler von Android-Apps bezüglich der Berechtigungen für mobile Anwendungen hat die Zahl der Anfragen halbiert.
Übereifrige Android-Apps, die unnötigerweise nach Berechtigungen für Handset-Ressourcen wie Kontaktlisten und Standortdaten fragen, sind nicht nur unangenehm, sondern auch eine potenzielle Bedrohung für den Datenschutz.
Um dieses Problem der Android-Benutzer zu lösen, hat Google eine strikte Genehmigungsrichtlinie eingeführt, um App-Entwickler daran zu hindern, mit ihren Apps unnötig und manchmal rücksichtslos auf persönliche Nutzerdaten zuzugreifen. Am Donnerstag sagte Google, dass sich seine Bemühungen im vergangenen Jahr gelohnt hätten.
Unter den App-Entwicklern, die eine Warnmeldung von Google erhielten, in der sie aufgefordert wurden, die Anzahl der Genehmigungsanfragen in ihren Apps zu beschränken, entfernten 60 Prozent der Entwickler die Berechtigungen.
"Die Breite dieser Entwicklerantwort wirkte sich auf über 55 Milliarden installierte Apps aus", schrieb ein Team von Google-Entwicklern aus der Android-Gruppe für Sicherheit und Datenschutz.
Die Reduzierung war zwar freiwillig, aber Google wandte bei den Entwicklern einen Zuckerbrot und Peitsche-Ansatz an. Im Mittelpunkt der Bemühungen steht eine Warnmeldung, die die Google-Entwickler in der Play Console, dem Tool zur Veröffentlichung von Apps und Spielen für Google Play, sehen. Google verwendet einen automatisierten Prozess, um festzustellen, welche Art von Apps hochgeladen wird, und misst, wie viele Berechtigungen im Vergleich zu ähnlichen, in Google Play hochgeladenen Apps angefordert werden.
"Wir identifizieren eine Gruppe von Anwendungen mit ähnlichen Funktionen und vergleichen die Genehmigungsanfragen eines Entwicklers mit denen seiner Kollegen", so Google. "Wenn ein sehr großer Prozentsatz dieser ähnlichen Anwendungen nicht um eine Genehmigung bittet, der Entwickler aber schon, lassen wir den Entwickler wissen, dass seine Genehmigungsanfrage im Vergleich zu den anderen Anwendungen ungewöhnlich ist. Die Warnung lautet zum Teil:
Ihre Anwendung fordert die folgenden Berechtigungen an, die von weniger als 3% der funktional ähnlichen Anwendungen verwendet werden... Benutzer bevorzugen Anwendungen, die weniger Berechtigungen anfordern, und die Anforderung unnötiger Berechtigungen kann die Sichtbarkeit Ihrer Anwendung im Play Store beeinträchtigen...
Google sagte, dass es seit Ende 2017 mit der Präsentation der Warnung an die Entwickler experimentiert habe. Im vergangenen Jahr veröffentlichte Google die Veröffentlichung Reducing Permission Requests in Mobile Apps (PDF), in der das Problem "unnötiger oder aufdringlicher Genehmigungsanfragen durch bestimmte Apps" beschrieben wurde.
Darin wird erläutert: "Es gibt eine Reihe von Gründen, warum eine Anwendung Berechtigungen anfordern kann, die über die für ihre Kernfunktionalität erforderlichen hinausgehen, z. B. für Analyse, Personalisierung, Tests, Leistungsbewertung, Werbung (insbesondere für kostenlose Anwendungen) oder Unterstützung für (ungenutzte) Funktionen in Bibliotheken, die die Anwendung enthält.
Sie zitierte jedoch auch eine Reihe von Berichten, in denen Fälle beleuchtet wurden, in denen abtrünnige Anwendungen böswillig Berechtigungen zum Exfiltrieren von Gerätedaten und zum heimlichen Ausspionieren von Benutzern verwendeten.
Googles Gegenmittel war die Implementierung eines "neuartigen, algorithmischen Mechanismus, der Entwickler von mobilen Anwendungen davon abhalten sollte, unnötige Berechtigungen zu verlangen".
Entwickler werden durch einen automatischen "Stupser", wie Google ihn nennt, "angespornt", der den App-Entwicklern zeigt, welche Berechtigungen ihre Konkurrenz verlangt. Wenn Google feststellt, dass die App zu viele Berechtigungen verlangt, hat sie eine geringere "Sichtbarkeit" in Google Play.
Der Google-Berechtigungsalgorithmus basiert nicht vollständig auf einer ähnlichen App-Analyse. Er verwendet auch "mehrere Signale, die die natürliche Sprachverarbeitung und die Technologie für tiefes Lernen speisen", um zu bestimmen, ob eine App die entsprechende Anzahl von Berechtigungen hat.
Der Aufwand ist eng mit den Google Play Protect-Diensten zum Schutz vor Malware und den bestehenden Google Play-Richtlinien für Nutzerdaten verknüpft, die von den Entwicklern eine klare Benachrichtigung und Kontrolle über die Datenerfassung in ihren Anwendungen verlangen.
Im Jahr 2018 ergriff Google ähnliche Maßnahmen zum Schutz von Android-Nutzern, indem es die Möglichkeit einer App, Telefonanrufprotokolle und SMS-Berechtigungen anzufordern, strikt einschränkte.
In der Zwischenzeit sind die Berechtigungen für Apps unter Endnutzern und Entwicklern nach wie vor ein kontroverser Punkt. Anfang dieser Woche hat Apple die Art und Weise, wie es mit Berechtigungen umgeht, die an das Ausschneiden und Einfügen von Daten gebunden sind, die vorübergehend im Speicher eines iPhones oder iPads gespeichert werden, unter Druck gesetzt.