PDA

View Full Version : Wofür werden die Berechtigungen/Permissions benötigt?



usurpator
03.12.2013, 03:11
Guten Tag,

Mein Malware Scanner stuft die App als gefährlich ein, worallem wegen "Kontaktdaten lesen" und "Telefonstat. u. -ID lesen".
Ich habe die light Version geladen, ich nehme an alle Kontaktdaten werden zu Werbezwecke gesammelt und verkauft,
habe daher die App nach Rechteentzug selbiger ausgeführt, nun stürzt sie ab.
Wofür werden diese Rechte gebraucht? Kann man diese irgendwo abschalten?

Nach Deinstallation habe ich den Kauf der Vollversion abgebrochen, da diese ebenfalls meine Kontakte und TelID lesen will.
OSMAND braucht für Navigation, Offline Map, etc. diese Rechte nicht!

makiHD
03.12.2013, 14:47
Hallo usurpator,

willkommen im Forum und willkommen bei skobbler. Ruhig Blut wegen der Berechtigungen :)

Zur Erklärung:

Die Kontaktdaten werden gelesen, da man direkt in der App als Ziel auch Kontakte angeben kann. Sofern diese mit einer Adresse hinterlegt sind, wird die Adresse automatisch eingegeben. Ist also ein praktisches Features.

Telefon-ID: Mithilfe dieser wird die Legalität deiner App-Installation überprüft. Man kann auch unter Einstellungen die sogenannte Gerätekennung an den Support senden, falls In-App-Käufe nicht frei geschaltet werden sollten; dann werden sie manuell frei geschaltet. Die Telefon-ID dient also der Zuordnung der App zu "deinem" Gerät.

Telefonstatus: Die App kann verhindern, dass das Gerät bei der Navigation in den Standbymodus geht - also Display dunkel und alles. Macht ja auch Sinn, wenn man damit navigieren will, oder?

Also alles halb so wild. Schau Dir mal die Berechtigungen von Google Maps an - da wird einem schlecht! :)

usurpator
04.12.2013, 20:35
Also alles halb so wild. Schau Dir mal die Berechtigungen von Google Maps an - da wird einem schlecht! :)
das ist ja genau DER Grund warum ich auf der Suche nach Alternativen bin. Seit Google Waze aufgekauft hat sollte jedem klar sein was als nächstes kommt.

Wer glaubt Entwickler arbeiten generell gern für Umme ist auf dem Holzweg. Die meisten kostenlosen Apps leben von Werbung (nicht selten werden die Werbeserver gehackt) und man fängt sich so etwas ein, oder eben vom Verkauf der Kontaktdaten und anderen Dingen. Bekanntlich ist eine gültige E-Mail Adresse den Werbetreibenden (Spammern) bares Geld wert. Aus diesem Grund bin ich gerne bereit ein paar Euro an die Entwickler zu bezahlen, um keinen zu zwingen auf deratige Methoden zurückgrefen zu müssen.

Im Gegenzug erwarte ich vollkomme Transparenz und die Wahrung meiner Privatsphäre!

Aus meiner Sicht sollte man (als ehrlicher Entwickler) immer mit offenen Karten spielen und nur die Rechte einfordern die tatsächlich für die zu erfüllende Aufgabe gebraucht werden, was hier jedoch nicht zutrifft:

1. Ich habe andere Apps GEKAUFT die meine Tefon-ID NICHT auslesen.
2. Kontaktdaten als Ziel: in anderen Apps gibt man den Ort als Favorit ein, dann braucht die App nicht die Kontake lesen/kopieren
3. Telefonstatus: die App bekommt Zugriff auf IMEI und IMSI, theoretisch kann damit dasTelefon und damit der User geortet/verfolgt werden,
den Standby Modus kann man mit einer anderen Berechtigung verhindern!

Diese Informationen über Rechte habe ich mir nicht ausgedacht, weiteres zu Rechten findet man ua. hier:
http://www.androidpit.de/app-berechtigungen-android-erklaerung

Da ich nicht ausschließen kann (unnötige Rechte können nicht vor Installation abgeschaltet werden) dass ich ausgespäht oder getrackt werde
ferner ich der App unnötigerweise (s.o.) das Recht gewähren muss auf meine Kontakte nach Belieben zuzugreifen, werde ich diese Navigation App
nicht kaufen.

makiHD
04.12.2013, 23:19
Seit Google Waze aufgekauft hat sollte jedem klar sein was als nächstes kommt.

Jap, und genau das war das Tropfen, das bei mir das Fass endgültig zum Überlaufen brachte.


Wer glaubt Entwickler arbeiten generell gern für Umme ist auf dem Holzweg. Die meisten kostenlosen Apps leben von Werbung (nicht selten werden die Werbeserver gehackt) und man fängt sich so etwas ein, oder eben vom Verkauf der Kontaktdaten und anderen Dingen. Bekanntlich ist eine gültige E-Mail Adresse den Werbetreibenden (Spammern) bares Geld wert. Aus diesem Grund bin ich gerne bereit ein paar Euro an die Entwickler zu bezahlen, um keinen zu zwingen auf deratige Methoden zurückgrefen zu müssen.

Ganz genau, da stimm ich Dir vollkommen zu.



Aus meiner Sicht sollte man (als ehrlicher Entwickler) immer mit offenen Karten spielen und nur die Rechte einfordern die tatsächlich für die zu erfüllende Aufgabe gebraucht werden, was hier jedoch nicht zutrifft:

1. Ich habe andere Apps GEKAUFT die meine Tefon-ID NICHT auslesen.
2. Kontaktdaten als Ziel: in anderen Apps gibt man den Ort als Favorit ein, dann braucht die App nicht die Kontake lesen/kopieren
3. Telefonstatus: die App bekommt Zugriff auf IMEI und IMSI, theoretisch kann damit dasTelefon und damit der User geortet/verfolgt werden,
den Standby Modus kann man mit einer anderen Berechtigung verhindern!

Doch, es trifft hier zu.

1. Sind das auch Bezahl-Apps? Es gibt ne Google API, um Lizenzen zu prüfen. Denkst Du, da entwickelt jeder was eigenes? Und nochmal: Es gibt eine eindeutige Gerätekennung, die man in den Einstellungen selbst sehen kann. Die MUSS Skobbler prüfen um abzuchecken, ob Du die App auch legal nutzt! Die App will ich sehen, Du du gekauft hast und Die das nicht prüft.

2. Aha, und das nennst Du Komfort? Die Funktion Routing zu Kontakten ist drin und damit wird auch das entsprechende Recht benötigt! Ganz genau andersrum gibt es dann wieder 100 Nörgler, die dann am besten noch 1*-Bewerungen im Store verteilen,mimimi, ich kann noch net mal zu Kontakten navigieren, trotz eingegebener Adresse - scheiss App.
3. Siehe 1. Aus diesen Daten wird die Gerätekennung generiert, um die Legalität zu prüfen. Oder würdest Du bei Deiner erstellten Software drauf verzichten, deren Legalität zu verifizieren.



Da ich nicht ausschließen kann (unnötige Rechte können nicht vor Installation abgeschaltet werden) dass ich ausgespäht oder getrackt werde
ferner ich der App unnötigerweise (s.o.) das Recht gewähren muss auf meine Kontakte nach Belieben zuzugreifen, werde ich diese Navigation App
nicht kaufen.

Auch da muss ich Dich korrigieren. Seit Android 4.3 gibt es die App-Permissions. Habe testweise auf meinem Handy Skobbler mal das Recht auf Kontakte erzogen. Ergebnis: Es sind keine Kontakte zum Navigieren vorhanden.

Nur mal zur Ergänzung.

Google Maps möchte als Berechtigung:
750 sowie 751

Skobbler möchte wissen:
752 753

Du hattest Google ja bereits ausgeschlossen, ich weiß. Ich will damit auch nur zeigen, dass Google um EINIGES mehr wissen will.
Für die Interessierten hier noch ein Link, da wird einem schlecht: http://www.google.com/policies/privacy/

Übrigens: Es gibt einen Betathread, wo man sogar direkt mit den Entwicklern interagieren kann und ggf. nachfragen kann, wegen der Rechte. Für mich jedenfalls ist jedes einzelne Recht nachvollziehbar und auch in Ordnung.
Wären mehr Rechte gefordert, könnte ich die einfach entziehen. Just my two cents.

usurpator
07.12.2013, 03:01
Die MUSS Skobbler prüfen um abzuchecken, ob Du die App auch legal nutzt! Die App will ich sehen, Du du gekauft hast und Die das nicht prüft.
gerne, die gekaufte App heisst FX File Explorer. Das sind die Rechte die eingefordert werden:
http://i.imgur.com/coUWQTB.png

Der Entwickler versichert zudem dass keine Werbung enthalten ist:
"FX has no ads, even in the free version, and there's not any kind of dormant ad-serving API that could be
accidentally activated." Quelle: XDA DEVS

Dies war (neben der Funktionalität) der Hauptgrund für den Kauf. Kein Ausspionieren und keine Werbung, solche Entwickler unterstütze ich gern bzw. ausschließlich.


Oder würdest Du bei Deiner erstellten Software drauf verzichten, deren Legalität zu verifizieren.
Die Legalität zu überprüfen ist in soweit legitim, sofern nicht die Rechte der User verletzt werden.
Im Umkehrschluss ist sonst der Entwickler keinen Deut besser als der Langfinger.

Manche Hersteller gehen nähmlich sehr weit um Ihre Schutzreche durchzusetzen, mir fällt da gleich der sony rootkit als Beispiel dazu ein:
https://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal


Aha, und das nennst Du Komfort?
Ich habe bei keinem einzigen Kontakt die Adresse eingegeben (ernsthaft), ich finde zu den Leuten
auch so hin. Vielmehr speichere ich temporär den Ort wo mein Auto steht, ein gutes Lokal etc. als Fav ab.

Komfort muss man aus meiner Sicht immer gegenüber Sicherheit und Privatsphäre stellen.

Natürlich ist es beim Browsen komfortabler alle Passwörter im Vorfeld zu speichern.
Natürlich ist es komfortabler persönliche Bilder und Daten bei DropBox in der Cloud abzulegen.
Natürlich ist es komfortabler einfache oder gar keine Passwörter zu verwenden.
Natürlich ist es komfortabler Google Maps, Google Now, Google +, GMail .. am besten alles gleichzeitig zu nutzen.
Natürlich ist es komfortabler jedem Unternehmen all seine Daten blind anzuvertrauen...

Ich möchte das aber nicht, weil mir meine Privatsphäre wichtiger als Komfort ist.

Vorallem wenn ich dafür bezahle, möchte ich selbst entscheiden oder aufgeklärt werden wer und in welchem Maße welche Daten von mir wann speichert.

Die Möglichkeit des Tracking, Profilerstellung und Auslesen meiner Kontakdaten möchte ich keiner Nav-App zugestehen,
da verzichte ich lieber auf den Komfort von einer fast rendering engine, nice UI, etc.
zu Gunsten von Sicherheit, Privatsphäre und einem guten Gefühl.

Sonst kann ich doch gleich bei Maps bleiben...

makiHD
07.12.2013, 14:49
Von den Rechten die eingefordert werden, finde ich erst mal "Globale Systemeinstellungen ändern" problematisch. Auszug von hier (http://www.go2android.de/android-fuer-anfaenger-erklaert-teil-10-app-berechtigungen-und-was-sie-bedeuten/):

"Ermöglicht der Anwendung, die Einstellungsdaten des Systems zu ändern. Schädliche Anwendungen können so die Systemkonfiguration beschädigen.
Diese Berechtigung ist als bedenklich einzustufen! Überprüft genau ob eure Anwendung diese Berechtigung benötigt. Lest gegebenenfalls den Erfahrungsbericht und die Bewertung der App durch."

Skobbler benötigt dieses Recht nicht.


Die Legalität zu überprüfen ist in soweit legitim, sofern nicht die Rechte der User verletzt werden.
Im Umkehrschluss ist sonst der Entwickler keinen Deut besser als der Langfinger.

Wenn Du es so willst, gibt es gar keine andere Möglichkeit, die Legalität mithilfe der Seriennummer zu prüfen, als eben die Geräte-ID abzufragen und diese mit den gespeicherten Käufen zu prüfen.
Zwischen Entwickler und Langfinger gibt es sehr wohl einen Unterschied: Der Entwickler hat ja wohl eher das Recht, zu prüfen, ob seine App legal installiert ist oder nicht.



Ich habe bei keinem einzigen Kontakt die Adresse eingegeben (ernsthaft), ich finde zu den Leuten
auch so hin. Vielmehr speichere ich temporär den Ort wo mein Auto steht, ein gutes Lokal etc. als Fav ab.

Komfort muss man aus meiner Sicht immer gegenüber Sicherheit und Privatsphäre stellen.

Natürlich ist es beim Browsen komfortabler alle Passwörter im Vorfeld zu speichern.
Natürlich ist es komfortabler persönliche Bilder und Daten bei DropBox in der Cloud abzulegen.
Natürlich ist es komfortabler einfache oder gar keine Passwörter zu verwenden.
Natürlich ist es komfortabler Google Maps, Google Now, Google +, GMail .. am besten alles gleichzeitig zu nutzen.
Natürlich ist es komfortabler jedem Unternehmen all seine Daten blind anzuvertrauen...

Ich möchte das aber nicht, weil mir meine Privatsphäre wichtiger als Komfort ist.

Vorallem wenn ich dafür bezahle, möchte ich selbst entscheiden oder aufgeklärt werden wer und in welchem Maße welche Daten von mir wann speichert.

Die Möglichkeit des Tracking, Profilerstellung und Auslesen meiner Kontakdaten möchte ich keiner Nav-App zugestehen,
da verzichte ich lieber auf den Komfort von einer fast rendering engine, nice UI, etc.
zu Gunsten von Sicherheit, Privatsphäre und einem guten Gefühl.

Sonst kann ich doch gleich bei Maps bleiben...

Ist ja nichts dagegen zu sagen, dass Du bei keinem Kontakt die Adresse gespeichert hast. Aber erwartest Du ernsthaft, dass ein App-Entwickler die App möglichst in 10 Varianten rausbringt, einmal ohne WLAN-Rechte, einmal ohne GPS-Rechte, einmal ohne Kontakte-Rechte?

Ich verweise nochmal drauf: Du kannst ab Android 4.3.0 einzelnen Apps einzelne Rechte entziehen. Mein testweisen Enziehen des Rechts "Kontakte" zeigt den Effekt, dass Skobbler - wie es sein sollte - dann auch keine Kontakte mehr findet.

Zu deinen anderen Punkten:

Ich speichere meine Passwörter nur auf meinem festen Home-PC, auf anderen Rechnern natürlich nicht. Wer bei mir zuhause einbricht, um etwa mein Skobbler-Foren-PW zu klauen, dem ist nicht mehr zu helfen.

Persönliche Daten lege ich nicht auf Dropbox ab, obwohl ich es nutze. Für Daten einer gewissen Schutzklasse kommt selbstverständlich die Verschlüsselung von Boxcryptor zum Einsatz.

Verwende ausschließlich komplizierte Passwörter.

Ich nutze weder Google Maps, Google Now (Standortverlauf!), Gmail aus genau deinen gennanten Gründen. Vielmehr nutze ich ausschlielich nur noch die Skobbler-Maps, einen deutsch Mailanbieter, etc.

Und ja, zwischen Google Maps und GPS Navi bestehen deutliche Unterschiede! Google fertigt mittlerweile Standortverlaufdaten an, damit sie wissen, wann du wo warst. Man kann sich das im Dashboard sogar anzeigen lassen.

Hier mal der Link: https://www.google.com/dashboard/?hl=de

Na, wem wird noch schlecht? :)

Auch als Suchmaschine kommt Google nicht mehr zu Einsatz.

Zum Schluss noch zwei Datenschutzerklärungen

Skobbler: http://www.skobbler.de/info-contact/legal-info
Google: http://www.google.de/policies/privacy/

Insbesondere der Punkte "Wie wir diese Daten nutzen" ist bei Google lesenswert.
Entsprechender Punkte bei Skobbler? Jibbet nich!

Die Lösung für dein Problem ist einfach, der App das Kontakte-Recht zu entziehen. Geht ab Android 4.3.1. Falls Du eine ältere OS-Version hast, solltest Du sowieso ein Custom-Rom ohne Google-Dienste nutzen. Allgemein ist es ernsthaft empfehlenswert, ein Custom ROM ohne Google Store, Google Play Services, etc. zu nutzen als sich über das nachvollziehbare Recht einer Navi-App, die durchaus plausibel einige Rechte benötigt, zu lamentieren :)

vikingy
10.12.2013, 18:54
Danke für die Erläuterungen!

usurpator
13.12.2013, 20:50
erst mal ein Lob zum konstruktiven Umgang mit meinem wie ich finde berechtigten Anliegen.

Ich denke bezüglich Google sind wir uns mehr als einig.

Auf die Idee Rechte entziehen mittels Anpassung der AndroidManifest.xml, bin ich auch gekommen, jedoch stürzte danach die App (siehe erster Post) ab. Aps Ops ist leider sehr beschränkt d.h. nur einige Rechte können entzogen werden, aber ich konnte immerhin den Kontaktezugriff verweigern. :o

Anyways, ich kann nun die App endlich testen, cheers!

makiHD
14.12.2013, 01:36
Hallo usurpator, gerne - wurde ja auch konstruktiv gepostet :)


Ich denke bezüglich Google sind wir uns mehr als einig. Aber so was von!

Dann bin ich froh, dass es mit App Ops geklappt hat und wünsch Dir viel Spaß beim testen.

usurpator
14.12.2013, 02:46
zum gleichen thema, ein kommentar von gestern, vielleicht auch für andere Leser interesannt:
http://www.heise.de/security/artikel/Google-verkauft-seine-Kunden-2065508.html

makiHD
14.12.2013, 12:23
Letzlich ist das ja nichts neues, finde ich. Ja, ich hätte sogar noch nicht einmal das Megaproblem damit, wenn Google diese Daten nutzt, um seine Werbung effektiver zu machen, das wär ja sogar ok. Das können sie mit den Daten ja auch technisch.
Aber womit ich ein riesiges Problem habe, dass bei Google halt nicht nur Google mitliest, sondern auch NSA und Konsorten.

Denn die nehmen meine Infos sicherlich nicht nur zur Anzeigenvermarktung. OK, ich hab im Prinzip nichts zu verbergen, aber das darf trotzdem so nicht sein.

Gestern mit dem neuen Google Maps-Update für Android kam wieder eine weitere Berechtigung dazu (NFC-Steuerung), die wollen also immer mehr Rechte. Sobald ich über Weihnachten mal Zeit habe, Skobbler vs. Maps nochmal zu testen, gerade die POI-Suche, hoffe ich, Goolge Maps damit endgültig den Garaus machen zu können.

Ein Grund zu rooten und um das loszuwerden. Nebenbei spart es noch Akku, RAM und CPU-Zeit, weil der Maps-Dienst immer ausgeführt wird (OK, man kann ihn mit Root in den Ruhezustand zwingen, was ich gemacht habe, aber das macht auch nicht jeder^^).

makiHD
31.01.2014, 16:27
Ein Update von mir: Mittlerweile ist Google Maps runtergeflogen. Ergebnis ist mehr Akkulaufzeit, weniger Prozesse und ich vermisse nichts :)
Und dass die NSA Daten insbesondere bei Google Maps abgreift, kann auch keiner mehr leugnen: http://winfuture.de/news,79988.html

"Den Berichten zufolge arbeiten die Geheimdienste schon seit 2007 zusammen und haben seitdem umfangreich Konzepte zur Sammlung von Orts- und Nutzerdaten ausgetauscht. Unter anderem haben sie dabei Wege gefunden, die bei der Nutzung von Google Maps auf dem Smartphone anfallenden Standortdaten inklusive des aktuellen Aufenthaltorts des Nutzers, Adressbücher, Freundeslisten, Anruflisten und EXIF-Daten von per Facebook, Twitter, LinkedIn und ähnlichen Diensten veröffentlichte Fotos zu sammeln."

Internethias
04.02.2014, 17:25
Ein Update von mir: Mittlerweile ist Google Maps runtergeflogen.[/I]
Aber ich mag Google Maps... :mad: Nun gut, ich habe auch nicht im Sinn der Al Dingsbums beizutreten. Demnach müsste ich eigentlich auch nicht befürchten, dass plötzlich neben mir quitschend und rauchend ein schwarzer Chevrolet Suburban anhält und ich von schwarzgekleideten Männern ins Innere gezogen werde... - oder?! :eek:

makiHD
04.02.2014, 19:18
Nee, eigentlich nicht. Ich hab halt für mich entschieden, dass die Datensammelei erst mal aufhören muss.

makiHD
20.02.2014, 15:39
Update: Auch mir der neusten Version für Android werden bestehende Funktionen ausgebaut und keine neuen Permissions benötigt - sehr gut und weiter so! :D