A propos… „SRT AppGuard“

Kürzlich wurde von einem meiner Gesprächspartner in einer Diskussion zum Thema „Sicherheit unter Android“ auch ein Artikel der „PC-Welt“ erwähnt, der u.A. „SRT AppGuard“ als Tool zur Erhöhung der Sicherheit von Apps empfiehlt (Stand Februar 2013, siehe auch http://www.pcwelt.de/ratgeber/Android-Sicherheit-erhoehen-App-Rechte-beschraenken-5842959.html – ich habe die Redaktion dazu auch angeschrieben, evtl. wurde der Artikel mittlerweile auch schon geändert oder gelöscht).

Um es kurz zu machen: Man sollte SRT AppGuard nicht verwenden und es gibt gute Gründe, warum dieses Programm schon vor längerer Zeit aus dem Google Play Store entfernt wurde!

Was ist das Problem mit SRT AppGuard?

Dazu sollte man sich mal durchlesen, was der Anbieter selbst dazu schreibt. Dort wurde Anfang 2013 noch gesagt:

„Die Updatefunktionalität über den Play Store ist nach der Überwachung leider eingeschränkt. Wir arbeiten momentan daran ein Update der überwachten Anwendungen weiterhin zu ermöglichen.“

So so… „eingeschränkt“. Tatsächlich gibt es für Apps, die von SRT AppGuard „überwacht“ werden, gar keine Updates mehr – also auch solche nicht, die Sicherheitslücken in einer App beheben würden! Wieso eigentlich?

Siehe dazu auch diesen Artikel bei AndroidPIT. Apps werden mit zusätzlichem „Überwachungscode“ modifiziert und können danach prinzipedingt nicht mehr aktualisiert werden, weil es sich faktisch nicht mehr um die selben Apps handelt, sondern modifizierte Kopien davon. Ob die so modifizierten Apps wirklich „sicherer“ sind oder durch den zusätzlichen „Überwachungscode“ womöglich erst Lücken enstehen, ist auch nicht nachvollziehbar. Auch rechtlich ist das ein fragwürdiges Vorgehen, da Modifikationen an Apps in der Regel nur mit Zustimmung der Urheber zulässig sind. Das ist auch der Grund, wieso SRT AppGuard von Google aus dem Play Store entfernt wurde.

Update 2013-06-27: Mittlerweile führt „AppGuard“ wohl selbst eine Prüfung auf Updates im Google Play Store aus und installiert bei Bedarf aktuellere Versionen der Apps (die dann natürlich wiederum mit „Überwachungscode“ modifiziert werden). Dafür muss man aber mit einer anderen Einschränkung (weiterhin) leben – laut FAQ: „Überwachte Apps erhalten derzeit keinen Zugriff mehr auf das Kartenmaterial von Google Maps.“. Und für alternative Stores wie AndroidPIT oder F-Droid funktioniert diese Update-Prüfung prinzipbedingt nicht, da eben nicht mehr die jeweiligen Store-Dienste die Aktualisierung machen, sondern AppGuard.

Meine Meinung dazu:

Es ist nicht notwendig, Android durch solchen gefährlichen Unfug „sicherer“ zu machen. Man muss sich nur vor der Installation einer App genau ansehen, welche Rechte sie anfordert – und wenn einem die Rechte zu weit gehen, dann darf man die jeweilige App eben nicht installieren.

Einige Leute werden jetzt einwenden, dass man ja oft keine Wahl hätte – etwa weil man unbedingt eine bestimmte App braucht. Wenn man aber ehrlich ist: Von „brauchen“ kann meist keine Rede sein. Wenn man etwas unbedingt „braucht“, wäre man sicher auch bereit, dafür zu bezahlen. Tatsächlich betrifft das Problem überwiegend kostenlose Apps, die häufig auch Internetzugriff oder Zugriff auf den aktuellen Standort anfordern – ohne dass nachvollziehbar ist, wozu.

Dazu muss man wissen, dass Anbieter kostenloser Apps mitunter ihre Angebote mit Werbung (in der App) finanzieren. Dafür wiederum benötigen die Apps aber Internetzugriff für das Herunterladen der Werbeanzeigen und je nach Werbeanbieter auch Zugriff auf den aktuellen Standort, weil die Werbung spezifisch für die Region des Benutzers angezeigt wird.

Auch wenn ich mich wiederhole – wem das nicht gefällt, der darf solche Apps eben nicht verwenden. In vielen Fällen gibt es durchaus Alternativen, die ohne Werbung auskommen, dafür aber manchmal auch etwas kosten. Wenn man sich etwas Zeit nimmt, findet man auch kostenlose Apps, die komplett werbefrei und ohne „fragwürdige“ Zugriffsrechte auskommen, wie z.B.:

Swiss Army Knife – Taschenlampe, Kompass, Wasserwaage und andere nützliche Werkzeuge.

RealCalc – umfangreicher Taschenrechner, falls einem die Standard-App von Android nicht ausreichend ist.

KeePassDroid – eine Implementierung der Passwortverwaltung „KeePass“ für Android, die auch im Quelltext auf GitHub verfügbar ist (siehe auch https://github.com/bpellin/keepassdroid).

Was die Berechtigungen im Detail betrifft, ist auch nicht alles automatisch „böse“ – wie etwa der Zugriff auf den Telefonstatus durch einen Audioplayer, der notwendig ist, damit der Audioplayer die Wiedergabe bei einem eingehenden Anruf automatisch beenden kann. Wirklich kritisch zu hinterfragen sind hauptsächlich Zugriffe auf private Daten (Telefonbuch, Kalender, SMS-Inhalte etc.) oder das Auslösen potentiell kostenpflichtiger Aktionen (Telefonanrufe, SMS-Versand etc.).

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.