Dipl.-Inform. Carsten Eilers

Wirklich zuvorkommend. Oder? "that violates the Android Market Developer Distribution Agreement or other legal agreements, laws, regulations or policies" - schwammiger ging es wohl nicht? Man kauft eine App, Google gefällt die aus welchen Gründen auch immer irgendwann mehr nicht, und schwups, sind App und Geld weg? Also ich entscheide eigentlich gerne selbst, welche Programme auf meinen Geräten laufen. Und welche nicht, aber dazu komme ich gleich noch.

Amazon löscht, Apple löscht - Google ist nicht allein

Google ist nicht der einzige, der so etwas macht, auch Amazon ist in der Hinsicht ja bereits negativ aufgefallen, als ungefragt die Romane "1984" und "Animal Farm" von Kindle-Geräten gelöscht wurden. Der Unterschied zu Google: Amazons Terms of Service Agreement sah das Löschen nicht vor, sondern gewährt im Gegenteil das "right to keep a permanent copy of the applicable Digital Content". Und auch in Apples AppStore gibt es die Möglichkeit, Programme aus der Ferne zu löschen.

Interessant, was sich die Hersteller bzw. Händler da erlauben. Was die jeweiligen Verantwortlichen wohl sagen würden, wenn da z.B. morgens um 8 der Lebensmittelhändler an der Haustür klingelt und den Kühlschrank leer räumt, weil er der Meinung ist, dass das bei ihm gekaufte Essen nicht (mehr) seinen Vorstellungen entspricht? Wie jetzt, Sie meinen, wenn das Essen verdorben wäre, wäre das doch wunderbar? Stimmt. Nur steht da bei Google oder Apple nichts von "verdorben", und bei Amazon war das Löschen nicht mal vorgesehen.

"Löschen ist gut, Installieren ist besser!"...

.. hat sich zumindest Google gesagt und in Android auch eine Funktion zum Installieren von Apps eingebaut. Laut Jon Oberheide halten die Android-Geräte ständig Verbindung mit Googles GTalk-Servern, von denen sie nicht nur die Anweisung zum Löschen einer vorhandenen App, sondern auch zum Installieren einer neuen App erhalten können. Google kann also jederzeit nach Belieben Apps löschen oder installieren. "Big Brother is watching you"?. Aber das ist noch nicht alles. Jon Oberheide hat den App-Installationsprozess noch detaillierter beschrieben: Google sendet über eine SSL-Verbindung eine 'INSTALL_APP'-Nachricht an die Installationsroutine, die auch den SHA-1-Hashwert des Installers der Anwendung enthält. Die 'INSTALL_APP'-Nachricht selbst ist nicht signiert und nur durch die SSL-Übertragung abgesichert. SSL garantiert aber nur eine Punkt-zu-Punkt- und keine Ende-zu-Ende-Sicherheit, die Nachricht könnte theoretisch manipuliert und darüber Schadsoftware eingeschleust werden, worauf auch Nate Lawson hingewiesen hat. Zugegeben, ein MitM-Angriff ist nicht ganz trivial, dafür sind die Folgen eines erfolgreichen Angriffs aber auch fatal.

Und nun?

In Zeiten des "always on(line)" ist es für die Hersteller und Verkäufer von Hardware und digitalen Gütern natürlich verlockend, die sich dadurch ergebenden Möglichkeiten zu nutzen. Sei es, um den Standort von Geräten oder Programmen zu verfolgen, wie es sich aktuell Apple mit seinen neuen Datenschutzbestimmungen abnicken lässt, was der Bundesjustizministerin gar nicht gefällt, sei es, um einmal verkaufte Artikel löschen zu können oder weitere Programme zu installieren. Natürlich haben z.B. die Marktplätze für Smartphone-Anwendungen Vorteile, wenn darüber keine Schadsoftware vertrieben wird und notfalls schädliche Programme aus dem Verkehr gezogen werden können. Was wahrscheinlich öfter mal nötig sein wird, da dass mit den Prüfungen nicht so ganz klappt, wie z.B. Derek Brown und Daniel Tijerina von TippingPoint im März auf der RSA-Konferenz demonstriert haben. Nur darf das dann nicht heimlich, still und leise geschehen, sondern muss offen angekündigt und begründet werden und außerdem von der Zustimmung des jeweiligen Benutzers abhängig sein. Wenn es sich wirklich um Schadsoftware handelt, wird der i.A. dem Löschen zustimmen. Es gibt also eigentlich überhaupt keinen Grund, ungefragt zu Löschen und die Benutzer vor vollendete Tatsachen zu stellen (und es denen womöglich nicht mal mitzuteilen). Wer sich trotzdem entsprechende Rechte einräumen lässt, wie Google es mit dem "at its sole discretion and without notice to you" tut, hat zumindest in meinen Augen sämtliches Vertrauen verspielt und mein Misstrauen geweckt.

Vertrauen oder Misstrauen sind gut, Kontrolle wäre besser

Das große Problem dabei: Der Anbieter hat die Kontrolle, der Benutzer das Nachsehen. Bisher gab es nur sehr wenige Löschaktionen, und Installiert wurde nach bisherigen Kenntnisstand noch gar nichts. Trotzdem sollte man sich schon mal Gedanken darüber machen, was man in Falle eines Falles machen würde. Immerhin zeigen die Anbieter doch recht deutlich, was sie von ihren Kunden halten. Und solange es keine wirklichen Alternativen gibt, ist das eine ziemlich miese Aussicht. Pest oder Cholera, Regen oder Traufe, wirklich eine tolle Auswahl. Ich bin richtig froh, dass ich kein Smartphone habe und mir darüber keine Gedanken machen muss. Ein Netbook mit Android als System kommt mir nach diesen Informationen nicht ins Haus, da gibt es zum Glück genug Alternativen. Bleibt noch das iPad, für das ich zur Zeit aber auch keine Verwendung hätte. Und bis das die von mir gewünschten Funktionen hat, gibt es sicher auch brauchbare Alternativen.

Carsten Eilers