News

Überblick: Die Fähigkeiten und Zugriffsrechte von Windows Phone Apps

Aus eini­gen Bei­trä­gen in den Kommentaren zu (App-)Artikeln habe wir den Ein­druck, dass vie­len Win­dows Phone Besit­zern oft nicht ganz klar ist, was die Capabilities bzw. Fähig­kei­ten bzw. Zugriffs­rechte der Apps bedeu­ten und was eine App mit dem jewei­li­gen Recht machen kann und was nicht.

Worum geht es? Die Fähig­kei­ten einer App bestim­men, was eine App alles machen darf und was nicht. Das reicht vom Zugriff auf die Kon­takte des Anwen­ders bis zur Nut­zung der Daten­ver­bin­dung des Tele­fons oder der ein­gebau­ten Sen­so­ren. Die von einer App ver­wen­de­ten Fähig­kei­ten wer­den im Store  ange­zeigt, wie im folgendem Screen­shot zu sehen.

Unten folgt eine Beschrei­bung aller der im Store ange­zeig­ten Fähig­kei­ten und ihrer Bedeutung.

Mit dem Spy-Faktor gebe ich meine sub­jek­tive Ein­schät­zung an, wel­ches Risiko für die Pri­vat­sphäre des Anwen­ders die Ver­wen­dung der jewei­li­gen Fähig­keit dar­stellt. Damit es hier nicht zu Miss­ver­ständ­nis­sen kommt: meine Ein­schät­zung des Spy-Faktors beruht nur dar­auf, was eine App mit der Fähig­keit theo­re­tisch alles anstel­len könnte. Das soll bei­leibe nicht hei­ßen, dass Apps, wel­che eine gewisse Fähig­keit ver­wen­den, gleich Spy­ware sind!

Über­sicht

  • Kalen­der
  • Kon­takte
  • Iden­ti­tät des Handys
  • Iden­ti­tät des Eigentümers
  • Kamera
  • Ortungs­dienste
  • Musik– und Videobibliothek
  • Mikro­fon
  • Daten­dienste
  • Push-Benachrichtigungsdienst
  • Bewe­gungs– und Richtungssensor
  • Xbox LIVE
  • Nicht im Store aus­ge­wie­sene Fähigkeiten

Kalen­der

Diese Fähig­keit erlaubt einer App lesen­den Zugriff auf den Kalen­der des Anwen­ders. Auch mit die­ser Fähig­keit ist es einer Anwen­dung nicht mög­lich, Ter­mine in den Kalen­der des Anwen­ders einzutragen.

Tech­ni­scher Name ID_CAP_APPOINTMENTS
Spy-Faktor mit­tel
Begrün­dung Eine App mit die­ser Fähig­keit könnte die Ter­mine des Anwen­ders (zusam­men mit der Fähig­keit Daten­dienste) an einen Ser­ver über­tra­gen. Da es aller­dings nicht mög­lich ist, den Besit­zer eines Tele­fons zu iden­ti­fi­zie­ren (siehe auch Iden­ti­tät des Eigen­tü­mers), kann ich mir nicht vor­stel­len, dass diese Infor­ma­tio­nen irgend­wie „sinn­voll“ ver­wen­det wer­den könnten.

Kon­takte

Diese Fähig­keit erlaubt einer App lesen­den Zugriff auf die Kon­takte des Handy-Besitzers.

Tech­ni­scher Name ID_CAP_CONTACTS
Spy-Faktor hoch
Begrün­dung Eine App mit die­ser Fähig­keit könnte (zusam­men mit der Fähig­keit Daten­dienste) die Kon­takte des Besit­zers an einen Ser­ver über­tra­gen. Damit könn­ten die Kon­takte z.B. mit Spam-Emails beläs­tigt wer­den oder sogar ange­ru­fen wer­den, obwohl die Per­so­nen selbst ihre Daten nie wei­ter­ge­ge­ben haben.

Iden­ti­tät des Handys

Mit die­ser Fähig­keit kann eine App eine ein­deu­tige ID des Geräts ermit­teln. Sie wird häu­fig im Zusam­men­hang mit Push-Notifications ver­wen­det, da ein Gerät hierbei ein­deu­tig ange­spro­chen wer­den muss.

Wei­ter­hin ist es mit die­ser Fähig­keit mög­lich, gewisse Eigen­schaf­ten des Geräts (z.B. Größe des Haupt­spei­chers, Name des Modells, usw.) herauszufinden.

Tech­ni­scher Name ID_CAP_IDENTITY_DEVICE
Spy-Faktor nied­rig
Begrün­dung Die Pri­vat­spähre des Handy-Besitzers ist am ehes­ten betrof­fen, wenn eine App das Modell des Han­dys ermit­telt. Da keine Rück­schlüsse auf den Besit­zer mög­lich sind, wüsste ich aber nicht, wieso ich mich als Anwen­der einer App dadurch beein­träch­tigt füh­len sollte. Neben­bei: …i’m a WP7 ist ein Bei­spiel für eine App, wel­che Sta­tis­ti­ken über Geräte ent­hält, auf denen die App instal­liert ist.

Iden­ti­tät des Eigentümers

Der Name für diese Fähig­keit ist lei­der sehr unglück­lich gewählt und muss Miss­trauen pro­vo­zie­ren. Die Fähig­keit erlaubt einer App, die Win­dows Live Anony­mous ID des Handy-Besitzers abzu­fra­gen. Die ID ist ein­deu­tig für einen Win­dows Live Account (d.h. würde man ein neues Handy kau­fen, dort aber den „alten“ Win­dows Live Account ver­wen­den, so wäre die Win­dows Live Anony­mous ID dieselbe). Auch wenn der Name der Fähig­keit ande­res sug­ge­riert: die Win­dows Live Anonymous ID erlaubt keine (!) Rück­schlüsse auf den Account-Besitzer. Auch wenn eine App die Fähig­keit Iden­ti­tät des Eigen­tü­mers ver­wen­det, kann sie nicht des­sen Namen oder sons­tige Infor­ma­tio­nen über ihn erfahren.

Diese Fähig­keit wird öfter im Zusam­men­hang mit Trial-Versionen ver­wen­det: Ange­nom­men, das Trial würde in einer 10-tägigen Test­phase beste­hen. Ein fin­di­ger Benut­zer könnte ver­sucht sein, die Anwen­dung nach 10 Tagen zu dein­stal­lie­ren und neu zu instal­lie­ren um die Anwen­dung wei­tere 10 Tage kos­ten­los zu ver­we­den. Durch Über­prü­fung der Win­dows Live Anony­mous ID zu Beginn der Test­phase kann in der App sicher­ge­stellt wer­den, dass der Anwen­der die Test­phase nicht bereits in Anspruch genom­men hat.

Tech­ni­scher Name ID_CAP_IDENTITY_USER
Spy-Faktor nied­rig
Begrün­dung Der Name der Fähig­keit klingt zunächst bedroh­lich. Tat­säch­lich ist sie ziem­lich harm­los. Das „Schlimmste“, was ich mir im Zusam­men­hang mit die­ser Fähig­keit vor­stel­len kann, ist, dass ein Ent­wick­ler Quer­be­züge in den Sta­tis­ti­ken zur Ver­wen­dung sei­ner Apps her­stel­len kann. Er könnte bei­spiels­weise erken­nen, dass 50% der Anwen­der von App A auch die App B verwenden.

Kamera

Diese Fähig­keit erlaubt einer Anwen­dung Zugriff auf die Kamera (mit ID_CAP_ISV_CAMERA) und/oder auf die Front­ka­mera (mit ID_HW_FRONTCAMERA). Die Zugriffe auf die Kamera und auf die Front­ka­mera wir­d getrennt im Store aus­ge­wie­sen — hei­ßen jedoch beide Kamera. Aus die­sem Grund sieht man bei vie­len Anwen­dun­gen die Fähig­keit Kamera schein­bar doppelt.

Tech­ni­scher Name ID_CAP_ISV_CAMERA und/oder ID_HW_FRONTCAMERA
Spy-Faktor nied­rig
Begrün­dung Zunächst wollte ich diese Fähig­keit mit einem hohen Risiko für die Pri­vat­sphäre des Benut­zers bewer­ten, denn es müsste mög­lich sein, eine Anwen­dung zu bauen, wel­che ohne das Wis­sen des Anwen­ders Auf­nah­men mit der Kamera macht und diese an einen Ser­ver sen­det. Ich schätze das Risiko trotz­dem gering ein, denn:
  • Eine Anwen­dung, wel­che ohne erkenn­ba­ren Grund Zugriff auf die Kamera benö­tigt, wird von Anwen­dern wohl kaum akzep­tiert werden.
  • Auf­nah­men mit der Kamera sind nur mög­lich, wenn die App läuft. Es ist nicht mög­lich, aus einem Hintergrund-Task auf die Kamera zuzu­grei­fen. Ein „Lausch­an­griff“ ist daher nicht mög­lich, da der Lau­scher der Will­kür des Benut­zers aus­ge­lie­fert ist. Er ist dar­auf ange­wie­sen, dass der Benut­zer die App von sich aus startet.

Ortungs­dienste

Diese Fähig­keit erlaubt einer Anwen­dung den Zugriff auf die GPS-Koordinaten des Geräts.

Sie ist inso­fern eine Beson­der­heit, als dass laut Vor­ga­ben von Micro­soft der Zugriff auf den Stand­ort in einer App immer noch optio­nal sein muss. Auch wenn man bei Instal­la­tion einer App mit die­ser Fähig­keit bereits dem Zugriff auf den Stand­ort zustimmt, muss die Zustim­mung in der App noch ein­mal erfol­gen und man muss die Mög­lich­keit haben, seine Zustim­mung zu widerrufen.

Zudem muss jede Anwen­dung mit die­ser Fähig­keit genau ange­ben, wie die Stand­ort­da­ten von der App ver­wen­det werden.

Viele Apps mit Wer­be­ban­nern haben diese Fähig­keit, obwohl die Stand­ort­da­ten für die eigent­li­che Funk­tion der App (z.B. für ein Spiel) nicht erfor­der­lich wären. Die Wer­be­ban­ner ver­wen­den die Stand­ort­da­ten, um — falls mög­lich — für die Region rele­vante Wer­bung anzuzeigen.

Tech­ni­scher Name ID_CAP_LOCATION
Spy-Faktor mit­tel
Begrün­dung Der eigene Stand­ort ist natür­lich eine sehr sen­si­ble Infor­ma­tion. Dem­ent­spre­chend hart sind die Vor­ga­ben von Micro­soft für Apps, wel­che diese Fähig­keit ver­wen­den. Jeder Benut­zer hat in einer ent­spre­chen­den App die Mög­lich­keit, den Zugriff auf den Stand­ort zu deak­ti­vie­ren und die App sollte (zumin­dest wenn sie ver­nünf­tig gemacht ist) wei­ter funk­tio­nie­ren. Ich halte diese Vor­ga­ben für aus­rei­chend, wes­halb diese Fähig­keit nach mei­nem Dafür­hal­ten kein hohes Risiko für die Pri­vat­sphäre darstellt.

Musik– und Videobibliothek

Diese Fähig­keit erlaubt einer App lesen­den und schrei­ben­den Zugriff auf die Musik, Play­lists, Videos und Bil­der des Benutzers.

Alle Apps, die Wer­be­ban­ner beinhal­ten, benö­ti­gen diese Fähig­keit. Es gibt — zumin­dest theo­re­tisch — Wer­be­ban­ner, die es dem Benut­zer erlau­ben, einen Gut­schein­code in der Bild­bi­blio­thek abzu­le­gen (siehe hier). Bei 99% die­ser Anwen­dun­gen bin ich mir sicher, dass die App selbst den Zugriff auf Musik– und Videob­i­blio­thek nicht benö­ti­gen würde. Mir per­sön­lich wäre es mehr als Recht, wenn die Wer­be­ban­ner auf die „Gutscheincode-Möglichkeit“ ver­zich­ten wür­den und diese Fähig­keit dadurch nicht auto­ma­tisch in jede Anwen­dung mit Wer­bung käme.

Tech­ni­scher Name ID_CAP_MEDIALIB
Spy-Faktor hoch
Begrün­dung Eine Anwen­dung mit die­ser Fähig­keit könnte unbe­merkt im Handy gespei­cherte Bil­der, Videos und Musik aus­le­sen und an einen Ser­ver über­tra­gen. Da in einem Handy typi­scher­weise viele pri­vate Fotos gespei­chert sind, wäre damit ein erheb­li­cher Ein­griff in die Pri­vat­sphäre des Benut­zers möglich.Zudem kann eine App unge­fragt z.B. Bil­der und Musik im Bil­der– bzw. Musik-Hub ablegen.

Mikro­fon

Diese Fähig­keit erlaubt einer App Zugriff auf das Mikro­fon des Telefons.

Tech­ni­scher Name ID_CAP_MICROPHONE
Spy-Faktor nied­rig
Begrün­dung Meine Begrün­dung für eine nied­rige Ein­stu­fung des Risi­kos für die Pri­vat­sphäre ist die selbe wie bei der Fähig­keit Kamera.

Daten­dienste

Anwen­dun­gen, die eine Inter­net­ver­bin­dung benö­ti­gen (also fast alle), brau­chen diese Fähigkeit.

Da die Inter­net­ver­bin­dung für eine App die Tür raus aus dem Handy dar­stellt, würde ich behaup­ten, dass von einer Anwen­dung, wel­che keine Daten­dienste ver­wen­det, prin­zi­pi­ell kein Risiko für die Pri­vat­sphäre des Benut­zers aus­ge­hen kann.

Tech­ni­scher Name ID_CAP_NETWORKING
Spy-Faktor nied­rig
Begrün­dung Ver­wen­det eine App die Daten­dienste, stellt das für sich genom­men kein Risiko für den Anwen­der und seine Pri­vat­sphäre dar. Ent­schei­dend ist, was die Anwen­dung über die Daten­ver­bin­dung poten­zi­ell schi­cken kann und das hängt von den wei­te­ren Fähig­kei­ten (z.B. Kon­takte oder Kalen­der) ab. Ver­wen­det eine App keine wei­tere „kri­ti­sche“ Fähig­keit, ist auch die Ver­wen­dung der Daten­ver­bin­dung unkri­tisch und belas­tet schlimmms­ten­falls die Handyrechnung.

Push-Benachrichtigungsdienst

Diese Fähig­keit zeigt an, dass die App Push-Benachrichtigungen ver­wen­det. Das kön­nen z.B. Aktua­li­sie­run­gen des Live Tiles oder Toast-Notifications (der kleine Bal­ken oben im Handy — so wie bei einer SMS) sein.

Tech­ni­scher Name ID_CAP_PUSH_NOTIFICATION
Spy-Faktor nied­rig
Begrün­dung Von Push-Benachrichtigungen gehen mei­ner Mei­nung nach keine Risi­ken für die Pri­vat­sphäre des Benut­zers aus. Im schlimms­ten Fall könnte eine App diese Funk­tion miss­brau­chen, um Benut­zer mit unge­wünsch­ten Benach­rich­ti­gun­gen zu belästigen.

Bewe­gungs– und Richtungssensor

Diese Fähig­keit brau­chen alle Anwen­dun­gen, die auf die ein­ge­bau­ten Sen­so­ren des Tele­fons (z.B. Gyro­skop oder Kom­pass) zugreifen.

Tech­ni­scher Name ID_CAP_SENSORS
Spy-Faktor nied­rig
Begrün­dung Mir fällt spon­tan nichts ein, wie ein „Übel­tä­ter“ diese Fähig­keit zum Nach­teil des Benut­zers ver­wen­den könnte.

Xbox LIVE

Diese Fähig­keit zeigt an, dass eine App die Xbox LIVE Dienste verwendet.

Tech­ni­scher Name ID_CAP_GAMERSERVICES
Spy-Faktor nied­rig
Begrün­dung Xbox LIVE sam­melt Daten über die Spie­ler und zeigt diese im Pro­fil eines Spie­lers an. Von einem befreun­de­ten Xbox LIVE Spie­ler kann man bei­spiels­weise erken­nen, wel­che Spiele er zuletzt gespielt hat. Davon ist die Pri­vat­sphäre des Spie­lers betrof­fen. Aller­dings ist die zen­trale Samm­lung der Daten über Spiele ja genau der Sinn von Xbox LIVE, wes­we­gen ich den Spy-Faktor für nied­rig halte.

Nicht im Store aus­ge­wie­sene Fähigkeiten

Neben den oben beschrie­be­nen Fähig­kei­ten gibt es noch einige, die nicht im Store aus­ge­wie­sen wer­den. Diese sind:

ID_CAP_CAMERA

Diese Fähig­keit wird nur von Netz­be­trei­bern und von Handy-Herstellern ver­wen­det. Sie zeigt an, dass eine spe­zi­elle App des Netz­be­trei­bers oder des Handy-Herstellers die Kamera ver­wen­det (zumin­dest ver­stehe ich das so).

ID_CAP_PHONEDIALER

Diese Fähig­keit zeigt an, dass eine App den Benut­zer zur Täti­gung eines Tele­fon­an­rufs auf­for­dern kann. Da eine App nicht „heim­lich“ einen Tele­fon­an­ruf star­ten kann (der Benut­zer wird immer gefragt, ob er eine Num­mer anru­fen möchte), wird diese Fähig­keit nicht im Store angezeigt.

ID_CAP_WEBBROWSERCOMPONENT

Diese Fähig­keit gibt an, dass die App die ein­ge­bet­tete Browser-Komponente ver­wen­det. Diese Fähig­keit wird nicht im Store ausgewiesen.

WParea.de App

Die WParea.de App besitzt, wie viele Nutzer sicher schon gemerkt haben, auch einige Rechte. Es folgt deshalb eine kurze Übersicht über die Berechtigungen in Verbindung mit einer kurzen Erklärung:

  • Identität des Handys – Wird benötigt, um die Anzahl verschiedener Nutzer zu erfassen.
  • Foto-, Musik- und Videobibliotheken – Dient dem Speichern von Artikelbildern in der Medienbibliothek des Nutzers.
  • Datendienste – Ohne Datendienste ließen sich keine Artikel abrufen.
  • Push-Benachrichtigungsdienst – Benachrichtigungen über Artikel setzen dies voraus.
  • Bewegungs- und Richtungssensor – Wird für das Aktualisieren durch das Schütteln und für das Lesen im Landscape-Modus benötigt.
About author

Ich liebe Windows Phone und entwickle Apps dafür.
Related posts
News

Windows 11 Startmenü bekommt neue Funktionen und Layouts

News

Microsoft veröffentlicht Reparatur-Tool für Crowdstrike-Bluescreen

News

Microsoft: EU Kommission ist Schuld am Crowdstrike-Debakel

News

Xbox Marketing-Chef für EMEA: Müssen um Finazierung kämpfen

0 0 votes
Wie findest du diesen Artikel?
Subscribe
Benachrichtige mich zu:
guest

70 Kommentare
neuste
älteste beste Bewertung
Inline Feedbacks
View all comments