Wenn jeder alle Apps auf Ihrem Handy kennen würde

 (peabee.substack.com)
2 Punkte von GN⁺ 2025-03-30 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Bis vor einigen Jahren konnten Android-Apps ohne Zustimmung der Nutzer die komplette Liste aller installierten Apps einsehen
  • Mit Android 11 (seit 2022 angewendet) führte Google eine Paket-Sichtbarkeitsrichtlinie ein, die den Zugriff von App-Entwicklern auf die Liste installierter Apps einschränkt
  • Ausnahmsweise können Apps, bei denen bestimmte Kernfunktionen entscheidend sind, etwa Dateimanager, Browser oder Antivirus-Apps, die Berechtigung QUERY_ALL_PACKAGES anfordern und damit die vollständige App-Liste einsehen
  • Entwickler müssen in der AndroidManifest.xml die Liste der Apps angeben, die sie prüfen möchten

Wie indische Apps die Liste installierter Apps verwenden

  • Der Autor des Beitrags installierte verschiedene indische Apps auf einem Zweit-Android-Smartphone und analysierte die Datei AndroidManifest.xml
  • Die meisten Apps prüfen nur nachvollziehbare Apps, etwa UPI-Zahlungs-Apps, die für ihre Funktion erforderlich sind
  • Einige Apps nennen jedoch sehr viele Apps und sammeln damit übermäßig viele Informationen

Die App-Abfrageliste von Swiggy

  • Swiggy führt ganze 154 App-Paketnamen auf
  • Darunter sind sogar Apps ohne Bezug zur Essenslieferung wie Xbox, Playstation, Naukri und Upstox
  • Das deutet stark auf User-Profiling auf Basis von Verhaltensdaten der Kunden hin
  • Laut Googles Richtlinie wird die Liste installierter Apps als sensible persönliche Daten eingestuft

Die App-Abfrageliste von Zepto

  • Zepto nennt mit 165 Apps noch mehr als Swiggy
  • Enthalten sind populäre Apps aus nahezu allen Kategorien wie Netflix, Bumble und Binance
  • Von Zepto ist bekannt, dass iOS- und Android-Nutzern unterschiedliche Preise angezeigt werden
  • Mit diesen Informationen ließen sich auch innerhalb der Android-Nutzer differenzierte Preise anzeigen

App-Abfragen in Rider-Apps

  • Auch die Lieferfahrer-Apps von Swiggy und Zepto fragen separate App-Listen ab
  • Zepto prüft dabei in etwa nur Apps konkurrierender Lieferdienste
  • Swiggy geht weiter und prüft zudem persönliche Finanz-Apps, Kredit-Apps und sogar Spiele-Apps wie Ludo King
  • Das entspricht einer Datensammlung, die bis zur Überwachung der Freizeitaktivitäten von Lieferfahrern reicht

Exzessive App-Abfragen bei Kredit-Apps

  • Kreditbee (50 Mio.+ Downloads): prüft 860 Apps
  • Moneyview (50 Mio.+ Downloads): prüft 944 Apps (die vollständige Liste siehe GitHub-Link)
  • Enthalten sind Kalender-, Astrologie-, Glaubens-, Partnervermittlungs- und Agrar-Apps sowie Apps aus vielen weiteren Lebensbereichen
  • Um Googles Verbot von QUERY_ALL_PACKAGES zu umgehen, werden die Apps einzeln aufgelistet

Ausnahmefall bei Creds Berechtigungen

  • Cred ist die einzige App, die die Berechtigung QUERY_ALL_PACKAGES verwendet
  • Google erlaubt dies vorübergehend, wenn Finanztransaktionen eine Kernfunktion sind
  • Andere Finanz-Apps wie PhonePe oder Paytm nutzen diese Berechtigung jedoch nicht
  • Da Cred auch Kreditdienste anbietet, könnte dies gegen die Richtlinie verstoßen

Umgehungsmethode über den Filter ACTION_MAIN

  • Einige Apps können mit dem Intent-Filter ACTION_MAIN alle Apps mit Benutzeroberfläche identifizieren
  • Auf diese Weise lässt sich die Liste installierter Apps indirekt auch ohne die Berechtigung QUERY_ALL_PACKAGES erfassen
  • Ein Test mit einer eigens erstellten App zeigte, dass sich so die komplette App-Liste abrufen ließ
  • Der Play Store müsste das unterbinden, in der Praxis ist die Kontrolle jedoch locker

Liste der Apps, die den Filter verwenden

  • Apps, die Filter zum Prüfen installierter Apps verwenden:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • Apps, die den Filter nicht verwenden:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy verwendet sowohl den Filter als auch die direkte Deklaration, was die Datensammlung eher transparenter macht

Auch globale Apps nutzen Filter unterschiedlich

  • Verwenden den Filter: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • Verwenden den Filter nicht: Amazon, Spotify, X(Twitter), Discord, WhatsApp

Wie sensibel Installationsdaten von Apps sind

  • 2022 berichtete Vice über Fälle, in denen US-Datenbroker Informationen über installierte Zyklus-Tracking-Apps handelten
  • Die Liste installierter Apps kann damit sensible Informationen wie persönliche Überzeugungen, Gesundheit oder finanzielle Lage offenlegen

Beispiel für Zeptos Nutzung der SMS-Berechtigung

  • Zepto verlangt die Berechtigung READ_SMS
  • Sie ist für die Funktion Zepto Postpaid erforderlich, tatsächlich kann die App aber SMS auch lesen, ohne dass Nutzer dies auswählen
  • Selbst Nachrichten von Blinkit, Swiggy und Flipkart werden damit Teil der Analyse

Fazit

  • Die meisten Apps funktionieren im normalen Rahmen, ohne übermäßige Berechtigungen anzufordern
  • Einige Apps sammeln jedoch mithilfe von Umgehungstechniken und exzessiv langen Paketlisten Daten über die installierten Apps der Nutzer
  • Nutzer sollten sich bewusst sein, dass solche Informationen bei der App-Installation leicht offengelegt werden können
  • Diese Daten werden letztlich über Datenbroker verkauft und könnten künftig für Preisdiskriminierung oder Werbe-Targeting genutzt werden

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.