1 Punkte von GN⁺ 2025-05-15 | 4 Kommentare | Auf WhatsApp teilen
  • Nachdem Datei-Uploads in Nextcloud für Android eingeschränkt worden waren, bot Google am 15. Mai die Wiederherstellung der Berechtigung für vollständige Datei-Uploads an; Nextcloud bereitet nun ein Test-Release und ein Wiederherstellungs-Update vor
  • Die über den Google Play Store vertriebene Version ist bei den Lese- und Schreibrechten für alle Dateitypen blockiert, sodass nur noch bestimmte Medien wie Fotos und Videos hochgeladen werden können
  • Laut Nextcloud wurde diese Berechtigung 2011 erteilt, und die Funktion wird seit 2016 angeboten; mit der Ablehnung eines App-Updates im September 2024 wurde jedoch die Nutzung von SAF und MediaStore API verlangt
  • Nextcloud sieht SAF als Mechanismus zum Teilen und Offenlegen von Dateien zwischen Apps, während die MediaStore API nur Mediendateien behandelt; beides sei daher schwer als Ersatz für eine vollständige Dateisynchronisierung geeignet
  • Rund eine Million Nutzer der Google-Play-Store-Version waren betroffen; die F-Droid-Version bietet eine neue Version mit beibehaltener Berechtigung, wodurch sich das Problem auf die Distributionsrichtlinien des Google Play Store konzentriert

Vorschlag zur Wiederherstellung der Berechtigung am 15. Mai

  • Google kontaktierte Nextcloud am Vormittag des 15. Mai und bot eine Wiederherstellung der Berechtigung an, damit Nutzer die verschwundene Funktion zurückerhalten können
  • Nextcloud bereitet zunächst ein Test-Release vor; sofern keine Probleme auftreten, könnte ein finales Update mit wiederhergestelltem vollem Funktionsumfang frühestens Anfang nächster Woche verteilt werden
  • Der Hinweis zu diesem Update wurde am 15. Mai um 14:50 Uhr CET ergänzt

Auswirkungen der Android-Beschränkung für Datei-Uploads

  • Über mehrere Monate hinweg funktionierten Datei-Uploads von Android-Nutzern in Nextcloud nicht wie erwartet
  • Hochgeladen werden konnten nur bestimmte Mediendateien wie Fotos und Videos
  • Da andere Dateitypen nicht hochgeladen werden konnten, wurde der Zweck der Dateisynchronisierung der Nextcloud-Files-App erheblich beeinträchtigt
  • Nutzerbeschwerden erschienen in mehreren Kanälen, darunter im Nextcloud help forum, auf GitHub, Reddit und im ComputerBase-Forum

Ablauf der Berechtigungsänderung im Google Play Store

  • Die Lese- und Schreibberechtigung für alle Dateitypen in der Nextcloud-Files-App wurde 2011 erteilt
  • Im September 2024 wurde ein Update der Nextcloud-Android-App plötzlich abgelehnt
  • Google verlangte, den Zugriff auf alle Dateien zu entfernen oder als datenschutzfreundlichere Alternativen das Storage Access Framework(SAF) oder die MediaStore API zu verwenden
  • Nextcloud kam zu dem Schluss, dass die beiden Alternativen die vollständige Datei-Upload-Funktion nicht ersetzen können
    • SAF diene dazu, Nextcloud-Dateien mit anderen Apps zu teilen oder sie diesen zugänglich zu machen; die Forderung beruhe daher aus Nextclouds Sicht auf einem falschen Verständnis des App-Workflows
    • Die MediaStore API kann nur auf Mediendateien zugreifen und daher andere Dateitypen nicht behandeln
  • Nextcloud gibt an, seit Mitte 2024 mehrfach Einspruch eingelegt und zusätzliche Hintergründe geteilt zu haben, Google habe die Wiederherstellung der Berechtigung jedoch nicht akzeptiert
  • Da Bugfix-Updates für Nutzer und Kunden bereitgestellt werden mussten, veröffentlichte Nextcloud ein Update mit eingeschränkter Upload-Funktion, das Googles neuen Anforderungen entsprach

Unterschied zwischen F-Droid und Google Play Store

  • Die Android-App selbst funktioniert mit dieser Berechtigung weiterhin
  • Nextcloud veröffentlichte eine neue Version im externen App-Store F-Droid
  • Die Funktionseinschränkung betrifft die Version aus dem Google Play Store
  • Technikaffine Nutzer können alternative App-Stores wie F-Droid verwenden, doch für rund eine Million App-Store-Nutzer sei das nach Einschätzung von Nextcloud kaum eine realistische Option

Nextclouds Kritik an Google

  • Google führte Sicherheitsbedenken als Grund für den Entzug der Berechtigung an
  • Nextcloud erklärt, die Funktion seit ihrem Start 2016 anzubieten und in dieser Zeit von Google nie Sicherheitsbedenken gehört zu haben
  • Nach Ansicht von Nextcloud verfügen mehrere Big-Tech-Apps sowie Googles eigene Apps weiterhin über diese Funktion
  • Nextcloud kritisiert, Google könne als Eigentümer der Plattform sich selbst bevorzugt behandeln und tue dies auch tatsächlich
  • Nextcloud sieht den Vorgang nicht als kleines technisches Detail, sondern als Beispiel für Gatekeeping, das die Funktionen konkurrierender Produkte kleiner Softwareanbieter schwächt

Größeres wettbewerbspolitisches Problem

  • Nextcloud verweist auf frühere Fälle, in denen Microsoft bestimmte Windows-Funktionen blockiert habe, um die Nutzererfahrung von WordPerfect zu verschlechtern, und argumentiert, Google erschwere heute unter dem Deckmantel der Sicherheit den Aufbau konkurrierender Produkte
  • Für kleine Unternehmen seien rechtliche Schritte teuer, und Beschwerden bei der EU dauerten lange; faktisch gebe es daher kaum wirksame Rechtsmittel
  • Nextcloud gibt an, 2021 gemeinsam mit rund 40 Unternehmen und Organisationen Beschwerde gegen ähnliche wettbewerbswidrige Praktiken eingereicht zu haben, doch auch vier Jahre später sei nichts geschehen
  • Der Digital Markets Act der EU gilt seit Mai 2023, die ersten Bußgelder gegen Meta und Apple wurden jedoch erst im April 2025 angekündigt
  • Nextcloud kritisiert die Bußgelder von jeweils 200 Mio. Euro gegen Meta und 500 Mio. Euro gegen Apple als niedrig im Vergleich zu Sanktionen von bis zu 10 % des weltweiten Jahresumsatzes; für Big-Tech-Unternehmen seien sie kaum mehr als ein leichter Klaps auf die Finger

4 Kommentare

 
ndrgrd 2025-05-15

Berechtigungen sollen letztlich vom Nutzer nach eigenem Ermessen gewährt werden, aber dann ein Berechtigungssystem einzuführen und die nötigen Berechtigungen zu blockieren, ist schon … haha..

 
GN⁺ 2025-05-15
Hacker-News-Kommentare
  • Aus Sicht von Nextcloud ist der Schmerz nachvollziehbar. Auch das Team von Everfind (vereinheitlichte Suche über Drive, OneDrive, Dropbox usw.) kämpft seit dem vergangenen Jahr darum, den Scope drive.readonly zu bekommen, um Dateien herunterzuladen, OCR darüber laufen zu lassen und einen Volltext-Suchindex für Nutzer zu erstellen.
    Google besteht weiterhin darauf, dass man mit drive.file + drive.metadata.readonly auskommen soll; diese Kombination macht jedoch die fortlaufende Erkennung kaputt und verschlechtert die Suchergebnisse für neue oder aktualisierte Dokumente erheblich. Unterm Strich klingt Googles Rhetorik der „minimalen Berechtigungen“ plausibel, in der Praxis aber erhalten die First-Party-Apps von Big Tech privilegierten Zugriff, während unabhängige Anbieter entweder ein nur halb funktionierendes Produkt ausliefern oder aus dem Play Store fliegen. Am Ende verlieren Nutzer Funktionen und Wahlmöglichkeiten, und kleine Entwickler verbrennen ihre Zeit in endlosen Auseinandersetzungen mit Copy-and-paste-Policy-Bots.

    • Aus Nutzersicht sollte diese Entscheidung bei mir liegen, nicht bei Google. Allerdings kommt Apple damit gefühlt viel leichter durch, vielleicht weil seine Kunden im Allgemeinen stärker dazu neigen, sich „vor sich selbst retten“ lassen zu wollen.
    • Es geht vermutlich weniger darum, Googles First-Party-Apps privilegierten Zugriff zu geben, sondern eher darum, dass dieses Team die Zuweisung von Engineering-Aufwand als sehr niedrige Priorität einstuft.
      Ich habe einige Jahre als PM bei Google Workspace gearbeitet; es ist weniger böswillig, als es von außen wirkt. Entscheidungen werden auf Umsatz optimiert, und andere Funktionen, insbesondere Funktionen für Unternehmenskunden, bekommen eine deutlich höhere Priorität. Seit etwa 2012 fokussiert sich fast jedes Unternehmen auf Unternehmensumsätze, und die Zufriedenheit der Endnutzer zahlt dafür den Preis.
    • Das klingt genau nach einer Situation, für die Kartellrecht gedacht ist.
    • Es scheint Zeit für eine weitere Kartellklage zu sein. Immerhin sitzt Nextcloud in Europa, und Europa hat in letzter Zeit in einigen Fällen Bereitschaft gezeigt, sich mit den Tech-Giganten anzulegen.
    • Vielleicht könnte man Funktionen, die in Google-Builds Probleme verursachen, dort per Funktionsbeschränkung blockieren und sie in anderen Vertriebskanälen anbieten. Persönlich installiere ich Apps bevorzugt über F-Droid statt über den Play Store.
  • Ich bin AOSP-Plattformentwickler, und meine Aussagen zum Dateisystem sind persönliche Meinungen und vertreten nicht Google.
    Ich nutze Nextcloud nicht und habe mir die App auch nicht im Detail angesehen, aber aus einer Perspektive mit etwas Einblick in die internen Abläufe scheint SAF für diesen Use Case funktionieren zu können, wie andere bereits gesagt haben. Google Drive hat nicht die Berechtigung, von der Nextcloud behauptet, Google gewähre sie als Sonderbehandlung, und wird wie die Nextcloud-App über den Play Store verteilt. Berechtigungen wie MANAGE_EXTERNAL_STORAGE wurden in der Vergangenheit breitflächig und teils auf furchtbare Weise missbraucht.

    • SAF ist keine Option. Es ist schrecklich langsam[1][2][3][4][5] und kann für eine ernsthafte Cloud-Sync-App absolut nicht verwendet werden.
      Laut dem Auszug aus [1] nutzt jede Datei-I/O-Operation in SAF IPC-Aufrufe und dauert daher etwa 20–30 ms. Wenn viele Dateioperationen anfallen, etwa um zu prüfen, ob viele Dateien auf dem Datenträger vorhanden sind, und sie sonst zu erstellen, ist das so langsam, dass selbst Googles Beispiele Tricks verwenden, um schneller zu werden. Im Beispiel aus [3] dauerte es mit SAF 15 Sekunden, mit dem nativen ls 6 Millisekunden, und es waren nur 128 Dateien.
      [1] https://github.com/K1rakishou/Fuck-Storage-Access-Framework#...
      [2] https://www.reddit.com/r/androiddev/comments/ga5u72/saf_is_s...
      [3] https://issuetracker.google.com/issues/73044953#comment5
      [4] https://magicbox.imejl.sk/forums/topic/storage-access-framew...
      [5] https://issuetracker.google.com/issues/130261278#comment52
    • Es beunruhigt mich, dass in diesem Thread nicht ausreichend berücksichtigt wird, wie furchtbar Berechtigungen wie MANAGE_EXTERNAL_STORAGE in der Vergangenheit missbraucht wurden.
      Die Menge an Daten, die man mit solchen Berechtigungen von einem Gerät abziehen kann, ist potenziell enorm; es geht nicht einfach nur darum, „Nutzer vor sich selbst zu schützen“. Ich glaube nicht, dass ich mich dabei sicher fühlen würde, diese Berechtigung für irgendeine App zu aktivieren. Eine Funktion, die die gesamten Gerätedaten synchronisiert, ist zwar nützlich, aber aus Googles Sicht ist das eine Situation, in der man so oder so kritisiert wird.
    • Mit „furchtbarer Weise“ sind wohl Kredithaie-Apps gemeint, oder gibt es noch Schlimmeres, von dem ich nichts weiß?
      Im Grunde handelt es sich um Ransomware, die Leute „freiwillig“ installieren, um räuberische Kredite zu bekommen, wobei viele nicht wissen, wie sie tatsächlich funktioniert. Wenn man das Geld nicht zurückzahlt, sperren sie nicht nur das Handy, sondern nutzen die vom Telefon abgegriffenen Daten, um Bekannten damit zu drohen, Nacktfotos zu verschicken, oder sie drohen Familienmitgliedern, die sie aus den Daten ermitteln, sogar mit Mord — https://www.welivesecurity.com/en/eset-research/beware-preda...
    • Ich verstehe, dass man sehr vorsichtig sein muss, wenn man einer neuen App diese Berechtigung gibt, aber NextCloud ist eine bekannte App und außerdem eine Dateiverwaltungs-App. Gerade so eine App sollte diese Berechtigung haben.
      Wenn der Plan ist, sie vollständig schrittweise abzuschaffen, müssen die Alternativen gut genug sein, aber nach einigen Unterkommentaren sieht es nicht danach aus. Ich habe nie Android-Entwicklung gemacht und werde es wegen solcher Dinge vermutlich auch in Zukunft nicht tun, daher kann ich das nur schwer richtig beurteilen. Soweit ich es verstehe, ist die Google-Drive-App eher eine UI über Cloud-Speicher, und interessante Teile wie Backup laufen nicht über diese App. Google Drive wird in diesem Bereich bevorzugt behandelt, und um solche Funktionen nachzubilden, braucht man zusätzliche Berechtigungen.
    • Drive selbst hat möglicherweise nicht die Berechtigung, die Nextcloud möchte, aber das von Google kontrollierte Gesamtsystem hat diesen Zugriff ganz sicher[0].
      [0]: https://support.google.com/googleone/answer/9149304?hl=en&co...
  • Auch die offizielle SyncThing-Android-App wurde genau deshalb eingestellt. Es gibt zwar einen Fork, aber meines Wissens nicht im Play Store.

    • Das Problem der SyncThing-Android-App ist, dass sie im Wesentlichen ein Wrapper um die Go-Bibliothek SyncThing ist, und SAF keinen einfachen File Descriptor liefert, den nativer Code direkt verwenden kann.
      Stattdessen bekommt man eine content://-URL, und um diese in einen File Descriptor umzuwandeln, braucht es eine Java/Kotlin-Bridge. Diese Arbeit müsste in SyncThing selbst passieren. Allerdings scheint syncthing-fork es irgendwie zum Laufen gebracht zu haben, also gibt es vielleicht noch andere Tricks. Soweit ich weiß, dürfte dieses Problem aber nicht auf die NextCloud-App zutreffen.
    • Der Fork ist im Play Store und funktioniert unter Android 15 gut: https://play.google.com/store/apps/details?id=com.github.cat...
      Trotzdem war es etwas überraschend, dass der offizielle Client plötzlich verschwunden ist.
  • Die Aussage „SAF ist dazu da, unsere Dateien mit anderen Apps zu teilen bzw. sie ihnen offenzulegen, deshalb können wir es nicht verwenden“ stimmt so nicht. SAF kann verwendet werden
    Es gibt Gründe, warum es nicht gut zu Nextcloud passt. Zum Beispiel können der gesamte interne Speicher, der Downloads-Ordner und das Root-Verzeichnis einer SD-Karte nicht geteilt werden. Trotzdem ist Nextclouds Begründung an sich schwer nachzuvollziehen.

    • Völlig richtig. Siehe zum Beispiel diese Dokumentation:
      https://developer.android.com/training/data-storage/shared/d...
      Das wurde auch gestern schon diskutiert: https://news.ycombinator.com/item?id=43970959
    • Der Kern dieser App ist das Backup ganzer Ordner. Das Teilen aus einer einzelnen App heraus mit Nextcloud gibt keinen Zugriff, um spätere Versionen der Dateien weiter zu sichern.
    • Was ich überprüfen möchte, ist, ob Google-Software insgesamt exakt dieselbe Berechtigungsstruktur verwendet.
      Zum Beispiel interessiert mich, ob es unter den Google-Produkten keines gibt, das dieselbe Berechtigung nutzt, die Nextcloud verlangt, und ob sie stattdessen tatsächlich SAF verwenden – insbesondere auch bei Funktionen, die das leisten, was Nextcloud hier tut. Ich möchte sicher wissen, ob Google dieselben Regeln, die es Nextcloud und anderen App-Entwicklern auferlegt, auch selbst genauso einhält.
  • Das ist monopolistisches Verhalten. Wenn Google sich weigert, in die nötige Due Diligence zu investieren, damit andere Unternehmen auf exakt dieselbe Weise wie Google arbeiten können, dann ist Google nicht geeignet, diesen Bereich zu kontrollieren.
    Wenn Aufsicht Kosten verursacht, kann man den Unternehmen eine nominelle Gebühr auferlegen, um den Aufwand zu überwachen. Andere Teilnehmer einfach auszuschließen, ist keine angemessene Reaktion.

  • Google hat Nextcloud kontaktiert und angeboten, die Berechtigung wiederherzustellen. Ich frage mich, ob diese Entscheidung auf technischen Argumenten beruhte oder ob das Kartellverfahren und die Medienberichterstattung überzeugende Faktoren waren.

  • Genau deshalb gibt es den Digital Markets Act der EU, und genau deshalb braucht dieses Gesetz echte Durchsetzungskraft.
    Wenn Google unter Android Nextcloud den vollständigen Dateizugriff sperrt, ihn aber den eigenen Apps und großen Playern stillschweigend erlaubt, dann ist das keine „Sicherheit“, sondern Kontrolle. Nextcloud ist eine europäische, datenschutzorientierte Alternative auf Basis offener Standards und lässt sich vollständig mit den Anforderungen der DSGVO in Einklang bringen. Kernfunktionen zu blockieren und die eigenen Dienste zu bevorzugen, ist ein Lehrbuchbeispiel für den Missbrauch von Plattformmacht. Android sollte offen sein, aber solche Schritte zeigen, dass zumindest die Play-Services-Version ein weiterer Walled Garden ist. Wenn die EU digitale Souveränität und fairen Wettbewerb ernst nimmt, muss sie solches Verhalten unterbinden. Sonst hat europäische Technologie keine Chance, egal wie regelkonform, offen und nutzerfreundlich sie ist.

    • Ich frage mich, welche Apps im Google-Ökosystem die Berechtigung „Alle Dateien“ haben. Google Drive ist es definitiv nicht. Auch der „Upload“-Button von GDrive öffnet wie bei Nextcloud eine Dateiauswahl.
      Die Funktion „nur einen Ordner synchronisieren“ ist mit SAF auch ohne Hochrisiko-Berechtigung möglich. Die Migration bestehender Profile kann umständlich sein, weil Nutzer beim Wechsel auf die neue API die Ordnerberechtigung erneut erteilen müssen. Die Synchronisierung des gesamten virtuellen Speichers, des Downloads-Ordners oder zusätzlicher Ordner, die Anbieter wie Samsung auf eine Blacklist gesetzt haben, ist mit der neuen API nicht möglich – aber auch mit Googles eigenen Diensten nicht. Der DMA verlangt nur, dass Google keine Sonderstellung erhält; solange Google eine solche Funktion nicht anbietet, muss sie auch Nextcloud nicht angeboten werden.
    • Ich vermute, es werden Leute kommen, die einwenden: „Man kann ja AOSP installieren oder APKs einfach sideloaden, also ist das kein Missbrauch einer marktbeherrschenden Stellung.“ Das ist genau dasselbe wie damals bei IE: „Installier halt einen anderen Browser“, oder beim iPhone: „Kauf halt eine andere Marke.“
      In anderen Einreichungen gab es solche Leute schon.
    • Mobile ist eine Betriebssystemplattform zweiter Klasse. Browser oder Betriebssysteme auf dem Desktop lassen sich leicht für Blocking und Filtering konfigurieren.
      Mobile Nutzer sind täglich Pop-ups, Malware und DNS-Hijacking ausgesetzt. Wäre das nicht so, wäre Mobile für Werbetreibende kein Goldzug für Klickerlöse.
    • Es ist ein ziemlich eigenartiger Ansatz, die EU ins Spiel zu bringen, um Google dafür zu bestrafen, dass es verhindert, dass Apps beliebig alle persönlichen Daten lesen können.
      Ohne eine solche Durchsetzung hätten schädliche Spiele und Apps wie Facebook unter dem Vorwand „wir brauchen Vollzugriff“ Fotos hochgeladen und EXIF-Standorte gescannt. Und in der bisherigen Diskussion wurde auch festgestellt, dass es bessere, datenschutzschonende APIs gibt – Nextcloud will sie nur nicht verwenden.
  • Google hat eine Vergangenheit damit, First-Party-only-APIs zu bauen, um den eigenen Android-Apps Vorteile zu verschaffen.
    2014 teilte Google die Drive-App in mehrere separate Android-Apps wie Docs, Sheets usw. auf. Nutzer dazu zu bringen, neue Apps zu installieren und umzusteigen, war eine Hürde, also entwickelte Google ein Ein-Klick-Installationsmodal, das Drive statt der üblichen Weiterleitung in den Play Store verwenden konnte. Das war elegant. Das Unternehmen, bei dem ich damals arbeitete, war ein großer Konkurrent von Drive und wollte aus ähnlichen Gründen einen ähnlichen Ablauf nutzen, weil es einige Kernfunktionen in eigenständige Apps ausgliedern wollte – aber das ging nicht. Google versteckte diese API nicht einmal hinter einer Berechtigung, sondern hinter einer Prüfung der App-Signatur, sodass nur von Google signierte Apps sie verwenden konnten. Das war eine hart codierte Exklusivität ohne Berechtigungsanfrage oder Möglichkeit zum Einspruch. Es gibt legitime Gründe, warum so eine Funktion riskant sein kann und Missbrauch eingedämmt werden muss, aber Google überschreitet häufig die Grenze zwischen Missbrauchsbegrenzung und wettbewerbswidrigem Verhalten.

    • Keine der Google-Apps nutzt die Berechtigung, die Nextcloud haben möchte. Die einzige Ausnahme ist die vorinstallierte Dateimanager-App Files, die aber nicht mit der Cloud integriert ist.
  • Googles altes Motto „Don’t be evil“ war ein Kernbestandteil des unternehmerischen Verhaltenskodex, der ethische und transparente Geschäftspraktiken betonte.
    Seit dieses Motto 2015 entfernt wurde, sind wir in Googles Fänge geraten. Inzwischen ist Google wie Microsoft geworden, und genau deshalb wurde Nextcloud geschaffen.

  • Nach meinem Verständnis sieht die neue API nach einem Schritt in die richtige Richtung aus. So oder so verlangt Google aber letztlich, dass Nextclouds Backup/Synchronisierung stillschweigend kaputtgeht, bis der Nutzer die Berechtigung erteilt.
    Viele Nutzer werden das wahrscheinlich erst bemerken, wenn sie Datenverlust feststellen, und ich denke, das wird Vertrauen und Marke erheblich beschädigen. In diesem Fall, in dem die Folgen fast vollständig auf die Nutzer abgewälzt werden, halte ich es nicht für fair, dass Google das verlangt.

 
click 2025-05-15

Die KI-Zusammenfassung ist merkwürdig. Einen Fehler, bei dem an jedes Satzende hm angehängt wird, sehe ich zum ersten Mal.

 
xguru 2025-05-15

So etwas ist mir auch zum ersten Mal passiert. Es hieß, ich solle mit einer Nominalform enden … und genau daran wurde sich dann perfekt gehalten, haha.