Aus einigen Beiträgen im Forum von PocketPC.ch (z.B. hier, hier und hier) habe ich den Eindruck, dass vielen Windows Phone Besitzern oft nicht ganz klar ist, was die Capabilities bzw. Fähigkeiten bzw. Zugriffsrechte der Apps bedeuten und was eine App mit dem jeweiligen Recht machen kann und was nicht.
Worum geht es? Die Fähigkeiten einer App bestimmen, was eine App alles machen darf und was nicht. Das reicht vom Zugriff auf die Kontakte des Anwenders bis zur Nutzung der Datenverbindung des Telefons oder der eingebauten Sensoren. Die von einer App verwendeten Fähigkeiten werden im Marketplace angezeigt, wie im folgenden Screenshot zu sehen.
Unten folgt eine Beschreibung aller der im Marketplace angezeigten Fähigkeiten und ihrer Bedeutung.
Mit dem Spy-Faktor gebe ich meine subjektive Einschätzung an, welches Risiko für die Privatsphäre des Anwenders die Verwendung der jeweiligen Fähigkeit darstellt. Damit es hier nicht zu Missverständnissen kommt: meine Einschätzung des Spy-Faktors beruht nur darauf, was eine App mit der Fähigkeit theoretisch alles anstellen könnte. Das soll beileibe nicht heißen, dass Apps, welche eine gewisse Fähigkeit verwenden, gleich Spyware sind!
Übersicht
- Kalender
- Kontakte
- Identität des Handys
- Identität des Eigentümers
- Kamera
- Ortungsdienste
- Musik- und Videobibliothek
- Mikrofon
- Datendienste
- Push-Benachrichtigungsdienst
- Bewegungs- und Richtungssensor
- Xbox LIVE
- Nicht im Marketplace ausgewiesene Fähigkeiten
Kalender
Diese Fähigkeit erlaubt einer App lesenden Zugriff auf den Kalender des Anwenders. Auch mit dieser Fähigkeit ist es einer Anwendung nicht möglich, Termine in den Kalender des Anwenders einzutragen.
| Technischer Name | ID_CAP_APPOINTMENTS |
| Spy-Faktor | mittel |
| Begründung | Eine App mit dieser Fähigkeit könnte die Termine des Anwenders (zusammen mit der Fähigkeit Datendienste) an einen Server übertragen. Da es allerdings nicht möglich ist, den Besitzer eines Telefons zu identifizieren (siehe auch Identität des Eigentümers), kann ich mir nicht vorstellen, dass diese Informationen irgendwie „sinnvoll“ verwendet werden könnten. |
Kontakte
Diese Fähigkeit erlaubt einer App lesenden Zugriff auf die Kontakte des Handy-Besitzers.
| Technischer Name | ID_CAP_CONTACTS |
| Spy-Faktor | hoch |
| Begründung | Eine App mit dieser Fähigkeit könnte (zusammen mit der Fähigkeit Datendienste) die Kontakte des Besitzers an einen Server übertragen. Damit könnten die Kontakte z.B. mit Spam-Emails belästigt werden oder sogar angerufen werden, obwohl die Personen selbst ihre Daten nie weitergegeben haben. |
Identität des Handys
Mit dieser Fähigkeit kann eine App eine eindeutige ID des Geräts ermitteln. Sie wird häufig im Zusammenhang mit Push-Notifications verwendet, da ein Gerät hierbei eindeutig angesprochen werden muss.
Weiterhin ist es mit dieser Fähigkeit möglich, gewisse Eigenschaften des Geräts (z.B. Größe des Hauptspeichers, Name des Modells, usw.) herauszufinden.
| Technischer Name | ID_CAP_IDENTITY_DEVICE |
| Spy-Faktor | niedrig |
| Begründung | Die Privatspähre des Handy-Besitzers ist am ehesten betroffen, wenn eine App das Modell des Handys ermittelt. Da keine Rückschlüsse auf den Besitzer möglich sind, wüsste ich aber nicht, wieso ich mich als Anwender einer App dadurch beeinträchtigt fühlen sollte.
Nebenbei: …i’m a WP7 ist ein Beispiel für eine App, welche Statistiken über Geräte enthält, auf denen die App installiert ist. |
Identität des Eigentümers
Der Name für diese Fähigkeit ist leider sehr unglücklich gewählt und muss Misstrauen provozieren. Die Fähigkeit erlaubt einer App, die Windows Live Anonymous ID des Handy-Besitzers abzufragen. Die ID ist eindeutig für einen Windows Live Account (d.h. würde man ein neues Handy kaufen, dort aber den „alten“ Windows Live Account verwenden, so wäre die Windows Live Anonymous ID die selbe). Auch wenn der Name der Fähigkeit anderes suggeriert: die Windows Live Anonymous ID erlaubt keine (!) Rückschlüsse auf den Account-Besitzer. Auch wenn eine App die Fähigkeit Identität des Eigentümers verwendet, kann sie nicht dessen Namen oder sonstige Informationen über ihn erfahren.
Diese Fähigkeit wird öfter im Zusammenhang mit Trial-Versionen verwendet: Angenommen, das Trial würde in einer 10-tägigen Testphase bestehen. Ein findiger Benutzer könnte versucht sein, die Anwendung nach 10 Tagen zu deinstallieren und neu zu installieren um die Anwendung weitere 10 Tage kostenlos zu verwenden. Durch Überprüfung der Windows Live Anonymous ID zu Beginn der Testphase kann in der App sichergestellt werden, dass der Anwender die Testphase nicht bereits in Anspruch genommen hat.
| Technischer Name | ID_CAP_IDENTITY_USER |
| Spy-Faktor | niedrig |
| Begründung | Der Name der Fähigkeit klingt zunächst bedrohlich. Tatsächlich ist sie ziemlich harmlos. Das „Schlimmste“, was ich mir im Zusammenhang mit dieser Fähigkeit vorstellen kann, ist, dass ein Entwickler Querbezüge in den Statistiken zur Verwendung seiner Apps herstellen kann. Er könnte beispielsweise erkennen, dass 50% der Anwender von App A auch die App B verwenden. |
Kamera
Diese Fähigkeit erlaubt einer Anwendung Zugriff auf die Kamera (mit ID_CAP_ISV_CAMERA) und/oder auf die Frontkamera (mit ID_HW_FRONTCAMERA). Zugriff auf die Kamera und auf die Frontkamera werden getrennt im Marketplace ausgewiesen — heißen jedoch beide Kamera. Aus diesem Grund sieht man bei vielen Anwendungen die Fähigkeit Kamera scheinbar doppelt.
| Technischer Name | ID_CAP_ISV_CAMERA und/oder ID_HW_FRONTCAMERA |
| Spy-Faktor | niedrig |
| Begründung | Zunächst wollte ich diese Fähigkeit mit einem hohen Risiko für die Privatsphäre des Benutzers bewerten, denn es müsste möglich sein, eine Anwendung zu bauen, welche ohne das Wissen des Anwenders Aufnahmen mit der Kamera macht und diese an einen Server sendet. Ich schätze das Risiko trotzdem gering ein, denn:
|
Ortungsdienste
Diese Fähigkeit erlaubt einer Anwendung den Zugriff auf die GPS-Koordinaten des Geräts.
Sie ist insofern eine Besonderheit, als dass laut Vorgaben von Microsoft der Zugriff auf den Standort in einer App immer noch optional sein muss. Auch wenn man bei Installation einer App mit dieser Fähigkeit bereits dem Zugriff auf den Standort zustimmt, muss die Zustimmung in der App noch einmal erfolgen und man muss die Möglichkeit haben, seine Zustimmung zu widerrufen.
Zudem muss jede Anwendung mit dieser Fähigkeit genau angeben, wie die Standortdaten von der App verwendet werden.
Viele Apps mit Werbebannern haben diese Fähigkeit, obwohl die Standortdaten für die eigentliche Funktion der App (z.B. für ein Spiel) nicht erforderlich wären. Die Werbebanner verwenden die Standortdaten, um — falls möglich — für die Region relevante Werbung anzuzeigen.
| Technischer Name | ID_CAP_LOCATION |
| Spy-Faktor | mittel |
| Begründung | Der eigene Standort ist natürlich eine sehr sensible Information. Dementsprechend hart sind die Vorgaben von Microsoft für Apps, welche diese Fähigkeit verwenden. Jeder Benutzer hat in einer entsprechenden App die Möglichkeit, den Zugriff auf den Standort zu deaktivieren und die App sollte (zumindest wenn sie vernünftig gemacht ist) weiter funktionieren. Ich halte diese Vorgaben für ausreichend, weshalb diese Fähigkeit nach meinem Dafürhalten kein hohes Risiko für die Privatsphäre darstellt. |
Musik- und Videobibliothek
Diese Fähigkeit erlaubt einer App lesenden und schreibenden Zugriff auf die Musik, Playlists, Videos und Bilder des Benutzers.
Alle Apps, die Werbebanner beinhalten, benötigen diese Fähigkeit. Es gibt — zumindest theoretisch — Werbebanner, die es dem Benutzer erlauben, einen Gutscheincode in der Bildbibliothek abzulegen (siehe hier). Bei 99% dieser Anwendungen bin ich mir sicher, dass die App selbst den Zugriff auf Musik- und Videobibliothek nicht benötigen würde. Mir persönlich wäre es mehr als Recht, wenn die Werbebanner auf die „Gutscheincode-Möglichkeit“ verzichten würden und diese Fähigkeit dadurch nicht automatisch in jede Anwendung mit Werbung käme.
| Technischer Name | ID_CAP_MEDIALIB |
| Spy-Faktor | hoch |
| Begründung | Eine Anwendung mit dieser Fähigkeit könnte unbemerkt im Handy gespeicherte Bilder, Videos und Musik auslesen und an einen Server übertragen. Da in einem Handy typischerweise viele private Fotos gespeichert sind, wäre damit ein erheblicher Eingriff in die Privatsphäre des Benutzers möglich.
Zudem kann eine App ungefragt z.B. Bilder und Musik im Bilder- bzw. Musik-Hub ablegen. |
Mikrofon
Diese Fähigkeit erlaubt einer App Zugriff auf das Mikrofon des Telefons.
| Technischer Name | ID_CAP_MICROPHONE |
| Spy-Faktor | niedrig |
| Begründung | Meine Begründung für eine niedrige Einstufung des Risikos für die Privatsphäre ist die selbe wie bei der Fähigkeit Kamera. |
Datendienste
Anwendungen, die eine Internetverbindung benötigen (also fast alle), brauchen diese Fähigkeit.
Da die Internetverbindung für eine App die Tür raus aus dem Handy darstellt, würde ich behaupten, dass von einer Anwendung, welche keine Datendienste verwendet, prinzipiell kein Risiko für die Privatsphäre des Benutzers ausgehen kann.
| Technischer Name | ID_CAP_NETWORKING |
| Spy-Faktor | niedrig |
| Begründung | Verwendet eine App die Datendienste, stellt das für sich genommen kein Risiko für den Anwender und seine Privatsphäre dar. Entscheidend ist, was die Anwendung über die Datenverbindung potenziell schicken kann und das hängt von den weiteren Fähigkeiten (z.B. Kontakte oder Kalender) ab. Verwendet eine App keine weitere „kritische“ Fähigkeit, ist auch die Verwendung der Datenverbindung unkritisch und belastet schlimmmstenfalls die Handyrechnung. |
Push-Benachrichtigungsdienst
Diese Fähigkeit zeigt an, dass die App Push-Benachrichtigungen verwendet. Das können z.B. Aktualisierungen des Live Tiles oder Toast-Notifications (der kleine Balken oben im Handy — so wie bei einer SMS) sein.
| Technischer Name | ID_CAP_PUSH_NOTIFICATION |
| Spy-Faktor | niedrig |
| Begründung | Von Push-Benachrichtigungen gehen meiner Meinung nach keine Risiken für die Privatsphäre des Benutzers aus. Im schlimmsten Fall könnte eine App diese Funktion missbrauchen, um Benutzer mit ungewünschten Benachrichtigungen zu belästigen. |
Bewegungs- und Richtungssensor
Diese Fähigkeit brauchen alle Anwendungen, die auf die eingebauten Sensoren des Telefons (z.B. Gyroskop oder Kompass) zugreifen.
| Technischer Name | ID_CAP_SENSORS |
| Spy-Faktor | niedrig |
| Begründung | Mir fällt spontan nichts ein, wie ein „Übeltäter“ diese Fähigkeit zum Nachteil des Benutzers verwenden könnte. |
Xbox LIVE
Diese Fähigkeit zeigt an, dass eine App die Xbox LIVE Dienste verwendet.
| Technischer Name | ID_CAP_GAMERSERVICES |
| Spy-Faktor | niedrig |
| Begründung | Xbox LIVE sammelt Daten über die Spieler und zeigt diese im Profil eines Spielers an. Von einem befreundeten Xbox LIVE Spieler kann man beispielsweise erkennen, welche Spiele er zuletzt gespielt hat. Davon ist die Privatsphäre des Spielers betroffen. Allerdings ist die zentrale Sammlung der Daten über Spiele ja genau der Sinn von Xbox LIVE, weswegen ich den Spy-Faktor für niedrig halte. |
Nicht im Marketplace ausgewiesene Fähigkeiten
Neben den oben beschriebenen Fähigkeiten gibt es noch einige, die nicht im Marketplace ausgewiesen werden. Diese sind:
ID_CAP_CAMERA
Diese Fähigkeit wird nur von Netzbetreibern und von Handy-Herstellern verwendet. Sie zeigt an, dass eine spezielle App des Netzbetreibers oder des Handy-Herstellers die Kamera verwendet (zumindest verstehe ich das so).
ID_CAP_PHONEDIALER
Diese Fähigkeit zeigt an, dass eine App den Benutzer zur Tätigung eines Telefonanrufs auffordern kann. Da eine App nicht „heimlich“ einen Telefonanruf starten kann (der Benutzer wird immer gefragt, ob er eine Nummer anrufen möchte), wird diese Fähigkeit nicht im Marketplace angezeigt.
ID_CAP_WEBBROWSERCOMPONENT
Diese Fähigkeit gibt an, dass die App die eingebettete Browser-Komponente verwendet. Diese Fähigkeit wird nicht im Marketplace ausgewiesen.