Da an mehreren anderen Stellen diese Diskussion aufgetaucht ist, mache ich hier mal einen Post, damit ich auch meinen Unmut loswerden lassen kann. Ich denke, der Off-Topic bereich ist ganz gut dazu geeignet 
Ich mache mir mehr und mehr Sogen über unsere Rechte über unsere Geräte. Damit meine ich nicht die sogenannte "Right to Repair". Bzw. ja, da mache ich mir auch Sorgen, aber da scheint jetzt so viel Schwung in der Bewegung zu sein, dass ich mehr und mehr Hoffnung habe, dass sich etwas ergibt, wenn ich mir Louis Rossmann, Hersteller wie SHIFT, Fairphone und Framework sowie die ersten legislativen Versuche anschaue. Klar, angekommen sind wir noch lange nicht, aber die Tendenz ist positiv.
Nein, es geht hier um das Recht über die Softwareseite.
Das heißt, wenn du ein Handy kaufst, selbst ein Shiftphone kaufst, ist es immer noch nicht deins. Google kann auf dein Handy Dateien abspeichern, die du nie einsehen kannst. Andere Apps können auf dein Handy Daten abspeichern, die du nie einsehen kannst - die du gar nicht mal sichern kannst, falls dein handy geklaut werden sollte oder kaputt geht. Du musst darauf trauen, dass der App-Entwickler nett ist und nichts verlieren gehen lässt. Die App-Entwickler, die in zu vielen Fällen beim besten Willen einfach so viel falsch gemacht haben. Und irgendwas daran ändern? Vergiss es. Dein Handy gehört nicht dir. Und wenn du versuchst, an die Dateien ranzukommen, dann werden wir dein Handy als "unsicher" einstufen. Und das kann jede App einsehen, und viele Apps werden den Dienst verweigern.
Es wird öfters das Argument aufgeführt, na dann nutz doch nicht solche Apps, die SafetyNet prüfen! Kleines Problem: es gibt so viele. Das beste Beispiel ist beim Banking-Bereich. Inzwischen wird durchgesetzt, dass man unbedingt eine App als 2-Faktorauthentifizierungslösung braucht. Ist an sich logisch, denn SMS ist nicht verschlüsselt, und damit schon unsicher. Nur, die App prüft auf SafetyNet! Das heißt, wenn man überhaupt Banking machen will (manchmal braucht man das sogar z.B. zum Anmelden), dann geht das gar nicht, wenn man sich nicht von Google und sonst wen auf der Nase rumtanzen lassen will. Klar, ich kann mir einen TAN-Generator kaufen. Klar, ich kann meine tatsächliche Bankkarte statt dem Handy verwenden. Dabei ist das doch vollkommen sinnlos. Ich verfüge über ein Gerät, was vollkommen in der Lage ist, diese Funktionen auszuführen, aber ne, weil ich mal vielleicht meine Daten etwas besser sichern will, sperrt Google das. Wo ist der Unterschied zwischen dem und wenn Apple die Camera nicht mehr funktionieren lässt, weil man das Handy selber repariert hat? Es ist eine unnötige, künstliche Einschränkung.
Und bevor mir noch jemand erzählt, das wäre, um die Sicherheit zu erhöhen: wenn das dein Sicherheitskonzept ist, dann schäm dich. Es ist schon lange bekannt, dass "Security through Obscurity" keine anständige Lösung ist. Wenn die Daten, die deine App auf das Handy speichert so empfindlich sind, dass selbst der Eigentümer des Handys nicht darauf schauen darf oder es verändern darf, dann hast du hochkant verkackt bei der Erstellung deines Sicherheitskonzeptes.
Und Google: schäm dich, dass du sowas überhaupt erst einrichtest. Ich wäre nicht so wütend, wenn es z.B. für das mobile Bezahlen anständige Alternativen gäbe, die nicht beinhalten, dass ich noch mehr in meiner Tasche mitschleppe. Aber du provozierst es richtig.
Mein Fazit ist am Ende: ähnlich wie bei der "Right to Repair"-Thematik, brauchen wir auch bei unsere Software auch gewisse Grundrechte, die auch gesetzlich verankert werden müssen.
Ich mache mir mehr und mehr Sogen über unsere Rechte über unsere Geräte. Damit meine ich nicht die sogenannte "Right to Repair". Bzw. ja, da mache ich mir auch Sorgen, aber da scheint jetzt so viel Schwung in der Bewegung zu sein, dass ich mehr und mehr Hoffnung habe, dass sich etwas ergibt, wenn ich mir Louis Rossmann, Hersteller wie SHIFT, Fairphone und Framework sowie die ersten legislativen Versuche anschaue. Klar, angekommen sind wir noch lange nicht, aber die Tendenz ist positiv.
Nein, es geht hier um das Recht über die Softwareseite.
Schon lange gibt es das Konzept von Admin- oder Root-Rechten. Wenn ein Benutzer nicht die vollständige Kontrolle über den Rechner haben sollte, z.B. der Benutzer den Rechner nur kurz ausleit oder der Rechner der Firma gehört, dann soll er vielleicht nicht grundlegende Einstellungen am Rechner ändern. Und der Benutzer, der auch Root- bzw. Adminrechte hat, soll nochmal bestätigen, dass er bestimmte empfindlichere Sachen am Rechner ändern will, als letzte Instanz gegen Schadsoftware. Ist auch logisch so.
So blieb es eine ganze Zeit. Es wurde zwar nochmal eingeschränkt, wie leicht manche systemrelevanten Dateien gelöscht werden können. Der system32-Ordner (was ja laut den Interwebz den Rechner so verlangsamt und unnötig Speicher frisst
) kann z.B. schon länger mit "einfachen" Admin-Rechten nicht mehr gelöscht werden, aber über genug Umwegen ist das schon möglich, schlimmstenfalls indem man die Festplatte an einen anderen Rechner hängt und es so löscht. Klar, man wäre blöd, den Ordner zu löschen, aber man hat die softwaretechnischen Rechte dazu. Mit genug Wissen konnte man auf alles zugreifen und alles verändern.
Dann kam das iPhone. So oft wird darüber geredet, wie es "alles geändert hat". Na ja, die Apple-Werbung hat eben gewirkt, plötzlich haben die Leute geredet, als hätten sie davor noch nie ein Smartphone gesehen. Aber es hat etwas ganz grundlegendes geändert, und nicht nur beim Thema Right to Repair. Das ursprüngliche iPhone hatte nicht die Fähigkeit, Apps herunterzuladen, Zitat Apple: "das würde die Netze überlasten". Gut, wie bei viele solche Aussagen, hat Apple binnen wenigen Jahren - in diesem Fall weniger als ein Jahr - eine Kehrtwende gemacht. Das nächste iPhone, das iPhone 3G, hatte eine App Store. Wollte man Apps von außerhalb der von Apple präparierten App Store installieren, das Hintergrundbild ändern, Copy & Paste im System haben? Fehlanzeige (ja, es hat zwei ganze Softwaregenerationen gebraucht, bis es auf dem iPhone Copy & Paste gab). Zumindest offiziell. Denn einige haben daran gearbeitet, das iPhone softwareseitig zu knacken, damit man auch andere Apps darauf installieren kann als die, die Apple abgesegnet hat. Apple fand das nicht so toll, und hat eine kriminelle Anzeige erstattet. In einem Lichtblick bei dem Thema hat der Richter entschieden, dass man jedes Recht hat, die Herstellersperren zu umgehen. Apple hat zwar rumgeheult, aber denen wurde kein Recht gegeben. Aber, dass der Nutzer standardmäßig längst nicht die volle Kontrolle über das selber teuer eingekaufte Gerät hat, wurde schonmal von einer relativ breiten Masse akzeptiert.
Android war dagegen offener. Man konnte Apps von jeder Herkunft installieren. Es wurde zwar einem gefragt, ob man das unbedingt machen wollte, es war aber durchaus möglich. Nur, gewisse grundsätzliche Änderungen am System gingen nicht, denn es haben die Root-Rechte standardmäßig gefehlt. Dies konnte umständlich umgangen werden, dann hatte man auch die Root-Rechte auf dem Handy.
Inzwischen ist das nicht mehr so einfach. Externe Apps auf iPhones zu installieren wird zunehmend schwerer, der "Jailbreak"-Vorgang ist inzwischen eine sehr schwierige Sache und klappt bei einigen iPhones nicht. Bei Google gibt es SafetyNet, eine Methode, wie eine auf dem System installierte App feststellen kann, ob das Gerät gerootet o.Ä. ist. Lange Zeit gab es da Umwege, aber das wird schwerer und schwerer. Der Hauptentwickler von Magisk, die beliebteste Root-Methode, die meistens auch vor SafetyNet versteckt werden konnte, wurde von Google "eingekauft". Magisk sollte es weiterhin geben, aber es soll sich zukünftig nicht mehr vor SafetyNet verstecken können, zumindest nicht standardmäßig. Und derjenige, der die ganze Zeit die Wege gefunden hat, wie SafetyNet umgangen werden konnte, arbeitet jetzt u.A. für SafetyNet. Und Hardware Attestation ist auch in der Pipeline, sodass es künftig so gut wie unmöglich wird, root bzw. sogar einen entsperrten Bootloader (sprich, dass man auch ein anderes Betriebssystem benutzen kann), vor SafetyNet zu verstecken.
So blieb es eine ganze Zeit. Es wurde zwar nochmal eingeschränkt, wie leicht manche systemrelevanten Dateien gelöscht werden können. Der system32-Ordner (was ja laut den Interwebz den Rechner so verlangsamt und unnötig Speicher frisst
) kann z.B. schon länger mit "einfachen" Admin-Rechten nicht mehr gelöscht werden, aber über genug Umwegen ist das schon möglich, schlimmstenfalls indem man die Festplatte an einen anderen Rechner hängt und es so löscht. Klar, man wäre blöd, den Ordner zu löschen, aber man hat die softwaretechnischen Rechte dazu. Mit genug Wissen konnte man auf alles zugreifen und alles verändern.Dann kam das iPhone. So oft wird darüber geredet, wie es "alles geändert hat". Na ja, die Apple-Werbung hat eben gewirkt, plötzlich haben die Leute geredet, als hätten sie davor noch nie ein Smartphone gesehen. Aber es hat etwas ganz grundlegendes geändert, und nicht nur beim Thema Right to Repair. Das ursprüngliche iPhone hatte nicht die Fähigkeit, Apps herunterzuladen, Zitat Apple: "das würde die Netze überlasten". Gut, wie bei viele solche Aussagen, hat Apple binnen wenigen Jahren - in diesem Fall weniger als ein Jahr - eine Kehrtwende gemacht. Das nächste iPhone, das iPhone 3G, hatte eine App Store. Wollte man Apps von außerhalb der von Apple präparierten App Store installieren, das Hintergrundbild ändern, Copy & Paste im System haben? Fehlanzeige (ja, es hat zwei ganze Softwaregenerationen gebraucht, bis es auf dem iPhone Copy & Paste gab). Zumindest offiziell. Denn einige haben daran gearbeitet, das iPhone softwareseitig zu knacken, damit man auch andere Apps darauf installieren kann als die, die Apple abgesegnet hat. Apple fand das nicht so toll, und hat eine kriminelle Anzeige erstattet. In einem Lichtblick bei dem Thema hat der Richter entschieden, dass man jedes Recht hat, die Herstellersperren zu umgehen. Apple hat zwar rumgeheult, aber denen wurde kein Recht gegeben. Aber, dass der Nutzer standardmäßig längst nicht die volle Kontrolle über das selber teuer eingekaufte Gerät hat, wurde schonmal von einer relativ breiten Masse akzeptiert.
Android war dagegen offener. Man konnte Apps von jeder Herkunft installieren. Es wurde zwar einem gefragt, ob man das unbedingt machen wollte, es war aber durchaus möglich. Nur, gewisse grundsätzliche Änderungen am System gingen nicht, denn es haben die Root-Rechte standardmäßig gefehlt. Dies konnte umständlich umgangen werden, dann hatte man auch die Root-Rechte auf dem Handy.
Inzwischen ist das nicht mehr so einfach. Externe Apps auf iPhones zu installieren wird zunehmend schwerer, der "Jailbreak"-Vorgang ist inzwischen eine sehr schwierige Sache und klappt bei einigen iPhones nicht. Bei Google gibt es SafetyNet, eine Methode, wie eine auf dem System installierte App feststellen kann, ob das Gerät gerootet o.Ä. ist. Lange Zeit gab es da Umwege, aber das wird schwerer und schwerer. Der Hauptentwickler von Magisk, die beliebteste Root-Methode, die meistens auch vor SafetyNet versteckt werden konnte, wurde von Google "eingekauft". Magisk sollte es weiterhin geben, aber es soll sich zukünftig nicht mehr vor SafetyNet verstecken können, zumindest nicht standardmäßig. Und derjenige, der die ganze Zeit die Wege gefunden hat, wie SafetyNet umgangen werden konnte, arbeitet jetzt u.A. für SafetyNet. Und Hardware Attestation ist auch in der Pipeline, sodass es künftig so gut wie unmöglich wird, root bzw. sogar einen entsperrten Bootloader (sprich, dass man auch ein anderes Betriebssystem benutzen kann), vor SafetyNet zu verstecken.
Das heißt, wenn du ein Handy kaufst, selbst ein Shiftphone kaufst, ist es immer noch nicht deins. Google kann auf dein Handy Dateien abspeichern, die du nie einsehen kannst. Andere Apps können auf dein Handy Daten abspeichern, die du nie einsehen kannst - die du gar nicht mal sichern kannst, falls dein handy geklaut werden sollte oder kaputt geht. Du musst darauf trauen, dass der App-Entwickler nett ist und nichts verlieren gehen lässt. Die App-Entwickler, die in zu vielen Fällen beim besten Willen einfach so viel falsch gemacht haben. Und irgendwas daran ändern? Vergiss es. Dein Handy gehört nicht dir. Und wenn du versuchst, an die Dateien ranzukommen, dann werden wir dein Handy als "unsicher" einstufen. Und das kann jede App einsehen, und viele Apps werden den Dienst verweigern.
Es wird öfters das Argument aufgeführt, na dann nutz doch nicht solche Apps, die SafetyNet prüfen! Kleines Problem: es gibt so viele. Das beste Beispiel ist beim Banking-Bereich. Inzwischen wird durchgesetzt, dass man unbedingt eine App als 2-Faktorauthentifizierungslösung braucht. Ist an sich logisch, denn SMS ist nicht verschlüsselt, und damit schon unsicher. Nur, die App prüft auf SafetyNet! Das heißt, wenn man überhaupt Banking machen will (manchmal braucht man das sogar z.B. zum Anmelden), dann geht das gar nicht, wenn man sich nicht von Google und sonst wen auf der Nase rumtanzen lassen will. Klar, ich kann mir einen TAN-Generator kaufen. Klar, ich kann meine tatsächliche Bankkarte statt dem Handy verwenden. Dabei ist das doch vollkommen sinnlos. Ich verfüge über ein Gerät, was vollkommen in der Lage ist, diese Funktionen auszuführen, aber ne, weil ich mal vielleicht meine Daten etwas besser sichern will, sperrt Google das. Wo ist der Unterschied zwischen dem und wenn Apple die Camera nicht mehr funktionieren lässt, weil man das Handy selber repariert hat? Es ist eine unnötige, künstliche Einschränkung.
Und bevor mir noch jemand erzählt, das wäre, um die Sicherheit zu erhöhen: wenn das dein Sicherheitskonzept ist, dann schäm dich. Es ist schon lange bekannt, dass "Security through Obscurity" keine anständige Lösung ist. Wenn die Daten, die deine App auf das Handy speichert so empfindlich sind, dass selbst der Eigentümer des Handys nicht darauf schauen darf oder es verändern darf, dann hast du hochkant verkackt bei der Erstellung deines Sicherheitskonzeptes.
Und Google: schäm dich, dass du sowas überhaupt erst einrichtest. Ich wäre nicht so wütend, wenn es z.B. für das mobile Bezahlen anständige Alternativen gäbe, die nicht beinhalten, dass ich noch mehr in meiner Tasche mitschleppe. Aber du provozierst es richtig.
Mein Fazit ist am Ende: ähnlich wie bei der "Right to Repair"-Thematik, brauchen wir auch bei unsere Software auch gewisse Grundrechte, die auch gesetzlich verankert werden müssen.
Zuletzt bearbeitet:
