Wer hat die Kontrolle darüber, was alles auf dem eigenen Smartphone läuft? Die Nutzer? Oder doch eher der Hersteller? Dass die Antwort auf diese Frage nicht ganz so einfach ist, wie man zunächst glauben könnte, ruft nun ein aktueller Vorfall in Erinnerung.

Der Vorfall

US-amerikanische Smartphone-User berichten davon, dass eine Contact-Tracing-App ohne ihr Zutun auf ihrem Gerät installiert wurde. Von einem Tag auf den anderen sei eine App namens "Mass Notify" in der Anwendungsliste ihres Smartphones aufgetaucht, beklagen zahlreiche User in den zugehörigen Bewertungen in Googles Play Store. Davon betroffen scheinen Android-Nutzer mit Geräten unterschiedlicher Hersteller zu sein. Was sie ebenfalls eint: Sie alle wohnen im US-Bundesstaat Massachusetts.

Spurensuche

Die Aufregung darüber war schnell groß, der Grund für dieses Phänomen blieb zunächst aber unklar. Klar ist jedenfalls, dass es sowohl Google als auch Apple theoretisch möglich ist, Apps nachzuinstallieren. Immerhin haben sie die Kontrolle über das Betriebssystem und können so auch Software-Updates nach Belieben gestalten. Eine erste Stellungnahme von Google sorgte in diesem Fall aber nur für noch weitere Verwirrung – betonte man darin doch, dass die App nur dann angezeigt würde, wenn die Nutzer die Kontaktnachverfolgung in den Einstellungen explizit aktiviert haben. Genau das beteuerten viele der Betroffenen aber nicht getan zu haben.

Trotzdem wies die Google-Stellungnahme in die richtige Richtung. In dem Fall handelt es sich nämlich um keine vollständig unabhängige App, sondern lediglich um eine minimale Oberfläche für jenes Contact-Tracing-Framework, das gemeinsam von Google und Apple im Vorjahr entwickelt wurde und auf sämtlichen halbwegs aktuellen Android-Smartphones zu finden ist. Diese Mini-App ist prinzipiell ebenfalls auf den betreffenden Geräten zu finden, sie ist für jene Länder – oder in den USA: Bundesstaaten – gedacht, die es nicht geschafft haben, eigene Apps zu entwickeln. Von Haus aus ist sie aber deaktiviert. Erst wenn das Contact-Tracing in einer der betreffenden Regionen über die Systemeinstellungen aktiviert wird, wird automatisch der betreffende Eintrag zur App-Liste hinzugefügt. Nachinstalliert wurde insofern streng genommen nichts – weil es ohnehin schon da war.

Ein Versehen?

Was in dem Fall nun passiert sein dürfte, erschließt sich aus einer Antwort der Gesundheitsbehörden an einen der betroffenen Nutzer, die auf "Hacker News" veröffentlicht wurde: Demnach scheint bei einem aktuellen Update der Google Play Services, über die Google alle möglichen der eigenen Dienste und dabei eben auch das Contact-Tracing-Framework auf dem Laufenden hält, der App-Eintrag unbeabsichtigt aktiviert worden zu sein. Die Kontaktnachverfolgung sei aber nie aktiv gewesen, betonen alle Beteiligten.

Trotzdem ist all das eben eine gute Erinnerung daran, wie groß die Macht der Smartphone-Hersteller – beziehungsweise jene der jeweiligen Betriebssysteme – ist. Im Falle von Google hat man etwa über die Play Services die Möglichkeit, alle möglichen Dinge nachzuinstallieren, wie es ja im Vorjahr auch mit dem Contact-Tracing-Framework passiert ist. Bei Apple passiert so etwa über klassische System-Updates, die Macht ist aber auch nicht geringer. (apo, 21.6.2021)