Von Tyler Durden
Verfasst von Juan Galt über BitcoinMagazine.com,
Die neue Regel von Android verlangt von allen App-Entwicklern, dass sie persönliche Daten an Google übermitteln, auch für Apps außerhalb des Play Store. Kritiker argumentieren, dass dies die Freiheit der Nutzer bedroht und Lösungen ignoriert…
Android, das mobile Betriebssystem von Google, gab am 25. August bekannt, dass alle App-Entwickler ihre Identität gegenüber dem Unternehmen verifizieren müssen, bevor ihre Apps auf „zertifizierten Android-Geräten” ausgeführt werden können.
Dies mag zwar wie eine vernünftige Maßnahme von Google klingen, doch dieser neue Standard gilt nicht nur für Apps, die aus dem Google Play Store heruntergeladen werden, sondern für alle Apps, auch für solche, die „seitlich geladen” werden – also direkt auf Geräte installiert werden, ohne den Google Play Store zu nutzen. Apps dieser Art finden sich online in Github-Repositorys oder auf Projekt-Websites und können direkt auf Android-Geräte installiert werden, indem man die Installationsdateien (sogenannte APKs) herunterlädt.
Das bedeutet, dass Google, wenn es eine Anwendung gibt, die ihm nicht gefällt, sei es, weil sie nicht seinen Richtlinien, seiner Politik oder seinen wirtschaftlichen Interessen entspricht, Sie einfach daran hindern kann, diese Anwendung auf Ihrem eigenen Gerät auszuführen. Google sperrt Android-Geräte für die Ausführung von Anwendungen, die nicht in seinen Zuständigkeitsbereich fallen. Die Forderung? Alle Entwickler, unabhängig davon, ob sie ihre Apps über den Play Store einreichen oder nicht, müssen ihre persönlichen Daten an Google weitergeben.
Diese Entscheidung wirft die Frage auf: Wenn Sie ohne die Erlaubnis von Google nicht jede beliebige App auf Ihrem Gerät ausführen können, ist es dann wirklich Ihr Gerät? Wie würden Sie reagieren, wenn Windows beschließen würde, dass Sie nur Programme aus dem Microsoft App Store installieren dürfen?
Dieser Schritt hat natürlich in den Medien für Technologie und Cybersicherheit für Schlagzeilen gesorgt und für Aufruhr gesorgt, da er tiefgreifende Folgen für das freie und offene Internet hat. Seit Jahren wird Android als Open-Source-Betriebssystem angepriesen und hat durch diese Strategie eine massive Verbreitung in der ganzen Welt gefunden, insbesondere bei Nutzern in Entwicklungsländern, wo Apples „Walled Garden”-Modell und Luxusgeräte unerschwinglich sind.
Diese neue Richtlinie wird die Kontrollen über Anwendungen und deren Entwickler verschärfen und bedroht auf sehr subversive und legalistische Weise die Freiheit, beliebige Software auf dem eigenen Gerät auszuführen. Aufgrund des Einflusses von Google auf die Android-Smartphones werden die Folgen dieser Richtlinie wahrscheinlich von der Mehrheit der Nutzer und Geräte weltweit zu spüren sein.
Android begründet die Änderung der Richtlinie mit Bedenken hinsichtlich der Cybersicherheit seiner Nutzer. Bösartige Apps, die seitlich auf Geräte geladen werden, haben zu „über 50-mal mehr Malware” geführt, behauptet Android in seinem Ankündigungsblog. Als Maßnahme der „Rechenschaftspflicht” und in Absprache mit verschiedenen Regierungen weltweit hat Android beschlossen, einen „ausgewogenen Ansatz” zu verfolgen, und die Sprache könnte nicht orwellscher sein.
„Wer wesentliche Freiheiten aufgibt, um ein wenig vorübergehende Sicherheit zu erlangen, verdient weder Freiheit noch Sicherheit.“
– Benjamin Franklin
Einfacher ausgedrückt: Google möchte die persönlichen Daten von Softwareentwicklern sammeln und diese zusammen mit den Daten aller Nutzer in seinen Rechenzentren zentralisieren, um die Nutzer vor Hackern zu „schützen“, die Google derzeit offenbar nicht aufhalten kann.
Wenn Google und Android die persönlichen Daten der Nutzer tatsächlich schützen könnten, wäre dies schließlich kein Problem, oder?
Googles Lösung für das Problem der Datenlecks besteht ironischerweise darin, noch mehr Nutzerdaten zu sammeln, in diesem Fall die Daten von Entwicklern, die die Android-Plattform nutzen. Ein bemerkenswerter Logiksprung, faul und grundlegend dekadent, ein Zeichen dafür, dass sie ihren Vorsprung verloren und ihr mittlerweile gestrichenes Motto „Don’t be evil“ wohl wirklich vergessen haben.
Informationen wollen frei sein
Die Realität ist, dass Google sich in einem Dilemma befindet, das durch die Natur der Informationen und das digitale Zeitalter entstanden ist, um den Cypherpunk Steward Brand aus den 90er Jahren zu zitieren: „Informationen wollen fast frei sein.”
Jeder Sprung, den personenbezogene Daten – wie Ihr Name, Ihr Gesicht, Ihre Privatadresse oder Ihre Sozialversicherungsnummer – im Internet machen, ist eine Gelegenheit, dass sie kopiert und weitergegeben werden. Wenn Ihre Daten von Ihrem Telefon zu einem Server in Ihrer Stadt und dann zu einem anderen Server in einem Google-Rechenzentrum übertragen werden, erhöht jeder Sprung die Wahrscheinlichkeit, dass Ihre Daten gehackt werden und im Dark Web zum Verkauf angeboten werden. Ein heikles Problem, wenn Nutzerdaten das primäre Geschäftsmodell eines Giganten wie Google sind, der sie verarbeitet und an Werbetreibende verkauft, die wiederum gezielte Werbung erstellen.
Wir können die Richtigkeit von Brands Informationsprinzip anhand von zwei faszinierenden Statistiken überprüfen, über die seltsamerweise nicht allzu viele Menschen sprechen. Die erste ist die absurde Menge an Datenhacks, die in den letzten 20 Jahren stattgefunden haben. So betraf beispielsweise der Equifax-Datenhack im Jahr 2017 147 Millionen Amerikaner, und der nationale öffentliche Datenhack von 2024 betraf über 200 Millionen Amerikaner, was zu Datenlecks führte, darunter Sozialversicherungsnummern, die wahrscheinlich im Dark Web zum Verkauf angeboten wurden.
Legendäre Hacks wie der auf das Office of Personal Management der US-Regierung gefährdeten damals eine große Anzahl von US-Regierungsbeamten, darunter alles von Sozialversicherungsnummern bis hin zu Krankenakten.
Es ist keine Übertreibung zu sagen, dass die Daten der Mehrheit der Amerikaner bereits gehackt und geleakt wurden, und es gibt keine einfache Möglichkeit, dies rückgängig zu machen. Wie soll man schließlich sein Gesicht, seine Krankengeschichte oder seine Sozialversicherungsnummer ändern?
Die zweite Statistik, die offenbar niemand mit der ersten in Verbindung bringt, ist der Anstieg von Identitätsdiebstahl und -betrug in den Vereinigten Staaten. Wussten Sie, dass im Jahr 2012 Identitätsdiebstähle im Wert von 24 Milliarden Dollar gemeldet wurden? Das ist doppelt so viel wie alle anderen Formen von Diebstahl zusammen im selben Jahr. Business Insider berichtete damals unter Berufung auf Statistiken des Bureau of Justice, dass „Identitätsdiebstahl die Amerikaner im Jahr 2012 24,7 Milliarden Dollar gekostet hat, während sich die Verluste durch Einbrüche in Haushalte, Kraftfahrzeugdiebstahl und Eigentumsdiebstahl auf insgesamt nur 14 Milliarden Dollar beliefen”. Acht Jahre später hat sich diese Zahl verdoppelt und kostete die Amerikaner im Jahr 2020 56 Milliarden Dollar an Verlusten. Beide Trends setzen sich bis heute fort. Für das alte Identitätssystem, auf das wir uns immer noch so stark verlassen, könnte es tatsächlich schon zu spät sein.
Generative KI gießt noch Öl ins Feuer, da sie in einigen Fällen mit durchgesickerten Benutzerdaten trainiert wird, beispielsweise mit Bildmodellen, die in der Lage sind, hochwertige Bilder von Menschen mit gefälschten Ausweisen zu erstellen. Mit der kontinuierlichen Verbesserung der KI wird es immer einfacher, Menschen glauben zu machen, dass sie mit einem anderen Menschen sprechen und nicht mit einem Roboter, wodurch neue Angriffsvektoren für Identitätsbetrug und -diebstahl entstehen.
Dennoch beharrt Google darauf, dass das Problem vielleicht einfach verschwinden würde, wenn wir nur ein bisschen mehr persönliche Nutzerdaten sammeln würden. Das ist natürlich praktisch für ein Unternehmen, dessen Hauptgeschäftsmodell die Sammlung und der Verkauf solcher Daten ist. Hat übrigens irgendein anderes Unternehmen der Privatsphäre der Bürger mehr Schaden zugefügt als Google? (Facebook, vermute ich.)
Wir vertrauen auf Kryptografie
Um fair gegenüber den Web2-Technologiegiganten der 2000er Jahre zu sein: Das Problem der sicheren Identität im digitalen Zeitalter ist nicht leicht zu lösen. Die rechtlichen Strukturen unserer Gesellschaften rund um die Identität wurden lange vor dem Aufkommen des Internets geschaffen und haben all diese Daten in die Cloud verlagert. Die einzige wirkliche Lösung für dieses Problem ist derzeit die Kryptografie und ihre Anwendung auf das Vertrauen, das Menschen im Laufe der Zeit in ihren Beziehungen in der realen Welt aufbauen.
Die Cypherpunks der 90er Jahre haben dies verstanden, weshalb sie zwei wichtige Technologien erfunden haben: PGP und Vertrauensnetzwerke.
PGP
PGP wurde 1991 von Phil Zimmermann erfunden und war Vorreiter bei der Verwendung asymmetrischer Kryptografie, um dieses grundlegende Problem des Schutzes der Privatsphäre von Benutzerdaten zu lösen und gleichzeitig eine sichere Benutzerauthentifizierung, Identifizierung und sichere Kommunikation zu ermöglichen.
Wie? Eigentlich ganz einfach: Durch den Einsatz von Kryptografie, ähnlich wie es Bitcoin heute tut, um Werte in Höhe von über einer Billion Dollar zu sichern. Sie haben ein sicheres „Passwort”, das Sie so geheim wie möglich halten, Sie geben es an niemanden weiter, und Ihre Apps verwenden es vorsichtig, um Dienste freizuschalten, aber das Passwort verlässt niemals Ihr Telefon. Wir können das tun, es funktioniert, es gibt sogar maßgeschneiderte Hardware, um genau diese Art von Informationen zu sperren. Die Person oder das Unternehmen, mit der/dem Sie sich verbinden möchten, erstellt ebenfalls ein sicheres „Passwort”, und mit diesem Passwort generieren wir jeweils eine öffentliche Adresse oder eine digitale pseudonyme ID.
Das Unternehmen verschlüsselt eine Nachricht mit seinem Passwort und Ihrer öffentlichen Adresse und sendet Ihnen eine Nachricht. Dank der Magie der Kryptografie können Sie diese Nachricht mit Ihrem Passwort und der öffentlichen Adresse des Unternehmens entschlüsseln. Das ist alles, was wir brauchen, um das Internet zu sichern. Diese öffentlichen IDs müssen keine Informationen über Sie preisgeben, und Sie könnten für jede Marke oder Identität, die Sie online haben, eine eigene ID haben.
Webs Of Trust
Aber es stellt sich auch die Frage der Reputation: Woher wissen Sie, dass das Unternehmen, mit dem Sie sich verbinden möchten, auch wirklich das ist, für das es sich ausgibt? In der Cybersicherheit wird dies als Man-in-the-Middle-Angriff bezeichnet, bei dem sich ein böswilliger Dritter als die Person ausgibt, mit der Sie sich tatsächlich verbinden möchten.
Die Cypherpunks lösten dieses Problem in den 90er Jahren, indem sie das Konzept der Vertrauensnetzwerke entwickelten, und zwar durch reale Zeremonien, die als „Signing Parties“ bezeichnet werden.
Wenn wir uns persönlich treffen, entscheiden wir, dass wir einander vertrauen, oder bestätigen, dass wir uns bereits kennen und einander genug vertrauen, um die öffentlichen IDs des anderen mitzuunterzeichnen. Wir geben uns gegenseitig sozusagen ein kryptografisches Vertrauensvotum, das durch unsere Marke oder unseren öffentlich bekannten Namen gewichtet wird. Dies ähnelt dem Folgen einer Person in einem öffentlichen Forum wie Twitter; es ist das PGP-Äquivalent zu der Aussage „Ich habe Bob getroffen, ich erkenne XYZ als seine öffentliche ID an und ich bürge dafür, dass er echt ist”.
Das klingt zwar mühsam, antiquiert und so, als würde es niemals auf die ganze Welt skalierbar sein, aber die Technologie hat seit den 90er Jahren große Fortschritte gemacht. Tatsächlich ist diese grundlegende Logik die Art und Weise, wie das Internet heute gesichert ist.
Erinnern Sie sich an das grüne Schloss, das früher auf jeder Website angezeigt wurde? Das war ein PGP-ähnlicher kryptografischer Handshake zwischen Ihrem Computer und der Website, die Sie besucht haben, signiert von einer Zertifizierungsstelle oder einem Dritten im Internet. Diese Zertifizierungsstellen wurden zu zentralisierten Verwaltern des öffentlichen Vertrauens und müssen wie viele andere Institutionen heute wahrscheinlich dezentralisiert werden.
Die gleiche Logik kann auf die Verifizierung und Authentifizierung von APKs angewendet werden, indem Vertrauensnetzwerke ausgebaut werden. Tatsächlich wird in der Open-Source-Welt Software zu einer eindeutigen ID gehasht, die aus den Daten der Software abgeleitet wird, und dieser Hash wird bis heute mit PGP-Schlüsseln der Entwickler signiert. Die Software-Hashes, öffentlichen PGP-IDs und Signaturen werden zusammen mit der Software veröffentlicht, damit sie von anderen überprüft und verifiziert werden können.
Wenn Sie jedoch nicht wissen, ob die öffentliche PGP-ID authentisch ist, ist die Signatur nutzlos, da sie von einem Online-Betrüger erstellt worden sein könnte. Als Nutzer benötigen wir einen Link, der bestätigt, dass die öffentliche ID zum tatsächlichen Entwickler der App gehört.
Die gute Nachricht ist, dass dieses Problem wahrscheinlich gelöst werden kann, ohne einen globalen Überwachungsstaat zu schaffen, der alle unsere Daten an die Googles dieser Welt weitergibt.
Wenn ich beispielsweise eine App von einem Entwickler in Osteuropa herunterladen möchte, kenne ich ihn wahrscheinlich nicht und kann diese öffentliche ID nicht überprüfen, aber vielleicht kenne ich jemanden, der für jemanden bürgt, der diesen Entwickler kennt. Auch wenn ich vielleicht drei oder vier Schritte von dieser Person entfernt bin, steigt die Wahrscheinlichkeit, dass sie echt ist, plötzlich erheblich. Das Fälschen von drei oder vier Verbindungsschritten in einem Vertrauensnetzwerk ist für Hacker, die auf schnellen Gewinn aus sind, sehr kostspielig.
Leider haben sich diese Technologien außerhalb der hochtechnisierten Welt der Paranoiker nicht weit verbreitet und auch nicht so viel Geld erhalten wie das Data-Mining-Geschäftsmodell des größten Teils des Internets.
Moderne Lösungen
Einige moderne Softwareprojekte erkennen diese Logik und arbeiten daran, die bestehenden Probleme zu lösen, damit Nutzer kryptografische Vertrauensnetzwerke einfach nutzen und skalieren können. Zapstore.dev beispielsweise entwickelt einen alternativen App-Store, der durch kryptografische Vertrauensnetzwerke mit Bitcoin-kompatibler Kryptografie gesichert ist. Das Projekt wird von OpenSats finanziert, einer gemeinnützigen Organisation, die die Entwicklung von Open-Source-Software im Zusammenhang mit Bitcoin fördert.
Graphene, ein Android-Betriebssystem-Fork, das unter Cybersicherheits-Enthusiasten beliebt geworden ist, hat ebenfalls einen alternativen App-Store implementiert, der viele dieser Probleme löst, ohne App-Entwickler DOXen zu müssen, und als hochsicheres Betriebssystem dient, das viele der heutigen Datenschutz- und Sicherheitsprobleme in Android lösen soll.
So weit hergeholt es auch erscheinen mag, die kryptografische Authentifizierung von Kommunikationskanälen und digitalen Identitäten ist das Einzige, was uns vor dem Hacken persönlicher Daten schützen kann. Entropie und die durch Kryptografie geschaffene Sicherheit durch Zufälligkeit sind die einzigen Dinge, die KI nicht fälschen kann. Dieselbe Kryptografie kann uns helfen, uns im digitalen Zeitalter zu authentifizieren, ohne unsere persönlichen Daten mit jedem Zwischenhändler teilen zu müssen, wenn wir sie richtig einsetzen.
Ob diese neue Richtlinie von Android Bestand haben wird oder ob genügend öffentliche Proteste sie stoppen können und bessere Lösungen populär werden und angenommen werden, bleibt abzuwarten, aber die Wahrheit ist klar. Es gibt einen besseren Weg nach vorne, wir müssen ihn nur erkennen und wählen.
Googles Android-Sperre: Haben Sie wirklich die Kontrolle über Ihr Smartphone?