Das zweifelt doch niemand ernsthaft an. Es Ă€ndert jedoch nichts daran, dass, wie eingangs geschrieben, ohne kritische offene SicherheitslĂŒcke kein Ausbruch aus der Sandbox und damit keine dauerhafte Kompromittierung der Sicherheit meines GerĂ€ts möglich ist.
Du magst sagen, dass die Android-API Zugriff auf Dinge ermöglicht, von denen du grundsÀtzlich nicht willst, dass auf sie zugegriffen werden kann - diese Argumentation geht jedoch in eine völlig andere Richtung als das, worum es hier geht.
Zum einen hat selbst die Android-API Grenzen. Beispielsweise kann keine Anwendung den geschĂŒtzten Speicherbereich einer anderen Anwendung auslesen oder ihn beschreiben, den Netzwerkverkehr einer anderen Anwendung mitlesen oder auf ihr nicht zugeteilte Arbeitsspeicherbereiche zugreifen. Keine Anwendung kann ĂŒber ihren Deinstallationszeitpunkt hinaus Code auf deinem Telefon ausfĂŒhren.
Du behĂ€ltst also eine gewisse Kontrolle ĂŒber das, was auf deinem GerĂ€t passiert.
Zum anderen: Wenn eine Anwendung deinen Kalender ausliest, tut sie das mit AnkĂŒndigung. Du wirst im Vorhinein darĂŒber informiert und hast die Möglichkeit, dich gegen oder fĂŒr eine Installation zu entscheiden (von mir aus sogar die API-Calls mit XPrivacy zu blockieren, Internetzugriff per iptables zu entziehen, âŠ).
Du als Nutzer wirst also zumindest grob darĂŒber informiert, was dich erwartet. Auch hier behĂ€ltst du ein StĂŒck weit die Kontrolle.
Und: völlig egal, ob du die Anwendung installierst oder nicht, sie wird nur durch Ausnutzung ungepatchter LĂŒcken in der Lage sein, die Sicherheit deines Systems vollstĂ€ndig und nachhaltig zu kompromittieren.
Zu verlangen, dass Fairphone die Möglichkeiten der Android-API beschneidet, wĂ€re ohnehin mĂŒĂig und illusorisch. Sicherheitsupdates hingegen gehören zur moralischen Verantwortung des Herstellers gegenĂŒber seinen Kunden.
(Eine rechtliche Ausweitung der gesetzlichen GewĂ€hrleistung auf solche SoftwaremĂ€ngel zusammen mit irgendeiner Art von Haftungsregelung ist m.E. lĂ€ngst ĂŒberfĂ€llig - das nur am Rande)
So, nun stellen wir der Anwendung, die brav ihre Kalenderberechtigung anfordert und dann deinen Kalender ausliest, einer anderen gegenĂŒber. Sie fordert vor der Installation genau keine Berechtigung an. Klingt harmlos, oder? Dummerweise liefert sie diesen fertigen Root-Exploit mit. Einmal ausgefĂŒhrt und du hast verloren.
Das selbe kann dir mit jedem einzelnen verdammten Update passieren, dass du fĂŒr bestehende Anwendungen installierst.
Ergebnis: Das System ist dauerhaft kompromittiert. Der Nutzer hat keine Chance, es im vorhinein zu erahnen, es wĂ€hrenddessen zu merken oder spĂ€ter etwas dagegen zu tun. Das einzige bisschen âKontrolleâ, falls man es so nennen will, das er in diesem Szenario ausĂŒben kann, ist, von nun an vollstĂ€ndig auf die Installation jeglicher Software zu verzichten.
Ich hoffe, der Unterschied ist klar geworden. Es ist meines Erachtens fĂŒr keinen Durchschnittsnutzer auch nur ansatzweise möglich, die Verantwortung zur EntschĂ€rfung dieses Risikos selbst zu tragen, und es sollte auch nicht nötig sein: Die Verantwortung dafĂŒr liegt allein beim Hersteller.