Tach!

Wenn aber ein Spiel die Phone-ID und den Standort wissen will, auf meine Kontaktliste zugreifen und meine SMS lesen will, finde ich das, gelinde gesagt, eine Frechheit.

Auch hierfür gibt es sinnvolle Anwendungsfälle. Ersteres dürfte zur Erkennung der Eindeutigkeit genutzt werden. Der Betreiber wird vorwiegend ein monetäres Interesse haben (Eindämmung von unbezahlten Kopien), der Spieler möchte, dass der Betreiber überlebt und ihm der Spielspaß weiterhin zur Verfügung steht. Dass viele am liebsten alles kostenlos haben wollen, ist ziemlich scheinheilig. Davon kann man sich weder ernähren noch Server betreiben. Auch ohne den finanziellen Aspekt dürften Mitspieler ein Interesse daran haben, dass man beispielsweise nicht mit Mehrfach-Accounts unsportliche Vorteile aus dem System zieht. Der Zugriff auf die Kontaktliste und SMS dient vermutlich vorwiegend der sozialen Vernetzung, um seine Kontakte zum Mitspielen einzuladen.

Missbrauch wird nicht lange ungesühnt bleiben. Damit tut sich auch der Hersteller keinen Gefallen. Die Zeit bis zum Shitstorm steht in keinem Verhältnis zur Zeit, die er zur Wiederherstellung seines Rufes benötigt.

Allerdings finde ich den Netzwerkzugriff völlig in Ordnung, wenn die Software mit Werbung finanziert wird.

Dieses Recht gibt es nur in einer uneingeschränkten Form. Theoretisch könnte man damit alles machen, auch Spam verbreiten. Allerdings scheint dieses Recht weniger gefährlich für "Sicherheitsbewusste" zu sein.

Ebenso ist es klar, dass eine App zum Uhrzeit einstellen Root-Rechte haben muss.

Und nach dem Rooten gibt es gleich gar keine Einschränkungen mehr, wenn man sich nicht noch einen "Pförtner" vor das "su" setzt. Hier muss man also noch mehr Vertrauen aufbringen und hat so gut wie keine Übersicht mehr, was die Anwendung anstellen möchte. Wie ist es denn hier mit dem Sicherheitsempfinden? (Dass das Rooten einige nützliche Funktionen ermöglich, zum Beispiel umfassende Backups, ist unbestritten. Ich fände es auch sinnvoller, wenn das Rooten ein eingebautes und nicht nur geduldetes Feature wäre.)

Wie du aber sehr schön aufführst, kann jede Berechtigung ihren Sinn haben, der Programmierer sollte damit aber so sparsam wie möglich sein. Und grad bei Apps von Bahn und ähnlich grossen Konzernen wird da einiges an Rechten verlangt, die oft übertrieben sind. Das kann aber auch mit an der Unfähigkeit (und/oder Faulheit) der Programmierer liegen, es muss nicht immer eine böse Absicht dahinterstehen.

In dem Falle sind es schlicht und einfach die eingebauten Features, die diese Rechte benötigen. Wer diese Funktionalität nicht braucht, kann die Fahrzeiten auch ohne App mit einem normalen Browser auf den Webseiten der Bahn nachschauen.

Da man die gewünschten Rechte unabhängig von der sie verwendenden Code-Stelle deklarieren muss, kann eine App auch mal ein Recht fordern, was wegen entfernter Funktionalität nicht mehr notwendig ist. Dann hat der Programmierer vergessen, das App-Manifest zu bereinigen. Aber auch das ist im Prinzip kein Beinbruch, denn die Rechteanforderung allein ohne ausnutzenden Code, kann gar nichts anstellen.

dedlfix.