Mails, die bei einem Android App Entwickler im Spamfilter hängen bleiben

So ein typischer “Sicherheitsratschlag” von Android Experten Bloggern, bei denen gefühlt 90% der Posts aus als Testberichten getarnte Schleichwerbung besteht, lautet ja, man solle nur Apps aus Play installieren, weil… …ja warum eigentlich?

Wenn ich so in meinen Spamfolder schaue, dann kann ich über die Aussage, dass Apps von Play in irgendeiner Weise sicher/seriös sein sollen nur müde lächeln. In schöner Regelmäßigkeit trudelt hier Post von Firmen ein, die offensichtlich Play im großen Stil nach Kontaktadressen abfischen, um dann die Entwickler mit einem “lukrativen Geschäftsvorschlag” anzuschreiben.

Die meisten dieser Vorschläge fallen in die “integriere unser SDK” Kategorie. Die kommen dann von irgendwelche halbseidenen Analytics/Werbeklitschen, von denen man vorher noch nie etwas gehört hat und die versuchen, einem irgendein Gimmick als den heiligen Gral aufzuschwatzen, mit dem sich DAUs (Daily Active Users - Ich entsinne mich noch an einer Zeit, in der wir das Akronym anders verwendet haben) in bare Münze verwandeln zu lassen. Nüchtern betrachtet läuft das dann immer darauf hinaus, dass man irgendwelche Trackingscheisse in seine Apps einbauen und für ein paar Cents pro User den Kopf dafür hinhalten soll, wenn besagte Trackingscheisse dann doch gegen die Play AGB verstößt. Am besten finde ich es ja, wenn die Spammail selbst noch Trackingcode enthält. Da weiß man doch sofort, wo man dran ist.

Als nächstes gibt es da die “Verkauf uns deine App” Kategorie, die sich an App Entwickler richtet, die bereits alle “integriere unser SDK” Angebote durch haben und bisher, oh Wunder, weder reich, noch bei Play rausgeworfen worden sind. Der Text der Spammail ließt sich da immer so, als könnte man selbst die erfolgloseste App noch versilbern. Auf den zweiten Blick bekommt man allerdings eher so 10 bis 20 cent pro aktiven Nutzer angeboten. Also in der Regel ein paar hundert Euro für eine Software, an der man mehrere Monate gearbeitet hat. Frechheit! Nicht nur dass man als Entwickler bei der Bezahlung über den Tisch gezogen wird, man kann danach auch noch dabei zusehen, wie der eigene Ruf ruiniert wird, während der Käufer “sein SDK integriert”.

Die dritte und letzte Kategorie kann man nur als “kreativ” bezeichnen. Da kommen dann echt Vorschläge rein, wo einem erstmal der Kinnladen auf den Tisch fällt. Die Bandbreite reicht von offensichtlich unmoralisch bis wahrscheinlich illegal. Hier möchte der Spammer dann gerne so Dinge tun, wie Bitcoin schürfen oder, mein bisheriger Favorit, das Gerät des Nutzers als Netzwerk Proxy (oder VPN exit node) verwenden.

Tja, und was bedeutet das jetzt für die Vertrauenswürdigkeit des Play Angebotes?

Google hat das Android App Ökosystem vollständig auf Werbefinanzierung ausgerichtet. Selbst wenn wir jetzt mal ganz großzügig Adware nicht als Spyware (und damit Malware) klassifizieren wollen, dann haben wir immer noch das Problem, dass das Werbemodell eben nur für reichweitenstarke Apps funktioniert. Was wird also ein Entwickler wohl machen, wenn er mit seiner Arbeit kein Geld verdienen kann und der Teufel ihm verschlägt, ihm die Seelen seiner Nutzer ab zu kaufen?

So lange ein Großteil der App Entwickler mit ihrer Arbeit kein Geld verdienen kann, haben Malware Klitschen leichtes Spiel. Play automatisch nach Kontaktadressen von Entwicklern mäßig erfolgreicher Apps zu durchsuchen ist ein Kinderspiel. Sich in einer fremden App ein zu nisten ist praktisch risikofrei. Sollte Google die App aus dem Store schmeißen, ist das kein großer Verlust. Man sucht sich einfach neue Trottel, bei denen man sich einkaufen kann. Selbst wenn Google sich auf den Kopf stellt und Rechts und Links Apps rauskantet, wird es immer nur Strohmänner treffen.

TLDR: Jeder, der behauptet, dass Play eine sichere Bezugsquelle für Apps sei, ist ein Vollidiot! Appstore Apps sind bestenfalls tickende Zeitbomben. Wenn eine App für dich unverzichbar ist, mach ein Backup der APK Datei.