AppXpose AppXpose
← All posts ← Alle Beiträge
· AppXpose · Permissions · Android Privacy · Permission Creep · Dangerous Permissions

Why does this app need microphone permission? Warum braucht diese App Mikrofonzugriff?

Why do apps request microphone, location, or contacts access they don't need? A field guide to Android permission creep and how to spot it. Warum fordern Apps Mikrofon-, Standort- oder Kontaktzugriff, den sie nicht brauchen? Ein Leitfaden zu Android Permission Creep und wie du es erkennst.

You install a recipe app. It works fine for a week. Then one day, after a routine update, your phone shows a banner: “RecipeBox would like to access your microphone.” No context. No explanation. Just a yes-or-no dialog and a pause in your morning.

This is permission creep, and it is so common on Android that most users have stopped reading the dialogs entirely. Which is exactly the point. It is also one of the reasons the standard spyware detection ritual is broken.

What the categories actually mean

Android sorts permissions into a few buckets, and the names matter:

  • Normal permissions: things like internet access and Bluetooth proximity. Granted automatically. Low risk.
  • Dangerous permissions: location, contacts, microphone, camera, storage, SMS, phone, calendar, body sensors, call log. These require an explicit grant. If you see a permission dialog at all, it is almost certainly one of these. Apps like Instagram and Telegram request many of them.
  • Special permissions: things the system considers sensitive enough to need a manual trip into Settings. Display over other apps, accessibility services, notification listener, “device admin”, “exact alarms”.
  • Signature permissions: only granted to apps signed by the same key as the requestor. You will essentially never see these unless you are a developer.

The dangerous ones are the ones you should be reading. The special ones are the ones you should be terrified of.

The “we need it for X” trap

When you tap a permission dialog and the app shows a custom screen explaining why it needs the permission, the explanation is almost always technically true and almost always misleading.

A few real examples we have seen in the wild:

  • A photo editor asking for contacts “to let you tag friends in your edits”. The contacts list was uploaded once, on first launch, before any tagging feature was used. It was sold to a data broker the same week.
  • A weather app asking for the microphone “to let you say a city name aloud instead of typing”. The voice feature existed but was buried five settings deep. The microphone was used for ambient ad targeting, which is its own dystopian rabbit hole.
  • A flashlight app asking for location “to set the right brightness for your timezone”. You can imagine the rest of that sentence.

The pattern is the same. The app asks for something dangerous. It gives you a half-true reason. The actual use is something else entirely, and you will never see the receipts unless you go looking. AppXpose shows you exactly which permissions each app requests and why they matter.

The four questions to ask before you tap allow

When a dangerous permission dialog appears, run the answer through these in your head:

  1. Does this permission make sense for what the app does at all? A flashlight asking for contacts: no. A messaging app asking for contacts: yes.
  2. Is the timing suspicious? Asking on first launch is normal. Asking three months in, after a routine update, is a red flag. Updates are when permission creep happens.
  3. Is the permission necessary for the feature, or just convenient? A delivery app technically needs location for delivery. It does not need location while not in use.
  4. What does the app gain if you say no? If saying no breaks a feature you actually use, that is honest. If saying no does nothing visible and the app keeps working fine, the permission was never about your experience.

The settings menu nobody opens

Every Android phone has a permission manager. It lives at:

Settings → Privacy → Permission Manager

Open it. Pick “Location”. Look at the list of apps that have it.

Almost every Android user we know has been surprised by at least one entry in that list. For perspective, our research data from 3,745 analyzed apps shows that dangerous permission requests correlate strongly with high tracker counts. An app they granted location to once, three years ago, for one feature, that has been quietly receiving location updates ever since.

You can revoke any of these, today, in two taps. Most apps will keep working. The few that break were the ones using the permission in ways you would not have agreed to anyway.

The point

The Android permission model is one of the most user-friendly in the industry. The problem is not the dialog. The problem is that the dialog is the only line of defense, and the only person on duty is you, on a Tuesday morning, half asleep, trying to find a recipe.

The next time a permission banner pops up, do not just tap allow. Do not just tap deny either. Stop and run the four questions. And if the answer is “I have no idea why this app needs this”, that is not paranoia. That is the right answer.

Du installierst eine Rezept-App. Eine Woche lang läuft sie problemlos. Dann eines Tages, nach einem Routine-Update, zeigt dein Handy ein Banner: „RecipeBox möchte auf dein Mikrofon zugreifen.” Kein Kontext. Keine Erklärung. Nur ein Ja-oder-Nein-Dialog und eine Pause in deinem Morgen.

Das nennt sich Permission Creep, und es ist auf Android so weit verbreitet, dass die meisten Nutzer die Dialoge gar nicht mehr lesen. Was natürlich genau der Punkt ist.

Was die Kategorien tatsächlich bedeuten

Android sortiert Berechtigungen in mehrere Kategorien, und die Namen sind wichtig:

  • Normale Berechtigungen: Sachen wie Internetzugang und Bluetooth-Nähe. Werden automatisch gewährt. Niedriges Risiko.
  • Gefährliche Berechtigungen: Standort, Kontakte, Mikrofon, Kamera, Speicher, SMS, Telefon, Kalender, Körpersensoren, Anrufprotokoll. Diese erfordern eine ausdrückliche Zustimmung. Wenn du überhaupt einen Berechtigungsdialog siehst, ist es fast immer einer von diesen.
  • Spezielle Berechtigungen: Dinge, die das System für so sensibel hält, dass du manuell in die Einstellungen gehen musst. Anzeige über anderen Apps, Bedienungshilfen, Benachrichtigungs-Listener, „Geräteadministrator”, „Exakte Alarme”.
  • Signatur-Berechtigungen: Werden nur an Apps vergeben, die mit demselben Schlüssel signiert sind wie die anfordernde App. Diese siehst du praktisch nie, außer du bist Entwickler.

Die gefährlichen sind die, die du lesen solltest. Vor den speziellen solltest du Angst haben.

Die „Wir brauchen das für X”-Falle

Wenn du auf einen Berechtigungsdialog tippst und die App einen eigenen Bildschirm zeigt, der erklärt, warum sie die Berechtigung braucht, ist die Erklärung fast immer technisch korrekt und fast immer irreführend.

Ein paar reale Beispiele, die wir in freier Wildbahn gesehen haben:

  • Ein Foto-Editor, der nach Kontakten fragt, „damit du Freunde in deinen Bearbeitungen markieren kannst”. Die Kontaktliste wurde einmal beim ersten Start hochgeladen, bevor irgendein Markierungs-Feature genutzt wurde. Sie wurde noch in derselben Woche an einen Datenbroker verkauft.
  • Eine Wetter-App, die nach dem Mikrofon fragt, „damit du den Städtenamen laut sagen kannst statt zu tippen”. Das Voice-Feature existierte, war aber fünf Einstellungen tief vergraben. Das Mikrofon wurde für Ambient-Ad-Targeting genutzt, was sein eigenes dystopisches Kaninchenloch ist.
  • Eine Taschenlampen-App, die nach Standort fragt, „um die richtige Helligkeit für deine Zeitzone einzustellen”. Den Rest dieses Satzes kannst du dir denken.

Das Muster ist immer dasselbe. Die App fragt nach etwas Gefährlichem. Sie gibt dir einen halbwahren Grund. Der tatsächliche Zweck ist etwas ganz anderes, und du wirst die Belege nie sehen, außer du suchst aktiv danach.

Die vier Fragen, die du dir stellen solltest, bevor du auf Erlauben tippst

Wenn ein gefährlicher Berechtigungsdialog auftaucht, lass die Antwort durch diese Fragen laufen:

  1. Macht diese Berechtigung überhaupt Sinn für das, was die App tut? Eine Taschenlampe, die nach Kontakten fragt: nein. Eine Messaging-App, die nach Kontakten fragt: ja.
  2. Ist das Timing verdächtig? Beim ersten Start zu fragen ist normal. Drei Monate später nach einem Routine-Update zu fragen ist eine rote Flagge. Updates sind der Moment, in dem Permission Creep passiert.
  3. Ist die Berechtigung notwendig für das Feature, oder nur bequem? Eine Liefer-App braucht technisch Standort für die Lieferung. Sie braucht keinen Standort, wenn sie nicht aktiv genutzt wird.
  4. Was gewinnt die App, wenn du Nein sagst? Wenn ein Nein ein Feature kaputtmacht, das du tatsächlich nutzt, ist das ehrlich. Wenn ein Nein nichts Sichtbares verändert und die App weiter problemlos funktioniert, ging es bei der Berechtigung nie um deine Erfahrung.

Das Einstellungsmenü, das niemand öffnet

Jedes Android-Handy hat einen Berechtigungsmanager. Er liegt unter:

Einstellungen → Datenschutz → Berechtigungsmanager

Öffne ihn. Wähle „Standort”. Schau dir die Liste der Apps an, die ihn haben.

Fast jeder Android-Nutzer, den wir kennen, war von mindestens einem Eintrag in dieser Liste überrascht. Eine App, der sie vor drei Jahren einmal Standortzugriff für ein Feature gegeben haben und die seitdem still weiter Standort-Updates empfängt.

Du kannst jeden dieser Einträge heute mit zwei Tipps widerrufen. Die meisten Apps werden weiter funktionieren. Die wenigen, die kaputtgehen, waren die, die die Berechtigung auf eine Weise genutzt haben, mit der du sowieso nicht einverstanden gewesen wärst.

Der Punkt

Das Android-Berechtigungsmodell ist eines der nutzerfreundlichsten der Branche. Das Problem ist nicht der Dialog. Das Problem ist, dass der Dialog die einzige Verteidigungslinie ist, und die einzige Person im Dienst bist du, an einem Dienstagmorgen, halb verschlafen, beim Versuch ein Rezept zu finden.

Beim nächsten Berechtigungs-Banner: tippe nicht einfach auf Erlauben. Tippe aber auch nicht einfach auf Ablehnen. Halte kurz an und geh die vier Fragen durch. Und wenn die Antwort lautet „Ich habe keine Ahnung, warum diese App das braucht”, dann ist das keine Paranoia. Das ist die richtige Antwort.