Google herstelt toegangsrechten van Nextcloud-app voor Android

Android heeft een API waarmee je als gebruiker een map kiest die de app permanent mag gebruiken. Nextcloud heeft een functie die mappen synchroniseert. Google heeft NextCloud verteld de API voor het beheren van een map te gebruiken om mappen te synchroniseren. Ook is er natuurlijk een API voor het kiezen van bestanden om toe te voegen aan NextCloud zonder de hele map toe te staan, en is er een API die de gebruiker in staat stelt om via de normale bestandsbeheerder bestanden te kopiëren naar NextCloud zonder de app ook maar te hoeven openen.

NextCloud vindt dat ze altijd permanent toegang moeten hebben tot alle bestanden, niet tot specifieke mappen die de gebruiker toestaat. Google bestrijdt dat, en vond dat NextCloud de normale API moet gebruiken.

De oude permissie is nog steeds beschikbaar voor bestandsbeheerders, maar dat was NextCloud niet volgens Google.

De reden dat deze permissie zo beperkt is, is dat veel apps op Android de interne opslag gebruikte om om permissies heen te komen. Zo zijn er apps die de afbeeldingen in je cameramap afgaan om je locatiegeschiedenis te achterhalen, zijn er trackers die verborgen bestanden aanmaken om identifiers en andere gegevens uit te wisselen tussen apps om je beter te kunnen stalken, en zo is er nog veel meer. Dat je bestandsverkenner bij al die bestanden mag is één ding, maar zaklampapps en buienalarm hebben daar niks te zoeken.

Google is daarom op kruistocht tegen apps die verregaande permissies hebben. Daaronder valt ook hun push om nieuwe API's te targeten; Google dwingt ontwikkelaars om nieuwe releases te maken van oude apps die gemaakt zijn voor de nieuwste versie, want apps die de oudere versies targeten krijgen backwards compatibility die hun nieuwere bescherming negeert en omzeilt.

NextCloud kan met de nieuwe API een aantal dingen niet, specifiek het synchroniseren van bepaalde gevoelige mappen zoals de root van je opslag, je downloadmap, en de data die andere apps op de interne opslag opslaan. Ook is de nieuwe API wat trager omdat er security-checks in zitten.

NextCloud's blogpost doet alsof ze helemaal niks kunnen met de nieuwe permissies, maar dat is overdreven en onjuist. Ze beweren dat Google zichzelf hier voortrekt, maar de permissie die ze vragen wordt helemaal niet door Google's eigen apps gebruikt. Google Drive kan niet zomaar je downloads in zoals NextCloud dat wil.

Het is goed dat Google probeert om de eindeloze stalkerij van apps en libraries waarvan ontwikkelaars vaak niet eens weten dat ze deze ongein uitvoeren. Het permissiemodel van Android 1.6 was te open en te vrijgevig, en nu zit Google decennia lang de privacy- en beveiligingsproblemen op te lappen.

Google is niet zo'n beste partij maar op dit gebied ben ik het ook weer niet eens met NextCloud. De manier waarop ze technische feiten vertekenen geeft me weinig vertrouwen in de rest van hun woorden. Er zijn hele goede argumenten te vinden waarom de nieuwe API niet geschikt is voor NextCloud, maar in plaats daarvan maken ze er een of ander David versus Goliath-verhaal van. Goed voor de media-aandacht, maar ik heroverweeg mijn keuze voor NextCloud vanwege deze publiciteitsstunt.

Ook is er natuurlijk altijd de optie om NextCloud buiten de Play Store om te installeren voor het handjevol mensen dat toch de Android/data/com.example mappen specifiek wil synchroniseren, maar die optie wil men natuurlijk niet aandragen want dat is minder makkelijk voor eindgebruikers.