• IT-Karriere:
  • Services:

Android & Play Store: Google möchte die Signierschlüssel der App-Entwickler

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Artikel veröffentlicht am ,
Google möchte für die Entwickler signieren.
Google möchte für die Entwickler signieren. (Bild: Pixabay)

Als der Entwickler des beliebten XMPP-Client Conversations Daniel Gultsch kürzlich eine neue Version der Android-App im Google Play Store veröffentlichen wollte, erhielt er eine Warnung von Google: Seine App enthalte unoptimierten Code. Er solle seine App von Google mittels dem Programm App Bundles optimieren lassen. Dazu muss allerdings der Signaturschlüssel, mit dem die App signiert wird, ebenfalls an Google übertragen und damit die Hoheit über die App aus der Hand gegeben werden.

Stellenmarkt
  1. Holtzmann & Sohn GmbH, Ronnenberg
  2. Stromnetz Hamburg GmbH, Hamburg

Im Android-Ökosystem spielen App-Signaturen eine wichtige Rolle. Die Signatur sichert die Integrität der App und schützt sie vor Veränderungen. Beispielsweise kann eine Android-App nur aktualisiert werden, wenn die installierte Version der App mit dem gleichen Schlüssel signiert wurde wie das Update. Google weist darauf hin, dass sich der Signaturschlüssel "über die gesamte Lebensdauer Ihrer App hinweg nicht ändern [darf]. Halten Sie Ihren App-Signaturschlüssel geheim." Erlangen Dritte Zugriff auf den Signierschlüssel, können sie die App austauschen und mit Schadcode versehen.

Den Signaturschlüssel kann der App-Entwickler allerdings auch Google übergeben, die dann das Signieren für ihn übernehmen. So kann Google beispielsweise mit App Bundles Änderungen und Optimierungen an der App vornehmen, sie an einzelne Gerätekonfigurationen anpassen und so die Paketgröße reduzieren. Anschließend signiert Google die einzelnen APKs mit dem hinterlegten Signaturschlüssel. Hierdurch könnte Google allerdings auch ungewollte Änderungen vornehmen oder eine Version für bestimmte Play-Store-Kunden generieren, die eine Hintertüre enthält. Der App-Entwickler hat hierauf keinen Einfluss mehr. "Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte - auch beziehungsweise gerade nicht an Google", kommentiert der Sicherheitsexperte Mike Kuketz auf Mastodon.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Doom Eternal für 26,99€, Prey für 6,99€, Rage 2 für 17,99€, Wolfenstein...
  2. (-40%) 41,99€
  3. (-50%) 14,99€

ZeldaFreak 28. Jun 2019

Dass Google automatisch mal machen kann, ist ja gerade das Problem. Google kann die Apps...

HeroFeat 28. Jun 2019

Aber da der Signatur Schlüssel ja scheinbar über die gesamte Lebensdauer der App gleich...

iha (Golem.de) 28. Jun 2019

Augen heute Nacht entspannt und Fehler beseitigt. Nun sollte es stimmen!

IchBIN 28. Jun 2019

Dazu fällt mir ein: Ich habe 2 Smartphones: 1x Xperia X mit SailfishOS 3, da läuft ein...


Folgen Sie uns
       


Drohnenflug am Strand mit Google Earth Studio - Tutorial

Wir zeigen im kurzen Tutorial, wie man in Earth Studio eine einfache Animation erstellt.

Drohnenflug am Strand mit Google Earth Studio - Tutorial Video aufrufen
    •  /