• IT-Karriere:
  • Services:

Android & Play Store: Google möchte die Signierschlüssel der App-Entwickler

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Artikel veröffentlicht am ,
Google möchte für die Entwickler signieren.
Google möchte für die Entwickler signieren. (Bild: Pixabay)

Als der Entwickler des beliebten XMPP-Client Conversations Daniel Gultsch kürzlich eine neue Version der Android-App im Google Play Store veröffentlichen wollte, erhielt er eine Warnung von Google: Seine App enthalte unoptimierten Code. Er solle seine App von Google mittels dem Programm App Bundles optimieren lassen. Dazu muss allerdings der Signaturschlüssel, mit dem die App signiert wird, ebenfalls an Google übertragen und damit die Hoheit über die App aus der Hand gegeben werden.

Stellenmarkt
  1. WITRON Gruppe, Hamm
  2. Universitätsklinikum Münster, Münster

Im Android-Ökosystem spielen App-Signaturen eine wichtige Rolle. Die Signatur sichert die Integrität der App und schützt sie vor Veränderungen. Beispielsweise kann eine Android-App nur aktualisiert werden, wenn die installierte Version der App mit dem gleichen Schlüssel signiert wurde wie das Update. Google weist darauf hin, dass sich der Signaturschlüssel "über die gesamte Lebensdauer Ihrer App hinweg nicht ändern [darf]. Halten Sie Ihren App-Signaturschlüssel geheim." Erlangen Dritte Zugriff auf den Signierschlüssel, können sie die App austauschen und mit Schadcode versehen.

Den Signaturschlüssel kann der App-Entwickler allerdings auch Google übergeben, die dann das Signieren für ihn übernehmen. So kann Google beispielsweise mit App Bundles Änderungen und Optimierungen an der App vornehmen, sie an einzelne Gerätekonfigurationen anpassen und so die Paketgröße reduzieren. Anschließend signiert Google die einzelnen APKs mit dem hinterlegten Signaturschlüssel. Hierdurch könnte Google allerdings auch ungewollte Änderungen vornehmen oder eine Version für bestimmte Play-Store-Kunden generieren, die eine Hintertüre enthält. Der App-Entwickler hat hierauf keinen Einfluss mehr. "Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte - auch beziehungsweise gerade nicht an Google", kommentiert der Sicherheitsexperte Mike Kuketz auf Mastodon.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 97,90€ (keine Versandkosten!)
  2. (u. a. Sandisk Speicherprodukte, Überwachungskameras von Blink)
  3. gratis

ZeldaFreak 28. Jun 2019

Dass Google automatisch mal machen kann, ist ja gerade das Problem. Google kann die Apps...

HeroFeat 28. Jun 2019

Aber da der Signatur Schlüssel ja scheinbar über die gesamte Lebensdauer der App gleich...

iha (Golem.de) 28. Jun 2019

Augen heute Nacht entspannt und Fehler beseitigt. Nun sollte es stimmen!

IchBIN 28. Jun 2019

Dazu fällt mir ein: Ich habe 2 Smartphones: 1x Xperia X mit SailfishOS 3, da läuft ein...


Folgen Sie uns
       


Turrican II (1991) - Golem retro_

Manfred Trenz und Chris Huelsbeck waren 1991 für uns Popstars und Turrican 2 auf C64 und Amiga ihr Greatest-Hits-Album.

Turrican II (1991) - Golem retro_ Video aufrufen
Summit Lite im Test: Auch Montblancs günstige Smartwatch ist zu teuer
Summit Lite im Test
Auch Montblancs "günstige" Smartwatch ist zu teuer

Montblancs Summit Lite ist eine Smartwatch für Fitnessbegeisterte, die nach echter Uhr aussieht. Den Preis halten wir trotz hervorragender Verarbeitung für zu hoch.
Ein Test von Tobias Költzsch

  1. Soziales Netzwerk Bei Facebook entsteht eine Smartwatch im Geheimen
  2. Wearable Amazfit bringt kompakte Smartwatch für 100 Euro
  3. T-Touch Connect Solar Tissots Smartwatch ab 935 Euro in Deutschland verfügbar

AOC Agon AG493UCX im Test: Breit und breit macht ultrabreit
AOC Agon AG493UCX im Test
Breit und breit macht ultrabreit

Der AOC Agon AG493UCX deckt die Fläche zweier 16:9-Monitore in einem Gerät ab. Dafür braucht es allerdings auch ähnlich viel Platz.
Ein Test von Mike Wobker

  1. Agon AG493UCX AOC verkauft 49-Zoll-Ultrawide-Monitor mit USB-C und 120 Hz

Logitech vs. Cherry: Leise klackert es im Büro (oder auch nicht)
Logitech vs. Cherry
Leise klackert es im Büro (oder auch nicht)

Tastaturen für die Büroarbeit brauchen keine Beleuchtung - gut tippen muss man auf ihnen können. Glücklich wird man sowohl mit der Logitech K835 TKL als auch mit der Cherry Stream Desktop.
Ein Test von Tobias Költzsch

  1. SPC Gear Mechanische TKL-Tastatur mit RGB kostet 55 Euro
  2. Launch Neue Details zur Open-Source-Tastatur von System76
  3. Youtube Elektroschock-Tastatur bestraft schlampiges Tippen

    •  /