• IT-Karriere:
  • Services:

Android & Play Store: Google möchte die Signierschlüssel der App-Entwickler

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Artikel veröffentlicht am ,
Google möchte für die Entwickler signieren.
Google möchte für die Entwickler signieren. (Bild: Pixabay)

Als der Entwickler des beliebten XMPP-Client Conversations Daniel Gultsch kürzlich eine neue Version der Android-App im Google Play Store veröffentlichen wollte, erhielt er eine Warnung von Google: Seine App enthalte unoptimierten Code. Er solle seine App von Google mittels dem Programm App Bundles optimieren lassen. Dazu muss allerdings der Signaturschlüssel, mit dem die App signiert wird, ebenfalls an Google übertragen und damit die Hoheit über die App aus der Hand gegeben werden.

Stellenmarkt
  1. EDAG Engineering GmbH, Mönsheim
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Münster

Im Android-Ökosystem spielen App-Signaturen eine wichtige Rolle. Die Signatur sichert die Integrität der App und schützt sie vor Veränderungen. Beispielsweise kann eine Android-App nur aktualisiert werden, wenn die installierte Version der App mit dem gleichen Schlüssel signiert wurde wie das Update. Google weist darauf hin, dass sich der Signaturschlüssel "über die gesamte Lebensdauer Ihrer App hinweg nicht ändern [darf]. Halten Sie Ihren App-Signaturschlüssel geheim." Erlangen Dritte Zugriff auf den Signierschlüssel, können sie die App austauschen und mit Schadcode versehen.

Den Signaturschlüssel kann der App-Entwickler allerdings auch Google übergeben, die dann das Signieren für ihn übernehmen. So kann Google beispielsweise mit App Bundles Änderungen und Optimierungen an der App vornehmen, sie an einzelne Gerätekonfigurationen anpassen und so die Paketgröße reduzieren. Anschließend signiert Google die einzelnen APKs mit dem hinterlegten Signaturschlüssel. Hierdurch könnte Google allerdings auch ungewollte Änderungen vornehmen oder eine Version für bestimmte Play-Store-Kunden generieren, die eine Hintertüre enthält. Der App-Entwickler hat hierauf keinen Einfluss mehr. "Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte - auch beziehungsweise gerade nicht an Google", kommentiert der Sicherheitsexperte Mike Kuketz auf Mastodon.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de

ZeldaFreak 28. Jun 2019

Dass Google automatisch mal machen kann, ist ja gerade das Problem. Google kann die Apps...

HeroFeat 28. Jun 2019

Aber da der Signatur Schlüssel ja scheinbar über die gesamte Lebensdauer der App gleich...

iha (Golem.de) 28. Jun 2019

Augen heute Nacht entspannt und Fehler beseitigt. Nun sollte es stimmen!

IchBIN 28. Jun 2019

Dazu fällt mir ein: Ich habe 2 Smartphones: 1x Xperia X mit SailfishOS 3, da läuft ein...


Folgen Sie uns
       


Apple TV Plus ausprobiert

Wir haben uns Apple TV+ auf einem Apple TV angeschaut. Apples eigener Abostreamingdienst lässt viele Komfortfunktionen vermissen.

Apple TV Plus ausprobiert Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
Apple-Betriebssysteme
Ein Upgrade mit Schmerzen

Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
Ein Bericht von Jan Rähm

  1. Betriebssystem Apple veröffentlicht MacOS Catalina
  2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
  3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

    •  /