Abo
  • IT-Karriere:

Android & Play Store: Google möchte die Signierschlüssel der App-Entwickler

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Artikel veröffentlicht am ,
Google möchte für die Entwickler signieren.
Google möchte für die Entwickler signieren. (Bild: Pixabay)

Als der Entwickler des beliebten XMPP-Client Conversations Daniel Gultsch kürzlich eine neue Version der Android-App im Google Play Store veröffentlichen wollte, erhielt er eine Warnung von Google: Seine App enthalte unoptimierten Code. Er solle seine App von Google mittels dem Programm App Bundles optimieren lassen. Dazu muss allerdings der Signaturschlüssel, mit dem die App signiert wird, ebenfalls an Google übertragen und damit die Hoheit über die App aus der Hand gegeben werden.

Stellenmarkt
  1. BSI Systeme GmbH, Mönchengladbach
  2. OEDIV KG, Bielefeld

Im Android-Ökosystem spielen App-Signaturen eine wichtige Rolle. Die Signatur sichert die Integrität der App und schützt sie vor Veränderungen. Beispielsweise kann eine Android-App nur aktualisiert werden, wenn die installierte Version der App mit dem gleichen Schlüssel signiert wurde wie das Update. Google weist darauf hin, dass sich der Signaturschlüssel "über die gesamte Lebensdauer Ihrer App hinweg nicht ändern [darf]. Halten Sie Ihren App-Signaturschlüssel geheim." Erlangen Dritte Zugriff auf den Signierschlüssel, können sie die App austauschen und mit Schadcode versehen.

Den Signaturschlüssel kann der App-Entwickler allerdings auch Google übergeben, die dann das Signieren für ihn übernehmen. So kann Google beispielsweise mit App Bundles Änderungen und Optimierungen an der App vornehmen, sie an einzelne Gerätekonfigurationen anpassen und so die Paketgröße reduzieren. Anschließend signiert Google die einzelnen APKs mit dem hinterlegten Signaturschlüssel. Hierdurch könnte Google allerdings auch ungewollte Änderungen vornehmen oder eine Version für bestimmte Play-Store-Kunden generieren, die eine Hintertüre enthält. Der App-Entwickler hat hierauf keinen Einfluss mehr. "Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte - auch beziehungsweise gerade nicht an Google", kommentiert der Sicherheitsexperte Mike Kuketz auf Mastodon.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 139,00€ (Bestpreis!)
  3. 339,00€ (Bestpreis!)

ZeldaFreak 28. Jun 2019

Dass Google automatisch mal machen kann, ist ja gerade das Problem. Google kann die Apps...

HeroFeat 28. Jun 2019

Aber da der Signatur Schlüssel ja scheinbar über die gesamte Lebensdauer der App gleich...

iha (Golem.de) 28. Jun 2019

Augen heute Nacht entspannt und Fehler beseitigt. Nun sollte es stimmen!

IchBIN 28. Jun 2019

Dazu fällt mir ein: Ich habe 2 Smartphones: 1x Xperia X mit SailfishOS 3, da läuft ein...


Folgen Sie uns
       


Asus ROG Phone 2 ausprobiert

Das neue ROG Phone II von Asus richtet sich an Mobile Gamer - ist angesichts der Topausstattung aber auch für alle anderen Nutzer interessant.

Asus ROG Phone 2 ausprobiert Video aufrufen
HP Pavilion Gaming 15 im Test: Günstig gut gamen
HP Pavilion Gaming 15 im Test
Günstig gut gamen

Mit dem Pavilion Gaming 15 bietet HP für 1.000 Euro ein Spiele-Notebook an, das für aktuelle Titel genügend 1080p-Leistung hat. Auch Bildschirm und Ports taugen, dafür nervt uns die voreingestellte 30-fps-Akku-Drossel.
Ein Test von Marc Sauter

  1. Gaming-Notebooks Asus ROG mit Core i9 und fixen oder farbstarken Displays

Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

    •  /