• IT-Karriere:
  • Services:

Verschlüsselung: Apps müssen in Android P standardmäßig verschlüsseln

Unverschlüsselte Verbindungen von Android-Apps werden ab Android P automatisch abgewiesen. Ausnahmen von dieser Regel müssen explizit in den Netzwerkeinstellungen zugelassen werden.

Artikel veröffentlicht am ,
Das vorläufige Logo von Android P
Das vorläufige Logo von Android P (Bild: Google)

Google will Android-Nutzer in Android P besser schützen, indem App-Anbieter verpflichtet werden, mit TLS-Verschlüsselung gesicherte Datenübertragungen einzusetzen. Unverschlüsselte Verbindungen sollen künftig die Ausnahme sein und müssen über Einstellungen explizit aktiviert werden.

Stellenmarkt
  1. Der Polizeipräsident in Berlin, Berlin
  2. Modis GmbH, München

Apple hatte App-Entwickler bei seinem Mobilbetriebssystem iOS bereits mit der Version 9 auf verschlüsselte Verbindungen verpflichtet. In Android P werden unverschlüsselte Verbindungen zu Servern künftig automatisch abgewiesen. Eine bereits seit Android Marshmallow eingesetzte Variante der Absicherung: Für ungesicherte Verbindungen muss das Attribut 'android:usesCleartextTraffic' genutzt werden. Entwickler müssen dann aktiv die Entscheidung treffen, die für die Nutzer unsicherere Variante zu wählen - und werden dies bei der Übertragung von Nutzerdaten oder anderen kritischen Merkmalen künftig hoffentlich nicht mehr tun.

Verbindungen ohne TLS müssen beantragt werden

Apps, die für Android P entwickelt werden, sollen künftig standardmäßig TLS nutzen, andernfalls werden diese Verbindungen geblockt. Wenn für einzelne Abfragen nur unverschlüsselte Server zur Verfügung stehen, muss dies in den Network-Security-Optionen für die App explizit festgelegt werden. Dafür steht das Attribut 'cleartextTrafficPermitted' zur Verfügung. Nähere Informationen dazu finden sich in Googles Dokumentation.

Google weist in dem Blogpost darauf hin, dass grundsätzlich alle Verbindungen verschlüsselt werden sollten - weil auch vermeintlich harmlose unverschlüsselte Verbindungen genutzt werden könnten, um unterwünschte Inhalte einzuschleusen, oder die Angriffsfläche der Apps vergrößern könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 96,51€
  2. (reduzierte Überstände, Restposten & Co.)

Proctrap 16. Apr 2018

gut, das wäre immerhin machbar wenn jmd einfach binaries mit liefert gehts zwar trotzdem...

My1 13. Apr 2018

vor allem HTTPS ist auch nicht nur verschlüsselung sondern auch signatur.


Folgen Sie uns
       


Streamen und Aufnehmen in OBS Studio - Tutorial

Wir erläutern in einem kurzen Video die Grundfunktionen von OBS-Studio.

Streamen und Aufnehmen in OBS Studio - Tutorial Video aufrufen
    •  /