Original-URL des Artikels: https://www.golem.de/news/android-play-store-google-moechte-die-signierschluessel-der-app-entwickler-1906-142202.html    Veröffentlicht: 27.06.2019 18:30    Kurz-URL: https://glm.io/142202

Android & Play Store

Google möchte die Signierschlüssel der App-Entwickler

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Als der Entwickler des beliebten XMPP-Client Conversations Daniel Gultsch kürzlich eine neue Version der Android-App im Google Play Store veröffentlichen wollte, erhielt er eine Warnung von Google: Seine App enthalte unoptimierten Code. Er solle seine App von Google mittels dem Programm App Bundles optimieren lassen. Dazu muss allerdings der Signaturschlüssel, mit dem die App signiert wird, ebenfalls an Google übertragen und damit die Hoheit über die App aus der Hand gegeben werden.

Im Android-Ökosystem spielen App-Signaturen eine wichtige Rolle. Die Signatur sichert die Integrität der App und schützt sie vor Veränderungen. Beispielsweise kann eine Android-App nur aktualisiert werden, wenn die installierte Version der App mit dem gleichen Schlüssel signiert wurde wie das Update. Google weist darauf hin, dass sich der Signaturschlüssel "über die gesamte Lebensdauer Ihrer App hinweg nicht ändern [darf]. Halten Sie Ihren App-Signaturschlüssel geheim." Erlangen Dritte Zugriff auf den Signierschlüssel, können sie die App austauschen und mit Schadcode versehen.

Den Signaturschlüssel kann der App-Entwickler allerdings auch Google übergeben, die dann das Signieren für ihn übernehmen. So kann Google beispielsweise mit App Bundles Änderungen und Optimierungen an der App vornehmen, sie an einzelne Gerätekonfigurationen anpassen und so die Paketgröße reduzieren. Anschließend signiert Google die einzelnen APKs mit dem hinterlegten Signaturschlüssel. Hierdurch könnte Google allerdings auch ungewollte Änderungen vornehmen oder eine Version für bestimmte Play-Store-Kunden generieren, die eine Hintertüre enthält. Der App-Entwickler hat hierauf keinen Einfluss mehr. "Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte - auch beziehungsweise gerade nicht an Google", kommentiert der Sicherheitsexperte Mike Kuketz auf Mastodon.  (mtr)


Verwandte Artikel:
Google: Gebrauchte Nest-Kameras ließen Ex-Eigentümer mitgucken   
(21.06.2019, https://glm.io/142063 )
Sicherheitslücke: Outlook-App ermöglichte Auslesen von E-Mails   
(24.06.2019, https://glm.io/142096 )
Apples App-Review: Im Zweifel entscheidet Phil Schiller   
(22.06.2019, https://glm.io/142082 )
Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke   
(13.06.2019, https://glm.io/141879 )
Windows Update: Keine Bluetooth-Verbindung zu unsicheren Geräten   
(12.06.2019, https://glm.io/141850 )

© 1997–2019 Golem.de, https://www.golem.de/