Categories: MobileMobile Apps

Google sichert Android-Apps mit erweiterter Dateisignatur ab

Google führt mit der Integration eines Metadatenfelds für die Dateisignatur in die Installationsdatei von Android-Apps ein weiteres Sicherheitsfeature ein. Damit erlaubt Google Entwicklern und Nutzern, offizielle Apps aus dem Play Store herunterzuladen und über andere Kanäle zu verteilen. Mit der Signaturdatei kann überprüft werden, ob es sich dabei um das Original handelt oder um eine modifizerte Datei. Mit dem Schritt möchte Google die Sicherheit bei Offline-Installationen erhöhen.


Bisher war dieses Feld in den Apps nicht enthalten, da die von Google genehmigten Apps offiziell nur für die Installation über den Play Store vorgesehen waren. “Einer der Gründe, warum wir dies tun, ist es, Entwicklern zu helfen, ein breiteres Publikum zu erreichen, insbesondere in Ländern, in denen die gemeinsame Nutzung von Peer-to-Peer-Apps aufgrund kostspieliger Datenpläne und begrenzter Konnektivität üblich ist”, teilt James Bender, Produktmanager von Google Play, in einem Blogbeitrag mit.

Wenn der Benutzer versucht, eine App, die er über eines dieser Peer-to-Peer-App-Sharing-Netzwerke erhalten hat, zu laden, überprüft die Play Store App das zusätzliche Metadatenfeld und kann feststellen, ob die App aus dem offiziellen Google Play Store stammt. Sobald das Gerät wieder online ist, wird die App automatisch so behandelt, als sei sie über den Play Store installiert worden. Sie erhält im Unterschied zu Apps, die installiert wurden, ohne dass eine Verbindung zum Play Store bestand, zukünftig Aktualisierungen.

Auch bisher wurden APK-Dateien signiert. Allerdings schützt die bisher auf Java Archive basierende v1-Signierung nur bestimmte Teile einer APK. Zudem war die Verarbeitung solcher Dateien sehr aufwendig. Der APK-Verifier muss viele nicht vertrauenswürdige (noch nicht verifizierte) Datenstrukturen verarbeiten und dann Daten verwerfen, die nicht durch die Signaturen abgedeckt sind. Dies bietet eine große Angriffsfläche. Außerdem muss der APK-Verifier alle komprimierten Einträge entpacken, was mehr Zeit und Speicherplatz beansprucht. Um diese Probleme zu lösen, hat Google in Android 7.0 das APK Signature Scheme v2 eingeführt.

Redaktion

Recent Posts

FTC blockiert Microsofts Übernahme von Activision Blizzard

Die Regulierungsbehörde kündigt eine Klage gegen die Transaktion an. Sie erwartet, dass Microsoft den Zugang…

22 Stunden ago

Cybersecurity-Software findet gefährliche IoT-Schwachstellen

Onekey erweitert Schutz gegen Zero-Day-Attacken und bietet transparente Auflistung von Softwarekomponenten.

23 Stunden ago

Pentagon vergibt Cloud-Auftrag – an AWS, Google, Oracle und Microsoft

Der neue Auftrag hat eine Laufzeit bis Juni 2028. Das Auftragsvolumen sinkt von 10 auf…

24 Stunden ago

Cybersecurity-Maßnahmen: Hochbeliebt bedeutet nicht immer hocheffektiv

Unternehmen in der deutschen Finanzbranche ignorieren signifikante Möglichkeiten zur Verbesserung ihrer Cybersicherheit.

2 Tagen ago

Fitness-App gegen Stress und für geringeres Erkrankungsrisiko

Das Jahresende ist auch die Zeit der guten Vorsätze für das nächste Jahr. Tipps für…

2 Tagen ago

Virtuelles Quantencomputing-Labor für Unternehmen

Tata Consultancy Services bietet virtuelle Forschungs- und Entwicklungsumgebung auf Basis von Amazon Braket.

2 Tagen ago