Categories: MobileMobile Apps

Google Play: API ermöglicht Ausschluss gerooteter Geräte

Google bietet Android-Entwicklern neue Möglichkeiten, ihre Apps im Play Store nur für bestimmte Geräte anzubieten. Die Funktion ist Bestandteil eines Updates der Google Play Console, das in der vergangenen Woche auf der Entwicklerkonferenz I/O 2017 präsentiert wurde. Unter anderem können Anbieter per API einstellen, dass ihre App nicht angezeigt wird, wenn sie mit einem Gerät mit Root-Zugang aufgerufen wird.

Im Developers Blog beschreibt Vineet Buch, Director of Product Management für Google Play Apps & Games die Device Catalog genannte Funktion. „Suchen und filtern sie aus umfangreichen Daten für Tausende von durch Google zertifizierten Geräten. Sie können nun Ausschlussregeln mit Leistungsindikatoren wie RAM und System-on-Chip erstellen. Mit feineren Kontrollen können Sie weniger Geräte ausschließen und das beste Erlebnis auf allen Geräten anbieten, die ihre App unterstützt“.

Per Gerätekatalog lassen sich aber auch Apps vor Geräten verstecken, die nicht die SafetyNet-Anforderungen erfüllen. Dazu wiederum gehören Geräte, deren Integrität nach Ansicht von Google durch die Einrichtung eines Root-Zugangs oder anderer aktiver Hacks wie API-Hooking kompromittiert wurde. Außerdem lassen sich nicht von Google zertifizierte Geräte oder Geräte mit freigeschaltetem Bootloader oder Custom Rom ausschließen.

Die wohl erste namhafte App, die diese Funktion nutzt, ist die Clientanwendung des Streaminganbieters Netflix. Allerdings lässt sich die Einschränkung leicht umgehen, indem man das Installationspaket für die Netflix-App aus einer anderen Quelle als dem Play Store bezieht und per Sideloading installiert. Auf diese Hintertür weist auch Google in einem Supportartikel hin.

„SafetyNet-Ausschlüsse schränken nur die Verfügbarkeit Ihrer App im Play Store ein. Die Nutzer können sie mit der APK-Datei weiterhin direkt installieren. Zum weiteren Schutz vor Missbrauch sollten Sie die SafetyNet Attestation API in Ihre App integrieren“, heißt es dort. Letztere prüft zusätzlich nach dem Start der App, ob das Gerät die SafetyNet-Anforderungen erfüllt und beendet die Anwendung, wenn beispielsweise ein Root-Zugang gefunden wurde.

Allerdings lässt sich auch diese Sicherheitsfunktion umgehen. Die alternative Android-Distribution LineageOS bietet beispielsweise die Möglichkeit, den Root-Zugang zu verstecken. Eine ähnliche Aufgabe hat auch das Tool Magisk. Bei Tests zeigte sich, dass Geräten mit der Custom ROM Resurrection Remix OS in Verbindung mit Magisk-Root die Netflix-App im Play Store angezeigt wird. Auch ein Custom ROM oder ein offener Bootloader lassen sich mit Magisk verstecken

Im Forum der XDA Developers tauchen inzwischen allerdings erste Berichte auf, wonach es zumindest bei einigen Geräten nicht mehr möglich ist, SafetyNet auszutricksen. Einem Nutzer gelingt es nach eigenen Angaben nicht mehr, mit seinem gerooteten HTC 10 die SafetyNet-Prüfung zu bestehen. Auch der Wechsel zurück zum Hersteller-Boot-Image habe nichts daran geändert. Er vermutet nun, dass die von HTC implementierte SafetyNet-Prüfung bald auch von allen anderen Herstellern verwendet wird, weswegen künftig wahrscheinlich jede Android-Modifizierung die SafetyNet-Prüfung scheitern lasse.

Sollte es so kommen, wäre das ein schwerer Schlag für Custom ROMs und würde zu einer bizarren Situation führen. Ein mit LineageOS ausgestattetes Sony Xperia Z3 würde beispielsweise trotz aktueller Sicherheitspatches den SafetyNet-Test nicht bestehen, während dasselbe Smartphone mit der Original-ROM und veralteten Sicherheitspatches als sicher gelten würde.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago