Categories: MobileMobile Apps

Google sichert Android-Apps mit erweiterter Dateisignatur ab

Google führt mit der Integration eines Metadatenfelds für die Dateisignatur in die Installationsdatei von Android-Apps ein weiteres Sicherheitsfeature ein. Damit erlaubt Google Entwicklern und Nutzern, offizielle Apps aus dem Play Store herunterzuladen und über andere Kanäle zu verteilen. Mit der Signaturdatei kann überprüft werden, ob es sich dabei um das Original handelt oder um eine modifizerte Datei. Mit dem Schritt möchte Google die Sicherheit bei Offline-Installationen erhöhen.


Bisher war dieses Feld in den Apps nicht enthalten, da die von Google genehmigten Apps offiziell nur für die Installation über den Play Store vorgesehen waren. „Einer der Gründe, warum wir dies tun, ist es, Entwicklern zu helfen, ein breiteres Publikum zu erreichen, insbesondere in Ländern, in denen die gemeinsame Nutzung von Peer-to-Peer-Apps aufgrund kostspieliger Datenpläne und begrenzter Konnektivität üblich ist“, teilt James Bender, Produktmanager von Google Play, in einem Blogbeitrag mit.

Wenn der Benutzer versucht, eine App, die er über eines dieser Peer-to-Peer-App-Sharing-Netzwerke erhalten hat, zu laden, überprüft die Play Store App das zusätzliche Metadatenfeld und kann feststellen, ob die App aus dem offiziellen Google Play Store stammt. Sobald das Gerät wieder online ist, wird die App automatisch so behandelt, als sei sie über den Play Store installiert worden. Sie erhält im Unterschied zu Apps, die installiert wurden, ohne dass eine Verbindung zum Play Store bestand, zukünftig Aktualisierungen.

Auch bisher wurden APK-Dateien signiert. Allerdings schützt die bisher auf Java Archive basierende v1-Signierung nur bestimmte Teile einer APK. Zudem war die Verarbeitung solcher Dateien sehr aufwendig. Der APK-Verifier muss viele nicht vertrauenswürdige (noch nicht verifizierte) Datenstrukturen verarbeiten und dann Daten verwerfen, die nicht durch die Signaturen abgedeckt sind. Dies bietet eine große Angriffsfläche. Außerdem muss der APK-Verifier alle komprimierten Einträge entpacken, was mehr Zeit und Speicherplatz beansprucht. Um diese Probleme zu lösen, hat Google in Android 7.0 das APK Signature Scheme v2 eingeführt.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

12 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago