Google führt mit der Integration eines Metadatenfelds für die Dateisignatur in die Installationsdatei von Android-Apps ein weiteres Sicherheitsfeature ein. Damit erlaubt Google Entwicklern und Nutzern, offizielle Apps aus dem Play Store herunterzuladen und über andere Kanäle zu verteilen. Mit der Signaturdatei kann überprüft werden, ob es sich dabei um das Original handelt oder um eine modifizerte Datei. Mit dem Schritt möchte Google die Sicherheit bei Offline-Installationen erhöhen.
Bisher war dieses Feld in den Apps nicht enthalten, da die von Google genehmigten Apps offiziell nur für die Installation über den Play Store vorgesehen waren. „Einer der Gründe, warum wir dies tun, ist es, Entwicklern zu helfen, ein breiteres Publikum zu erreichen, insbesondere in Ländern, in denen die gemeinsame Nutzung von Peer-to-Peer-Apps aufgrund kostspieliger Datenpläne und begrenzter Konnektivität üblich ist“, teilt James Bender, Produktmanager von Google Play, in einem Blogbeitrag mit.
Wenn der Benutzer versucht, eine App, die er über eines dieser Peer-to-Peer-App-Sharing-Netzwerke erhalten hat, zu laden, überprüft die Play Store App das zusätzliche Metadatenfeld und kann feststellen, ob die App aus dem offiziellen Google Play Store stammt. Sobald das Gerät wieder online ist, wird die App automatisch so behandelt, als sei sie über den Play Store installiert worden. Sie erhält im Unterschied zu Apps, die installiert wurden, ohne dass eine Verbindung zum Play Store bestand, zukünftig Aktualisierungen.
Auch bisher wurden APK-Dateien signiert. Allerdings schützt die bisher auf Java Archive basierende v1-Signierung nur bestimmte Teile einer APK. Zudem war die Verarbeitung solcher Dateien sehr aufwendig. Der APK-Verifier muss viele nicht vertrauenswürdige (noch nicht verifizierte) Datenstrukturen verarbeiten und dann Daten verwerfen, die nicht durch die Signaturen abgedeckt sind. Dies bietet eine große Angriffsfläche. Außerdem muss der APK-Verifier alle komprimierten Einträge entpacken, was mehr Zeit und Speicherplatz beansprucht. Um diese Probleme zu lösen, hat Google in Android 7.0 das APK Signature Scheme v2 eingeführt.
Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
