Categories: MobileMobile Apps

Google sichert Android-Apps mit erweiterter Dateisignatur ab

Google führt mit der Integration eines Metadatenfelds für die Dateisignatur in die Installationsdatei von Android-Apps ein weiteres Sicherheitsfeature ein. Damit erlaubt Google Entwicklern und Nutzern, offizielle Apps aus dem Play Store herunterzuladen und über andere Kanäle zu verteilen. Mit der Signaturdatei kann überprüft werden, ob es sich dabei um das Original handelt oder um eine modifizerte Datei. Mit dem Schritt möchte Google die Sicherheit bei Offline-Installationen erhöhen.


Bisher war dieses Feld in den Apps nicht enthalten, da die von Google genehmigten Apps offiziell nur für die Installation über den Play Store vorgesehen waren. “Einer der Gründe, warum wir dies tun, ist es, Entwicklern zu helfen, ein breiteres Publikum zu erreichen, insbesondere in Ländern, in denen die gemeinsame Nutzung von Peer-to-Peer-Apps aufgrund kostspieliger Datenpläne und begrenzter Konnektivität üblich ist”, teilt James Bender, Produktmanager von Google Play, in einem Blogbeitrag mit.

Wenn der Benutzer versucht, eine App, die er über eines dieser Peer-to-Peer-App-Sharing-Netzwerke erhalten hat, zu laden, überprüft die Play Store App das zusätzliche Metadatenfeld und kann feststellen, ob die App aus dem offiziellen Google Play Store stammt. Sobald das Gerät wieder online ist, wird die App automatisch so behandelt, als sei sie über den Play Store installiert worden. Sie erhält im Unterschied zu Apps, die installiert wurden, ohne dass eine Verbindung zum Play Store bestand, zukünftig Aktualisierungen.

Auch bisher wurden APK-Dateien signiert. Allerdings schützt die bisher auf Java Archive basierende v1-Signierung nur bestimmte Teile einer APK. Zudem war die Verarbeitung solcher Dateien sehr aufwendig. Der APK-Verifier muss viele nicht vertrauenswürdige (noch nicht verifizierte) Datenstrukturen verarbeiten und dann Daten verwerfen, die nicht durch die Signaturen abgedeckt sind. Dies bietet eine große Angriffsfläche. Außerdem muss der APK-Verifier alle komprimierten Einträge entpacken, was mehr Zeit und Speicherplatz beansprucht. Um diese Probleme zu lösen, hat Google in Android 7.0 das APK Signature Scheme v2 eingeführt.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

13 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

13 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

13 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

18 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago