Android bekommt Hintertür für Sideloading, aber nur für erfahrene Nutzer
von caschy | 21 Kommentare
Google hat im August angekündigt, dass künftig eine Entwicklerverifizierung nötig sein wird, um Android-Apps zu installieren, auch beim Sideloading. Jetzt rudert das Unternehmen ein Stück zurück und arbeitet an einer Lösung für Leute, die wissen, was sie tun.
Die Verifizierungspläne laufen generell weiter, der Early Access startete aktuell. Parallel dazu bastelt Google aber an einem erweiterten Installationsweg, der es erfahrenen Nutzern erlaubt, die Risiken nicht verifizierter Software bewusst zu akzeptieren. Gedacht ist das Ganze für Entwickler und Power-User.
Der Prozess soll so gestaltet sein, dass niemand unter Druck dazu gebracht werden kann, die Sicherheitschecks zu umgehen. Scammer sollen ihre Opfer also nicht mehr so leicht dazu bringen können, die Warnungen einfach wegzuklicken. Klare Hinweise auf die Risiken wird es geben, aber am Ende liegt die Entscheidung beim Nutzer selbst. Google sammelt gerade Feedback zum Design dieser Funktion und will in den kommenden Monaten mehr Details verraten. Da bin ich wirklich mal gespannt, wie das konkret aussehen soll. Ganz ehrlich: Ich hätte zumindest persönlich nichts dagegen, wenn ich 5x eine Fullscreen-Warnung wegklicken müsste, um eine App zu installieren.
Das Unternehmen hat noch einmal erklärt, warum es die Entwicklerverifizierung überhaupt für wichtig hält. Technische Schutzmaßnahmen sind schön und gut, aber sie können nicht jede Situation abdecken, in der jemand manipuliert wird. Betrüger setzen auf Social Engineering und bringen Leute dazu, genau die Warnungen zu ignorieren, die sie schützen sollen.
Ein Beispiel aus Südostasien macht das Problem deutlich: Ein Scammer ruft an, behauptet, das Bankkonto sei kompromittiert, und nutzt Angst und Zeitdruck, um das Opfer dazu zu bringen, eine angebliche Verifizierungs-App zu installieren. Dabei wird das Opfer regelrecht angeleitet, die Sicherheitswarnungen zu ignorieren. Die App ist natürlich Malware, die Benachrichtigungen abfängt. Wenn sich das Opfer dann in der echten Banking-App anmeldet, schnappt sich die Schadsoftware die Zwei-Faktor-Codes – und schon haben die Betrüger Zugriff aufs Konto.
Google hat zwar Mechanismen, um schädliche Apps zu erkennen und zu entfernen, aber ohne Verifizierung können Angreifer einfach immer neue Apps erstellen. Das wird dann zum endlosen Whack-a-Mole-Spiel. Die Verifizierung zwingt die Übeltäter dazu, eine echte Identität zu verwenden, was Angriffe schwieriger und teurer macht. Im Play Store funktioniert das schon länger, und diese Erfahrungen sollen jetzt auf das gesamte Android-Ökosystem übertragen werden.
Parallel arbeitet Google weiter an einem speziellen Account-Typ für Studenten und Hobby-Entwickler. Damit soll es möglich sein, Apps auf eine begrenzte Anzahl von Geräten zu verteilen, ohne die komplette Verifizierung durchlaufen zu müssen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Vlt sollte man eine total perfide dumme Nachricht ausgeben, damit jeder Pups die Warnung nicht ignoriert.
Sowas wie „Sie sind dumm, wenn Sie auf Fortsetzen drücken um die Warnung zu ignorieren“ 😀
Es würde schon reichen, wenn eine bildschirmfüllende Warnung daher käme!
Aber seien wir mal ehrlich – hat nicht Google selbst mit deren angeblich so „hochsicheren und gut geprüften“ Play Store selbst so einige gefährliche Programme verteilt? Und nur sehr wenige normale Nutzer kämen auf die Idee, Programme außerhalb des Play Stores zu installieren – die wenigsten wissen überhaupt, wie das geht!
Egal wie sie es designen, es wird ein massiver Verstoß sein gegen die EU Vorschrift, alternative Stores zuzulassen. Denn wenn diese Alternativen am Ende nur die gleichen Apps listen können wie der Playstore, sind es keine Alternativen.
? Wo bitte liest du das heraus? Du kannst weiter alles installieren -nur eben mit mehr Arbeit!Ähnliches gilt aber auch heute schon – da dürfen und können ältere Apps gar nicht mehr installiert werden, außer man geht den Weg über ADB und da hat die EU auch nichts dagegen
Die EU verlangt, dass man andere Shopsysteme nutzen können darf. Das heisst, mein F-Droid und mein Obtainium müssen genauso selbstverständlich und simpel Apps installieren und updaten können wie der PlayStore. Was diese Stores machen ist intern nichts anderes als „Sideloading“: Ein APK herunterladen und es dem Android-Installer zu übergeben.
Es dürfte kaum die Kriterien der EU erfüllen, wenn man dann 5 Knöppe mehr drücken muss.
Es steht zu befürchten, dass Google hier dann auf Zeit spielt, irgendwann 50 Euro Strafe zahlt, aber es gibt dann längst keine anderen Quellen mehr.
Dann erklär mir doch mal bitte, wie Google mit dieser massiven Nutzergängelung seiner Pflicht nachkommen will, auch komplett von Google unabhängige Stores wie etwa F-Droid nicht in ihrer Existenz zu bedrohen?
ich habe ja nichts dagegen, das system sicherer zu machen. aber die möglichkeit muss einfach bleiben. bei google weiß man nie, welche absicht sie eigentlich mit ihren ideen tatsächlich verfolgen, selbst wenn sie jetzt wieder zurückrudern.
zitat valve: es ist dein gerät. wer sind wir denn, dir vorzuschreiben, was du damit machen darfst?
Sicherheitstechnisch war es noch nie besonders clever Banking und Auth auf demselben Gerät zu veranstalten.
Wenn man Bequemlichkeit für sich und Andere (Smartphonedieb / Scammer) wählt, sollte man auch die Konsequenzen tragen.
Mit so einem Pseudoargument möchte ich pauschal keine Steine in den Weg gelegt bekommen … erst recht nicht bei einem OS, das eigentlich von Beginn an für/von Leuten gemacht und etabliert wurde, die grundsätzlich wissen, was sie so tun.
Sicherheitstechnisch war es auch nie eine wirklich clevere Idee Android per se für wichtige Programme wie Banking oder ähnliches zu nutzen! Denn Android – egal welche Version! -hat ab Werk so viele Nebentore und Hintertürchen von Google eingebaut bekommen, dass Sicherheit niemals garantiert werden kann.
Sicherheit einzig per Software einzubauen – ARM-Technologie passiert nun mal bei Sicherheit ganz auf Softwarebasteleien, die Hardwareunterstützung ist begrenzt – war nie wirklich eine gute Idee. Dann noch per Software alle Dateien „aus Sicherheitsgründen“ an einer einzigen Stelle durchzuschleifen (und das „Media-Framework zu nennen) definieren ich als „Frechheit^3“ oder auch schlicht:
„super gutes Marketing“
nö. Graphene OS ist Open Source, basiert auf Android und ist aktuell das sicherste mobile OS.
Und jetzt versuch mal, diese völlig haltlosen Lügen zu beweisen. Da bin ich ja mal gespannt…
dem normalen nutzer ist das komplett wumpe was sicherheits technisch sinnvoll oder nicht ist. der will bequemlichkeit
und banking apps sind der bequemste weg
die leute bekommst nur weil du jetzt sagst das is doof nicht davon weg.
das muss vorgeschrieben sein damit die gar nicht die mglk haben da was zu machen
und das wird niemals passieren
ergo bleibt alles wies ist
Das ist kein „Sideload“. Das ist eine ganz normale Installation von Software, die ich einfach nur aus einem ANDEREN Laden habe.
Daran ist nicht ungewöhnlich, und nichts daran ist gefährlicher als die halbherzig ungeprüften „signierten“ Apps aus einem Store. „Signieren“ heisst nichts anderes als: „Wir bei Google glauben zu wissen, wo der Entwickler wohnt.“ Nutzlos. Geschäftsmodell.
Es muss möglich sein, Apps zu installieren und zu updaten, ohne dass auch nur ein Pups und un ein Pixel anders ist als die Installation aus „dem“ Store. Es muss möglich sein, Apps lokal zu backuppen, weil sie aus dem Store verschwunden sind, und diese wieder zu installieren, auch per Batch. Es muss möglich sein, eine App von Github zu laden ohne Nagscreens.
Allein wenn ich schon „gefährlich“ höre. Kaum eine schattige App aus Bangladesh ist so gefährlich wie das ganz normale, legale Datensammel-Werbe-Geschäftsmodell von Google.
der letzte Absatz ist Quatsch.
Datensammlung von Google so schlimm wie scammer die dir dein Konto leerräumen? come on
Mir hat noch nie einer das Konto leer geräumt. Ich bin noch nie gehackt worden. Nichts ist mir je abhanden gekommen.
…ausser…
Google. Die wissen alles über mich. Und was das finanzielle angeht: Werbung funktioniert. Wenn ich überhaupt irgendwo Geld verliere, dann, weil Werbung mich überredet hat, etwas zu kaufen, auf das ich von allein nie gekommen wäre.
Auch ich möchte anmerken, dass dein letzter Satz völliger Unsinn ist.
Macht die Behauptung aber nicht wahr. Gegen Scam-Apps hilft Hirn einschalten. Die sind einfach alle viel zu schlecht gemacht. Viel Spaß allen Apps zu verbieten, Daten massenhaft an Google, Microsoft, Meta und Co zu schicken. Bei vielen Apps mag es per Adblocker-„VPN“ gehen, aber das geht eben nur so lange, wie die App nicht den Dienst verweigert, wenn man das Übertragen der Daten unterbindet.
Gleichzeitig aber unterläuft Google damit die Öffnungspflichten ihres Systems für AppStores Dritter, da sie über die Registrierungspflicht für Entwickler immer noch nen Daumen drauf haben können was man installiert und was nicht.
Das kombiniere man mit den nachrichten über die Entfernung von Ice-Warnungs Apps in den USA und Apples Kuschen vor der Zensur in China wo dann keine schwulen Dating Apps und VPN Anwendungen angeboten werden dürfen.
Sicherheit ist wichtig, aber dafür Freiheit zu Opfern auf einem System das mit seiner Offenheit groß geworden ist? Schande, eine echte Schande.
Gleichzeitig aber unterläuft Google damit die Öffnungspflichten ihres Systems für AppStores Dritter, da sie über die Registrierungspflicht für Entwickler immer noch nen Daumen drauf haben können was man installiert und was nicht.
Das kombiniere man mit den nachrichten über die Entfernung von Ice-Warnungs Apps in den USA und Apples Kuschen vor der Zensur in China wo dann keine schwulen Dating Apps und VPN Anwendungen angeboten werden dürfen.
Sicherheit ist wichtig, aber dafür Freiheit zu Opfern auf einem System das mit seiner Offenheit groß geworden ist? Schande, eine echte Schande.
Rührend wie sich Google um die Sicherheit der Nutzer sorgt.
Nur komisch warum sie nicht vor ihrer Haustür kehren und erstmal den Play Store mit seinen hunderttausenden verseuchten Apps aufräumen. Oder warum sie weiterhin selbst Werbung für Krypto-, Anlage und sonstige Scams verteilen.
Na da kann ich ja von Glück reden, dass ich ein „erfahrener Nutzer“ bin ;P.