Google wird ab nächstem Jahr alle Android-App-Entwickler dazu verpflichten, ihre Identität zu bestätigen
Die Offenheit von Android unterschied das System vom iPhone, als vor fast zwei Jahrzehnten die Ära der Touchscreen-Smartphones begann. Nach und nach hat Google einen Teil dieser Offenheit gegen Sicherheit eingetauscht, und seine nächste Sicherheitsinitiative könnte die bisher größten Zugeständnisse machen, um schädliche Apps zu blockieren.
Google hat angekündigt, künftig die Identität aller Android-App-Entwickler zu überprüfen, nicht nur die derjenigen, die im Play Store veröffentlichen. Google beabsichtigt, die Identität der Entwickler unabhängig vom jeweiligen Anbieter zu überprüfen. Apps ohne Verifizierung werden in den kommenden Jahren auf den meisten Android-Geräten nicht mehr funktionieren.
Google hat den Play Store (bzw. den Android Market, wenn man weit genug zurückgeht) früher kaum kuratiert, versucht aber seit langem, den Ruf der Plattform als weniger sicher als den des Apple App Store zu verbessern. Vor Jahren konnte man im offiziellen Store Exploits veröffentlichen, um Root-Zugriff auf Smartphones zu erhalten. Heute gibt es jedoch zahlreiche Überprüfungs- und Erkennungsmechanismen, um die Verbreitung von Malware und verbotenen Inhalten zu reduzieren. Obwohl der Play Store noch nicht perfekt ist, behauptet Google, dass von außerhalb des Stores geladene Apps mit 50-mal höherer Wahrscheinlichkeit Malware enthalten.
Dies, so wird vermutet, ist der Anstoß für Googles neues Entwickler-Verifizierungssystem. Das Unternehmen beschreibt es als eine Art „Ausweiskontrolle am Flughafen“. Seit alle App-Entwickler im Google Play Store ab 2023 ihre Identität verifizieren müssen, ist ein steiler Rückgang von Malware und Betrug zu verzeichnen. Kriminelle im Google Play Store nutzen die Anonymität, um schädliche Apps zu verbreiten. Daher liegt es nahe, dass die Verifizierung von App-Entwicklern außerhalb von Google Play auch die Sicherheit erhöhen könnte.
Um dies jedoch außerhalb des App Stores zu ermöglichen, müsste Google sich ein Beispiel an Apple nehmen und seine Muskeln spielen lassen – auf eine Art und Weise, die viele Android-Nutzer und -Entwickler als aufdringlich empfinden könnten. Google plant eine optimierte Android Developer Console, die Entwickler nutzen können, wenn sie Apps außerhalb des Play Stores vertreiben möchten. Nach der Überprüfung ihrer Identität müssen Entwickler den Paketnamen und die Signaturschlüssel ihrer Apps registrieren. Inhalt und Funktionalität der Apps werden von Google jedoch nicht überprüft.
Google sagt, dass auf zertifizierten Android-Geräten nur Apps mit verifizierter Identität installiert werden können. Das gilt für praktisch jedes Android-Gerät – sofern Google-Dienste darauf installiert sind, handelt es sich um ein zertifiziertes Gerät. Wenn Sie eine Android-Version eines anderen Herstellers auf Ihrem Telefon haben, gilt das alles nicht. Allerdings ist das nur ein verschwindend kleiner Teil des Android-Ökosystems außerhalb Chinas.
Google plant, dieses System im Oktober dieses Jahres mit einem Early Access zu testen. Im März 2026 erhalten alle Entwickler Zugriff auf die neue Konsole, um sich verifizieren zu lassen. Im September 2026 plant Google, diese Funktion in Brasilien, Indonesien, Singapur und Thailand einzuführen. Der nächste Schritt ist noch unklar, aber Google peilt an, die Verifizierungsanforderungen bis 2027 weltweit auszuweiten.
Eine seismische VerschiebungDieser Plan kommt für Android an einem wichtigen Wendepunkt. Das laufende Kartellverfahren von Epic Games gegen Google Play könnte in den kommenden Monaten endgültig zu Änderungen bei Google Play führen. Google hat seine Berufung gegen das Urteil vor einigen Wochen verloren und plant zwar, vor dem Obersten Gerichtshof der USA Berufung einzulegen. Das Unternehmen muss jedoch, sofern es keine weiteren rechtlichen Schritte gibt, mit der Änderung seines App-Vertriebssystems beginnen.
Das Gericht ordnete unter anderem an, dass Google App-Stores von Drittanbietern verteilen und die Weiterverbreitung von Play-Store-Inhalten in anderen Stores zulassen muss. Mehr Möglichkeiten, Apps zu beziehen, könnten die Auswahl erhöhen, was Epic und andere Entwickler wollten. Allerdings verfügen Drittanbieter nicht über die tiefe Systemintegration des Play Stores, sodass Nutzer diese Apps ohne Googles Sicherheitsebenen herunterladen müssen.
Es ist schwer zu sagen, inwieweit dies ein echtes Sicherheitsproblem darstellt. Einerseits ist es verständlich, dass Google besorgt ist – die meisten großen Malware-Bedrohungen für Android-Geräte verbreiten sich über App-Repositorys von Drittanbietern. Die Durchsetzung einer Installations-Whitelist auf fast allen Android-Geräten ist jedoch rigoros. Dies erfordert, dass jeder, der Android-Apps erstellt, die Anforderungen von Google erfüllt, bevor praktisch jeder seine Apps installieren kann. Dies könnte Google helfen, die Kontrolle zu behalten, wenn sich der App-Markt öffnet. Auch wenn die Anforderungen derzeit minimal sein mögen, gibt es keine Garantie dafür, dass dies auch so bleibt.
Die derzeit verfügbare Dokumentation erklärt weder, was passiert, wenn Sie versuchen, eine nicht verifizierte App zu installieren, noch wie Telefone den Verifizierungsstatus überprüfen. Vermutlich wird Google diese Whitelist in den Play Services veröffentlichen, sobald der Implementierungstermin näher rückt. Wir haben diesbezüglich nach Details gefragt und werden berichten, sobald wir etwas erfahren.
Diese Geschichte erschien ursprünglich auf Ars Technica .
wired
