1 month ago
3
Google hat im August angekündigt, dass künftig eine Entwicklerverifizierung nötig sein wird, um Android-Apps zu installieren, auch beim Sideloading. Jetzt rudert das Unternehmen ein Stück zurück und arbeitet an einer Lösung für Leute, die wissen, was sie tun.
Die Verifizierungspläne laufen generell weiter, der Early Access startete aktuell. Parallel dazu bastelt Google aber an einem erweiterten Installationsweg, der es erfahrenen Nutzern erlaubt, die Risiken nicht verifizierter Software bewusst zu akzeptieren. Gedacht ist das Ganze für Entwickler und Power-User.
Der Prozess soll so gestaltet sein, dass niemand unter Druck dazu gebracht werden kann, die Sicherheitschecks zu umgehen. Scammer sollen ihre Opfer also nicht mehr so leicht dazu bringen können, die Warnungen einfach wegzuklicken. Klare Hinweise auf die Risiken wird es geben, aber am Ende liegt die Entscheidung beim Nutzer selbst. Google sammelt gerade Feedback zum Design dieser Funktion und will in den kommenden Monaten mehr Details verraten. Da bin ich wirklich mal gespannt, wie das konkret aussehen soll. Ganz ehrlich: Ich hätte zumindest persönlich nichts dagegen, wenn ich 5x eine Fullscreen-Warnung wegklicken müsste, um eine App zu installieren.
Das Unternehmen hat noch einmal erklärt, warum es die Entwicklerverifizierung überhaupt für wichtig hält. Technische Schutzmaßnahmen sind schön und gut, aber sie können nicht jede Situation abdecken, in der jemand manipuliert wird. Betrüger setzen auf Social Engineering und bringen Leute dazu, genau die Warnungen zu ignorieren, die sie schützen sollen.
Ein Beispiel aus Südostasien macht das Problem deutlich: Ein Scammer ruft an, behauptet, das Bankkonto sei kompromittiert, und nutzt Angst und Zeitdruck, um das Opfer dazu zu bringen, eine angebliche Verifizierungs-App zu installieren. Dabei wird das Opfer regelrecht angeleitet, die Sicherheitswarnungen zu ignorieren. Die App ist natürlich Malware, die Benachrichtigungen abfängt. Wenn sich das Opfer dann in der echten Banking-App anmeldet, schnappt sich die Schadsoftware die Zwei-Faktor-Codes – und schon haben die Betrüger Zugriff aufs Konto.
Google hat zwar Mechanismen, um schädliche Apps zu erkennen und zu entfernen, aber ohne Verifizierung können Angreifer einfach immer neue Apps erstellen. Das wird dann zum endlosen Whack-a-Mole-Spiel. Die Verifizierung zwingt die Übeltäter dazu, eine echte Identität zu verwenden, was Angriffe schwieriger und teurer macht. Im Play Store funktioniert das schon länger, und diese Erfahrungen sollen jetzt auf das gesamte Android-Ökosystem übertragen werden.
Parallel arbeitet Google weiter an einem speziellen Account-Typ für Studenten und Hobby-Entwickler. Damit soll es möglich sein, Apps auf eine begrenzte Anzahl von Geräten zu verteilen, ohne die komplette Verifizierung durchlaufen zu müssen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
