Google Play: API ermöglicht Ausschluss gerooteter Geräte

Davon ist bereits die Netflix-App betroffen. Entwickler können dank eines Updates für die Google Play Console nun Apps nach verschiedenen Kriterien wie Leistung und Sicherheit filtern. Allerdings lässt sich die SafetyNet genannte Sicherheitsprüfung derzeit noch leicht umgehen.

Google bietet Android-Entwicklern neue Möglichkeiten, ihre Apps im Play Store nur für bestimmte Geräte anzubieten. Die Funktion ist Bestandteil eines Updates der Google Play Console, das in der vergangenen Woche auf der Entwicklerkonferenz I/O 2017 präsentiert wurde. Unter anderem können Anbieter per API einstellen, dass ihre App nicht angezeigt wird, wenn sie mit einem Gerät mit Root-Zugang aufgerufen wird.

Google Play (Bild: Google)Im Developers Blog beschreibt Vineet Buch, Director of Product Management für Google Play Apps & Games die Device Catalog genannte Funktion. „Suchen und filtern sie aus umfangreichen Daten für Tausende von durch Google zertifizierten Geräten. Sie können nun Ausschlussregeln mit Leistungsindikatoren wie RAM und System-on-Chip erstellen. Mit feineren Kontrollen können Sie weniger Geräte ausschließen und das beste Erlebnis auf allen Geräten anbieten, die ihre App unterstützt“.

Per Gerätekatalog lassen sich aber auch Apps vor Geräten verstecken, die nicht die SafetyNet-Anforderungen erfüllen. Dazu wiederum gehören Geräte, deren Integrität nach Ansicht von Google durch die Einrichtung eines Root-Zugangs oder anderer aktiver Hacks wie API-Hooking kompromittiert wurde. Außerdem lassen sich nicht von Google zertifizierte Geräte oder Geräte mit freigeschaltetem Bootloader oder Custom Rom ausschließen.

SafetyNet-Attestation-API (Tabelle: Google)

Die wohl erste namhafte App, die diese Funktion nutzt, ist die Clientanwendung des Streaminganbieters Netflix. Allerdings lässt sich die Einschränkung leicht umgehen, indem man das Installationspaket für die Netflix-App aus einer anderen Quelle als dem Play Store bezieht und per Sideloading installiert. Auf diese Hintertür weist auch Google in einem Supportartikel hin.

„SafetyNet-Ausschlüsse schränken nur die Verfügbarkeit Ihrer App im Play Store ein. Die Nutzer können sie mit der APK-Datei weiterhin direkt installieren. Zum weiteren Schutz vor Missbrauch sollten Sie die SafetyNet Attestation API in Ihre App integrieren“, heißt es dort. Letztere prüft zusätzlich nach dem Start der App, ob das Gerät die SafetyNet-Anforderungen erfüllt und beendet die Anwendung, wenn beispielsweise ein Root-Zugang gefunden wurde.

Allerdings lässt sich auch diese Sicherheitsfunktion umgehen. Die alternative Android-Distribution LineageOS bietet beispielsweise die Möglichkeit, den Root-Zugang zu verstecken. Eine ähnliche Aufgabe hat auch das Tool Magisk. Bei Tests zeigte sich, dass Geräten mit der Custom ROM Resurrection Remix OS in Verbindung mit Magisk-Root die Netflix-App im Play Store angezeigt wird. Auch ein Custom ROM oder ein offener Bootloader lassen sich mit Magisk verstecken

Xiaomi Mi5 S: Magisk vesteckt Root vor SafetyNet (Bild: ZDNet.de)

Im Forum der XDA Developers tauchen inzwischen allerdings erste Berichte auf, wonach es zumindest bei einigen Geräten nicht mehr möglich ist, SafetyNet auszutricksen. Einem Nutzer gelingt es nach eigenen Angaben nicht mehr, mit seinem gerooteten HTC 10 die SafetyNet-Prüfung zu bestehen. Auch der Wechsel zurück zum Hersteller-Boot-Image habe nichts daran geändert. Er vermutet nun, dass die von HTC implementierte SafetyNet-Prüfung bald auch von allen anderen Herstellern verwendet wird, weswegen künftig wahrscheinlich jede Android-Modifizierung die SafetyNet-Prüfung scheitern lasse.

Sollte es so kommen, wäre das ein schwerer Schlag für Custom ROMs und würde zu einer bizarren Situation führen. Ein mit LineageOS ausgestattetes Sony Xperia Z3 würde beispielsweise trotz aktueller Sicherheitspatches den SafetyNet-Test nicht bestehen, während dasselbe Smartphone mit der Original-ROM und veralteten Sicherheitspatches als sicher gelten würde.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Apps, Google, Mobile, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Google Play: API ermöglicht Ausschluss gerooteter Geräte

Kommentar hinzufügen
  • Am 22. Mai 2017 um 14:28 von Thomas F.

    Gerootete Geräte sind sicherer als nicht gerootete. Was soll diese Diskriminierung?

    • Am 22. Mai 2017 um 15:46 von Kai Schmerer

      Es geht nicht nur um gerootete Geräte. Es geht darum, dass auch Smartphones mit einem offenen Bootloader und/oder einer alternativen ROM wie LineageOS, die standardmäßig nicht gerootet ist, ausgeschlossen werden können.

  • Am 22. Mai 2017 um 14:43 von DoN

    Kurzfristig kommt es da sicher zu obskuren Verhältnissen, langfristig ist dies aber doch sehr zu begrüßen. Irgendwann muss ja mal angefangen werden, die Möglichkeiten zu schaffen, die ein relativ sicheren Betrieb eines Androiden, auch ohne besondere „Eigenverantwortung“, ermöglichen. Damit ist ja nicht ausgeschlossen, dass der der möchte sich immer noch frei mit dem System beschäftigen kann, aber man könnte dann Lieschen Müller ein Gerät in die Hand geben mit dem sie solange „Sicher“ unterwegs ist, solange sie „nur“ Programme aus dem Store lädt.
    Natürlich müssen die Kontrollen im Store dann nochmals kräftig angezogen werden. Möglicherweise mit einem „Payed Security Bereich“ – wo es nur kostenpflichtige Apps gibt, die aber eine besondere Prüfung hinter sich haben.
    Und nein, dann kann man eben nicht gleich auf iOS umschwenken.

    • Am 22. Mai 2017 um 17:39 von Sam

      Sorry DoN, ich versteh Deinen Kommentar nicht?

      Fakt ist: Google+Hersteller schaffen es nicht ihr System zeitnah zu Patchen. Bzw. oft ist nach 2 Jahren Schluss. Dann sind Infekte ueber DriveByDownloads moeglich wie es z.B.: bei Webview moeglich war. Ich besitzte das LG G2 und nutzte es mit Lineageos 14.1 (Android 7.1.2)!

      Was soll es da bringen den Store besser zu ueberwachen.

      Der Hauptgrund fuer Googles Strategie wird es sein, Werbeblocker auszuschliessen oder Datenschutz Funktionen wie bei Lineageos zu verhindern, so dass Googles Kunden (App Entwickler) aus dem Vollen schoepfen koennen. Der User hat daraus keinen Vorteil…

      • Am 23. Mai 2017 um 1:24 von DoN

        Darum geht es doch gar nicht. Damit eben keine Infektion durch veränderte Apps möglich ist, muss die App die Möglichkeit haben sich vor offenen Systemen zu verstecken. Sideload kann ja nur passieren wenn man das zulässt. Man könnte also eine Androidversion auf dem Phone haben die standardmäßig kein Sideload zulässt, dann braucht man einen Bereich mit wirklich geprüften Apps im Store. Damit kommt Lieschen Müller gar nicht in die Verlegenheit eine böse App zu laden. Die „Bastler“ können tun und lassen was sie wollen, haben dann aber keinen Zugang zu den besonders sicheren Apps. Es geht also darum, die MÖGLICHKEIT zu schaffen, dass man ein Phone verkauft, welches zumindest von dem Standpunkt Appsicherheit Lieschen Müller nicht überfordert. Dass das nicht von heute auf morgen Bulletproof ist, ist klar, aber man muss endlich anfangen und zwar auf Seiten von Google. BB nennt es DTEK, Samsung Knox, etc. Alles Sicherheitsversuche … aber nur übergebügelt, nicht Systeminheränt.

  • Am 2. September 2017 um 2:19 von wolfsstolz

    Wie verrückt diese Sache sieht man an der jetzigen Situation.
    Apps die ich gekauft habe können nicht mehr installiert werden, selbst erneut kaufen ist nicht möglich, da Google die Fehlermeldung bringt, das die App bereits erworbenen wurde.
    Letztendlich ist die einzige Möglichkeit, das ich mir jetzt nur noch gehackte Apps laden kann, für die Devs, die sich jetzt vielleicht noch freuen wird schnell die Ernüchterung kommen, wenn alle die einmal Root hatten keine Apps mehr kaufen oder kaufen können.
    Das hacken von Apps wird übrigens auch mit dieser Option früher oder später möglich sein.
    Bsp. PowerAmp Pro , vor Jahren gekauft, plötzlich wird die App nur als Neukauf angezeigt, nach langem hin und her hat der Entwickler einen Code zum freischalten Geschick, dieser konnte aber nur mit einem anderen Konto freigeschaltet werden, da ja bereits gekauft. Lief jetzt auch 3 Monate, abends noch Musik gehört, morgens will ich erneut hören, da ist der Schlüssel deaktiviert.
    Es nervt langsam, Ich stehe kurz davor den PlayStore via Root zu entfernen und Aptoide als Store zu nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *