Google bietet Android-Entwicklern neue Möglichkeiten, ihre Apps im Play Store nur für bestimmte Geräte anzubieten. Die Funktion ist Bestandteil eines Updates der Google Play Console, das in der vergangenen Woche auf der Entwicklerkonferenz I/O 2017 präsentiert wurde. Unter anderem können Anbieter per API einstellen, dass ihre App nicht angezeigt wird, wenn sie mit einem Gerät mit Root-Zugang aufgerufen wird.
Per Gerätekatalog lassen sich aber auch Apps vor Geräten verstecken, die nicht die SafetyNet-Anforderungen erfüllen. Dazu wiederum gehören Geräte, deren Integrität nach Ansicht von Google durch die Einrichtung eines Root-Zugangs oder anderer aktiver Hacks wie API-Hooking kompromittiert wurde. Außerdem lassen sich nicht von Google zertifizierte Geräte oder Geräte mit freigeschaltetem Bootloader oder Custom Rom ausschließen.
Die wohl erste namhafte App, die diese Funktion nutzt, ist die Clientanwendung des Streaminganbieters Netflix. Allerdings lässt sich die Einschränkung leicht umgehen, indem man das Installationspaket für die Netflix-App aus einer anderen Quelle als dem Play Store bezieht und per Sideloading installiert. Auf diese Hintertür weist auch Google in einem Supportartikel hin.
„SafetyNet-Ausschlüsse schränken nur die Verfügbarkeit Ihrer App im Play Store ein. Die Nutzer können sie mit der APK-Datei weiterhin direkt installieren. Zum weiteren Schutz vor Missbrauch sollten Sie die SafetyNet Attestation API in Ihre App integrieren“, heißt es dort. Letztere prüft zusätzlich nach dem Start der App, ob das Gerät die SafetyNet-Anforderungen erfüllt und beendet die Anwendung, wenn beispielsweise ein Root-Zugang gefunden wurde.
Allerdings lässt sich auch diese Sicherheitsfunktion umgehen. Die alternative Android-Distribution LineageOS bietet beispielsweise die Möglichkeit, den Root-Zugang zu verstecken. Eine ähnliche Aufgabe hat auch das Tool Magisk. Bei Tests zeigte sich, dass Geräten mit der Custom ROM Resurrection Remix OS in Verbindung mit Magisk-Root die Netflix-App im Play Store angezeigt wird. Auch ein Custom ROM oder ein offener Bootloader lassen sich mit Magisk verstecken
Im Forum der XDA Developers tauchen inzwischen allerdings erste Berichte auf, wonach es zumindest bei einigen Geräten nicht mehr möglich ist, SafetyNet auszutricksen. Einem Nutzer gelingt es nach eigenen Angaben nicht mehr, mit seinem gerooteten HTC 10 die SafetyNet-Prüfung zu bestehen. Auch der Wechsel zurück zum Hersteller-Boot-Image habe nichts daran geändert. Er vermutet nun, dass die von HTC implementierte SafetyNet-Prüfung bald auch von allen anderen Herstellern verwendet wird, weswegen künftig wahrscheinlich jede Android-Modifizierung die SafetyNet-Prüfung scheitern lasse.
Sollte es so kommen, wäre das ein schwerer Schlag für Custom ROMs und würde zu einer bizarren Situation führen. Ein mit LineageOS ausgestattetes Sony Xperia Z3 würde beispielsweise trotz aktueller Sicherheitspatches den SafetyNet-Test nicht bestehen, während dasselbe Smartphone mit der Original-ROM und veralteten Sicherheitspatches als sicher gelten würde.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…