Google Play: API ermöglicht Ausschluss gerooteter Geräte

Google bietet Android-Entwicklern neue Möglichkeiten, ihre Apps im Play Store nur für bestimmte Geräte anzubieten. Die Funktion ist Bestandteil eines Updates der Google Play Console, das in der vergangenen Woche auf der Entwicklerkonferenz I/O 2017 präsentiert wurde. Unter anderem können Anbieter per API einstellen, dass ihre App nicht angezeigt wird, wenn sie mit einem Gerät mit Root-Zugang aufgerufen wird.

Im Developers Blog beschreibt Vineet Buch, Director of Product Management für Google Play Apps & Games die Device Catalog genannte Funktion. „Suchen und filtern sie aus umfangreichen Daten für Tausende von durch Google zertifizierten Geräten. Sie können nun Ausschlussregeln mit Leistungsindikatoren wie RAM und System-on-Chip erstellen. Mit feineren Kontrollen können Sie weniger Geräte ausschließen und das beste Erlebnis auf allen Geräten anbieten, die ihre App unterstützt“.

Per Gerätekatalog lassen sich aber auch Apps vor Geräten verstecken, die nicht die SafetyNet-Anforderungen erfüllen. Dazu wiederum gehören Geräte, deren Integrität nach Ansicht von Google durch die Einrichtung eines Root-Zugangs oder anderer aktiver Hacks wie API-Hooking kompromittiert wurde. Außerdem lassen sich nicht von Google zertifizierte Geräte oder Geräte mit freigeschaltetem Bootloader oder Custom Rom ausschließen.

Die wohl erste namhafte App, die diese Funktion nutzt, ist die Clientanwendung des Streaminganbieters Netflix. Allerdings lässt sich die Einschränkung leicht umgehen, indem man das Installationspaket für die Netflix-App aus einer anderen Quelle als dem Play Store bezieht und per Sideloading installiert. Auf diese Hintertür weist auch Google in einem Supportartikel hin.

„SafetyNet-Ausschlüsse schränken nur die Verfügbarkeit Ihrer App im Play Store ein. Die Nutzer können sie mit der APK-Datei weiterhin direkt installieren. Zum weiteren Schutz vor Missbrauch sollten Sie die SafetyNet Attestation API in Ihre App integrieren“, heißt es dort. Letztere prüft zusätzlich nach dem Start der App, ob das Gerät die SafetyNet-Anforderungen erfüllt und beendet die Anwendung, wenn beispielsweise ein Root-Zugang gefunden wurde.

Allerdings lässt sich auch diese Sicherheitsfunktion umgehen. Die alternative Android-Distribution LineageOS bietet beispielsweise die Möglichkeit, den Root-Zugang zu verstecken. Eine ähnliche Aufgabe hat auch das Tool Magisk. Bei Tests zeigte sich, dass Geräten mit der Custom ROM Resurrection Remix OS in Verbindung mit Magisk-Root die Netflix-App im Play Store angezeigt wird. Auch ein Custom ROM oder ein offener Bootloader lassen sich mit Magisk verstecken

Im Forum der XDA Developers tauchen inzwischen allerdings erste Berichte auf, wonach es zumindest bei einigen Geräten nicht mehr möglich ist, SafetyNet auszutricksen. Einem Nutzer gelingt es nach eigenen Angaben nicht mehr, mit seinem gerooteten HTC 10 die SafetyNet-Prüfung zu bestehen. Auch der Wechsel zurück zum Hersteller-Boot-Image habe nichts daran geändert. Er vermutet nun, dass die von HTC implementierte SafetyNet-Prüfung bald auch von allen anderen Herstellern verwendet wird, weswegen künftig wahrscheinlich jede Android-Modifizierung die SafetyNet-Prüfung scheitern lasse.

Sollte es so kommen, wäre das ein schwerer Schlag für Custom ROMs und würde zu einer bizarren Situation führen. Ein mit LineageOS ausgestattetes Sony Xperia Z3 würde beispielsweise trotz aktueller Sicherheitspatches den SafetyNet-Test nicht bestehen, während dasselbe Smartphone mit der Original-ROM und veralteten Sicherheitspatches als sicher gelten würde.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de