Follow

Google sammelt von den App-Entwicklern, die im Play Store veröffentlichen, gerade die (privaten) APK-Signing-Keys ein. Wer diese nicht hochlädt bekommt einen Warnhinweis eingeblendet. Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte - auch bzw. gerade nicht an Google.

Screenshot: Daniel Gultsch (Conversations)

@kuketzblog Die Relevanz des privaten Signing-Keys scheint einigen nicht ganz klar zu sein.

Das Android-Betriebssystem verlangt, dass jede installierte App mit einem digitalen Schlüssel signiert wird. Der Zweck dieser Signatur ist es, den Autor der App zu identifizieren, und nur diesem Autor zu erlauben, Aktualisierungen an der App vorzunehmen. Erlangt jemand in den Besitz des Signing-Keys kann er installierte Apps mit eigenen (schadhaften) App-Versionen austauschen.

@kuketzblog Okay, I've translated it, since I think it's important, using DeepL Translator.

"Google is currently collecting the (private) APK signing keys from the app developers who are publishing on the Play Store.

If you don't upload them, you will get a warning message. It's hopefully unnecessary to mention that the private key should never be given out - not even to Google."

@kuketzblog Prägnanter wäre hier wohl ein Screenshot der "Warning Message" ;)

@kuketzblog
na und? Was sagt diese APK-Signatur denn schon aus? Sind das nicht self-signed Zertifikate? Werden die Zertifikatsinhaber authentisiert? Wohl eher nicht. Dann sagt diese Signatur doch nur, dass die APK-Datei seit dem Signiervorgang nicht verändert wurde. Sie sagt nix über den Entwickler oder den Inhalt der App.
p.s. bin neu hier. wird hier moderiert? 🤔

@sibylla @kuketzblog Korrekt, aber auch ein selbstsignierter Schlüssel kann nicht imitiert werden, nicht mal von Google.

Das heißt, wenn ein Entwickler mit einem selbstsignierten Schlüssel eine App hochlädt und Google irgendwann genötigt wird (Patriot Act, FISA), die App kaputtzupatchen, dann konnten sie das bisher nur, indem sie ihre Prüfroutine manipulieren, sprich, selektiv kaputtmachen.

Nun können sie transparent die Identität des Entwicklers annehmen.

@realTimo
aah, verstehe. Die Bedrohung, gegen die das Konzept schützt, ist also nicht der böse Malware-Entwickler (wie ich immer naiv dachte), der ein manipuliertes Update schickt, vor dem Google uns schützt, nein die Bedrohung ist Google persönlich. 🤔

@sibylla Allgemeiner gesprochen stellt das Konzept sicher, dass derjenige, der die initiale Version verteilt hat auch der Urheber eines Updates ist.

Und das schließt eben eleganterweise auch den Distributor - hier Google - mit ein.

@sibylla
Sie sagt aus, dass wenn du einmal eine app installierst du nur updates mit dem selben key bekommst
@kuketzblog

@NickFreeman @kuketzblog
d.h. das Update kommt garantiert (solange Google den PrK nicht hat) von demselben guten oder bösen oder gefakten Entwickler wie die Vorgängerversion. Okay, das ist mehr als nichts, aber irgendwie nicht genug.
Ist folgendes theoretisch möglich: ich programmiere eine App, signiere sie mit meinem privaten app signing key, dessen Public Key ich selbstsigniert auf "Mike Kuketz" zertifiziert habe und lade sie in den Play Store?

@kuketzblog »Sehe in dem Screenshot jetzt auch keinen Zwang sondern einen Warnhinweis, mehr nicht.«
twitter.com/suka_hiroaki/statu

@frumble @kuketzblog

Oberhalb von Andreas’ Tweet hatte bereits jemand einen Link zum Screenshot gepostet.

Der Einfachheit halber poste ich diesen Link mal hier:

https://twitter.com/iNPUTmice/status/1142469025202692097

@kuketzblog
Wenn Google die private Schlüssel hat, dann können ja endlich selektiv APK's mit Hintertüren verteilt werden.
Natürlich nur an Terroristen oder so. Und nur mit Richtervorbehalt. Versteht sich. 😔

@kuketzblog this is changing the trust model. Not sure if it's worse though. This is the same model #FDroid has used since the beginning.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!