Mehr Sicherheit für Nutzer, mehr Macht für Entwickler: Android-Apps mit DRM

0

Der Musikindustrie verdankt der Begriff „Digital Rights Management“ (kurz DRM) seinen schlechten Ruf. Songs mit Verfallsdatum, eingeschränkte Kopiermöglichkeiten, bis hin zur kompletten Unverträglichkeit mit manchen Geräten behinderten über Jahre den digitalen Handel mit Musik. Als sich die Musikindustrie nach und nach von DRM verabschiedete, war es eigentlich schon zu spät, der Wechsel vieler Musikfreunde zu Streamingplattformen unumkehrbar. Und jetzt setzt Google mit seinen Android-Apps auf das längst totgeglaubte Pferd DRM?

Zielgruppe Offliner

Dass der Begriff DRM verbrannt ist, weiß man auch bei Google. In dem Beitrag auf dem Android Developers Blog https://android-developers.googleblog.com/2018/06/google-play-security-metadata-and.html, in dem Produktmanager James Bender die Neuigkeit ankündigt, spricht er stattdessen von „Updates zur App-Sicherheit“ und „Metadaten, die in den Signaturblock der APKs (Paketdaten, mit denen die Apps auf Android-Geräten installiert werden – Anmerkung der Redaktion) eingefügt“ werden. Diese Metadaten bestätigen die Authentizität der App, und künftige Android-Versionen könnten eventuell irgendwann keine Apps mehr zulassen, denen diese Informationen fehlen. Offiziell ist eine solche Absicht aber nicht bestätigt.

Besser schützen will Google damit nach eigenen Angaben Anwender, die mangels Internet-Verbindung ihre Apps nicht aus dem offiziellen Play Store beziehen können, sondern aus Peer-to-Peer-Netzen oder anderen inoffiziellen Quellen. Die Metadaten der Apps bestätigen den Nutzern, dass es sich um offizielle, auch im Play Store erhältliche Apps handelt, und wenn die Nutzer zu einem späteren Zeitpunkt wieder über eine Internetverbindung verfügen, liefert Google ihnen Updates zu dieser App auch über den offiziellen Play Store.

Für App-Entwickler eröffnen sich damit zusätzliche Vertriebsmöglichkeiten. Davon dürften zunächst vor allem die Entwickler profitieren, deren Apps sich an Zielgruppen in Ländern und Regionen richten, wo stabile und schnelle Internetverbindungen rar sind. Auf dem deutschen Festland dürften die meisten Nutzer keine Schwierigkeiten haben, den Play Store zu erreichen, sieht man einmal von unterversorgten ländlichen Regionen ab. In Ägypten, Indien, Brasilien oder Südafrika (um nur ein paar Beispiele zu nennen) ist ein entsprechender Zugang aber selbst in den Touristenregionen eher die Ausnahme als die Regel.

K(l)eine Chance für Malware-Programmierer

Mehr als einmal haben böswillige Entwickler beliebte Apps nachgebaut, mit Spionage- oder Erpesser-Software aufgerüstet und in Umlauf gebracht. Von den beim Computersicherheits-Unternehmen Kaspersky Lab bekannten 5.405.053 einzelnen mobilen Schädlingsdateien haben es 99,88 Prozent auf das Android- Betriebssystem abgesehen.

Einige solcher Apps haben es auch tatsächlich in Googles offiziellen Play Store geschafft (https://www.welivesecurity.com/deutsch/2017/11/15/mehrstufige-malware-im-google-play-store-aufgetaucht/), die weitaus meisten schädlichen Apps sind aber über inoffizielle, weniger gut gesicherte Kanäle auf die Geräte von Nutzern gelangt. Deshalb dürfte Googles Schritt, die Authentizität von Apps über Metadaten in der Signatur abzusichern, insbesondere bei zwangsweisen Nutzern dieser inoffiziellen Kanäle für mehr Vertrauen, und damit auch für mehr Installationen, sorgen. Das Risiko, sich beim Herunterladen einer beliebten App eine Schadsoftware einzufangen, wird künftig stets dasselbe sein, ob der Nutzer sie nun aus dem Play Store bezieht oder bei einem brasilianischen Straßenhändler von dessen Server auf sein Smartphone kopiert.

Künftig mehr Macht für Entwickler denkbar

Derzeit haben Entwickler weder die Aufgabe, noch überhaupt die Möglichkeit, die zur Rede stehenden Metadaten selbst in ihre Apps einzufügen, Google steuert die Daten bei der Erzeugung einer für den Play Store bestimmten Anwendung bei. Nachteile, wie sie die beim Vertrieb von Musik eingesetzten DRM-Systeme mit sich brachten, sind (noch) nicht erkenn- aber durchaus denkbar.

Können Entwickler künftig direkt auf die Metadaten Einfluss nehmen, hätten sie damit zum Beispiel die Möglichkeit, die Nutzer älterer Versionen ihrer Apps zu Updates zu zwingen. Das wäre vielleicht nicht immer im Sinne der Anwender: App-Vermarkter könnten so nach und nach die in den Apps gezeigten Arten von Werbeanzeigen verschärfen, oder sie könnten die beliebtesten Funktionen einer bis dahin kostenlosen App in eine kostenpflichtige Premium-Version übernehmen und nur noch rudimentäre Fähigkeiten in der Gratisvariante belassen. All das passiert schon heute – aber noch können sich Nutzer entscheiden, auf die Aktualisierung einzelner Apps zu verzichten.

Mehr Macht für die Entwickler könnte die Bemühungen um mehr Sicherheit allerdings auch konterkarieren:

„Die Erteilung von Zugriffsrechten ist oftmals eine der Voraussetzungen für die erfolgreiche Infektion mit mobiler Malware bei der Installation einer legitim erscheinenden App – bei der Erfragung von Geräteadministrator-Rechten sollten immer die Alarmglocken schrillen und die Vertrauenswürdigkeit der App sowie der Quelle überprüft werden“

Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab https://www.kaspersky.de/

(dme)

Artikel kommentieren