Google verschärft SafetyNet: Nutzer Alternativer Roms und gerooteter Android-Phones stehen Probleme ins Haus
Prinzipiell ist SafetyNet natürlich eine sehr sinnvolle Funktion von Google Play, um sicherzustellen, dass Android-Smartphones und Tablets, auf denen potentiell kritische Anwendungen wie Banking-Apps laufen, nicht unterwandert wurden. Power-User, die ihre Smartphones rooten, also sich Administrator-Rechte verschaffen, was aus Sicht vieler Entwickler eine potentielle Gefahr darstellt, haben dadurch allerdings mit Einschränkungen bei der App-Auswahl zu rechnen.
Dass eine Bank-App die SafetyNet-Schnittstellen nutzt, um sicherzugehen, dass die Geräte secure sind, kann wohl jeder nachvollziehen, bei einer App von McDonalds ist das aber Overkill und doch passiert genau das bei immer mehr Anwendungen, etwa auch bei beliebten Spielen wie Pokemon Go, wie XDA-Developers berichtet. Bisher war es etwa der Rooting- und Customization Toolsammlung Magisk möglich, den Root-Status zu verstecken und SafetyNet eine sicherer Umgebung vorzuspiegeln, doch es mehren sich Anzeichen, dass Google durch einen Wechsel von reinen Software- zu Hardwarechecks diese Tricks künftig deutlich erschweren wenn nicht gar verunmöglichen wird.
Davor warnt der Magisk-Schöpfer John Wu persönlich in einer Serie an Tweets (1, 2) auf Basis von SafetyNet-Neuerungen, die aktuell testweise ausgerollt werden. Entwickler und Power-User, die künftig gerootete Smartphones verwenden, werden SafetyNet-geschützte Anwendungen wohl nicht mehr nutzen können, falls diese Umstellung auf breiter Basis startet. Das ist aber nicht nur ein Problem für Nutzer mit Admin-Rechten sondern auch für all jene, die planen, alternative Roms wie LineageOS einzusetzen, um die Lebenszeit ihrer Android-Tablet und Android-Phones zu verlängern. Auch die werden möglicherweise weder Banking-Apps noch Pokemon Go oder die McDonalds-App nutzen können, warnt Wu.
Sicherheit geht natürlich vor und so ist durchaus nachvollziehbar warum sich etwa Banking-Apps weigern, auf einem modifizierten Android-Phone zu laufen, weniger kritische Anwendungen sollten von diesem Sicherheitsnetz aber ausgeschlossen werden, merkt Wu an und schlägt einen Qualifizierungsprozess für App-Entwickler vor, die SafetyNet nutzen wollen.
I advocate @AndroidDev to restrict hardware-backed SafetyNet evaluation to "real" security sensitive apps. Developers should go through an application process to qualify this level of API access. It is ridiculous for McDonalds to refuse to run on a bootloader unlocked device.
— John Wu (@topjohnwu) June 29, 2020
Quelle(n)
John Wu (1, 2, 3) via XDA Developers
