Android: Neue Sideloading-Regeln sollen bei Gerätewechsel weiter erfüllt bleiben

Sideloading auf Geräten mit Googles Android-Betriebssystem wird zwar komplizierter – aber doch etwas weniger, als bisher erwartet: Eine 24-Stunden-Frist, die in bestimmten Fällen abgewartet werden muss, um die Sideloading-Installation durchzuführen, gilt auch für neue Geräte als erfüllt, wenn sie auf einem anderen Gerät schon erfüllt wurde. Darüber informierte jetzt ein Google-Verantwortlicher.

Google hat die neue Frist für die manuelle Installation von Apps aus unbekannten Quellen vor Kurzem angekündigt und setzt sie im Rahmen eines „Advanced Flow“ um. Unbekannt heißt hier: Es handelt sich um eine APK-Datei von einem Entwickler, der sich nicht nach Googles neuen, strengen Richtlinien verifiziert hat. Hintergrund des neuen Advanced Flow ist eine Betrugswelle in Südamerika und Südostasien, bei der die Täter ihre Opfer durch Schockanrufe dazu bringen, Malware-APKs auf ihrem Gerät zu installieren. Dabei geht es oft um den Klau von Kreditkartendaten oder Ähnliches.

Advanced Flow als Mittelweg

Von Anfang an stand Googles neue, restriktive Politik bei dem Thema aber in einem Spannungsfeld: Sicherheit für alle Nutzer einerseits versus Offenheit für die manuelle Installation von Apps andererseits. Der Advanced Flow soll ein Mittelweg sein, jedoch ein mühsamer: Nutzer aktivieren auf ihrem Gerät die Entwickleroptionen, bestätigen dann, dass sie nicht unter Anleitung handeln (beispielsweise von Betrügern), starten ihr Gerät neu (um mögliche Telefonate mit Betrügern zu unterbrechen), warten die 24-Stunden-Frist ab und können dann die Installation durchführen.

Zumindest eine kleine Erleichterung gibt es bei dem Thema: Wer auf einem Gerät bereits den Advanced Flow aktiviert hat und dann auf ein anderes wechselt, der muss ihn hier nicht erneut aktivieren. Das erklärte Matthew Forsythe, Produktmanager bei Google, jetzt in einem Video. Eine Ausnahme macht Forsythe ebenfalls deutlich: Wer seine Apps über die Android Debug Bridge (ADB) am PC installiert, ist vom Advanced Flow nicht betroffen und muss auch keine 24 Stunden warten, so soll es in Zukunft auch bleiben. Die Frist auf dem Gerät über ADB zu deaktivieren, ist laut Forsythe aber nicht möglich.

Verifikationsprozess für Entwickler

Der Advanced Flow kann wahlweise dauerhaft oder für 7 Tage aktiviert werden. Sobald er sich wieder deaktiviert, werden Updates für die betroffenen manuell installierten Apps blockiert. Den Entwicklermodus können Nutzer nach der Aktivierung des Advanced Flow wieder ausstellen, ohne dass der Advanced Flow sich auch deaktiviert. Anderes wäre auch ungünstig, denn manche Apps funktionieren nicht im Entwicklermodus.

Um mit ihren Apps nicht unter die strengen neuen Regeln zu fallen, müssen Entwickler sich selbst und ihre Organisation bei Google verifizieren sowie ihre App signieren. Genaueres dazu hat Google in einem Blogbeitrag und einer Präsentations-PDF veröffentlicht. Die Verifikation soll ab jetzt möglich sein. Ab September dieses Jahres sollen die neuen Regeln dann laut Google für Apps in Brasilien, Indonesien, Singapur und Thailand in Kraft treten, im Zeitraum ab 2027 dann auch weltweit. Sie greifen für zertifizierte Android-Geräte, also solche, auf denen mindestens ein Google-Dienst vorinstalliert ist. Kritiker werfen dem Konzern vor, sich durch die verpflichtende Registrierung zum Torwächter fremder App-Verbreitungswege zu machen.

(nen)