News Apps aus unbekannten Quellen: Google nennt neue Anforderungen für Android-Sideloading

[refskegg]

Ich habs noch nicht so ganz gerallt:
"Dabei handelt es sich um einen einmaligen Vorgang:...."
Also muss ich nur einmal an meinem Smartphone in den Entwickermodus, es neustarten und 24Std. warten.
Wenn ich dann den Zeitraum auf "bis in alle Ewigkeit" stelle, muss ich die Kacke nie wieder machen und alles ist wie jetzt?
Das könnte ich tatsächlich noch verkraften.

 

[icetom]

Klingt wie dubiose Methode, fehlt nur noch dass men in black bei einem vorbei kommen und andeuten, dass man Konsequenzen befürchten muss.

 

[Der Nachbar]

@prayhe​

Android ist aber Google oder wie groß ist die Auswahl an Google freien Android Smartphones in den Läden?

Das AOSP Programm ist für Google Kosten zu senken und die Entwicklung mit freien Mitarbeitern aufzustellen. Google fördert das so freie Programm und am Ende entwickelt es sich wie die Vielfalt der Webbrowser, die selbst auf Chromium von Google basieren.

Ohne den alle an sich bindenden Google Play Store um sie alle zu verzuckern und zu versüßen, rein auf geforkten Android, nimmt man mal autokratische Staaten mit ihren Kontrollmechanismen raus, wäre das so freie Android Smartphone bei den App süchtigen Konsumenten so verbreitet wir das Ubuntu Phone. Android mag zwar quelloffen sein, das ist aber nicht frei und bleibt ein vollständiges Google Projekt. Man hat die Freiheit mitzumachen unter den Bedingungen von Google und das zeigt sich auch bei den Anwendungen.

Ich würde mir ja gerne meine Banking App nachdem ich mich auf meinem Bankkonto angemeldet habe direkt vom Bankserver runterladen dürfen. Gibt es aber nicht, ist an Google Play Store Richtlinien gebunden oder ich lade unsicher über Drittquellen. Google hat wie Apple die Bankenwelt und ihre Kunden voll im Griff, denn lade ich mir meine Banking App, kann mich Google als Person sogar einem Bankinstitut oder Bankengruppe zuordnen. Die Bankinstitute haben lange eigene Lösungen für bargeldlose Bezahlvorgänge verschlafen und Apple Pay und Google Pay übernommen. Welche aktiv installierte Malware App ist wohl da schlimmer, nur haben Google meine Bezahlvorgänge nicht zu interessieren. Das ist ein direkter Bezahlvorgang zwischen meiner Bank und dem Begünstigten ohne einen Dritten in der Tür.

 

[prayhe]

@Der Nachbar Das was die OEMs auf ihren Geräten an Google Diensten vorinstallieren ist nicht mehr Teil vom Android-Kern. Zu sagen Android wäre deshalb nicht sicher ist demnach falsch. Dass es auch anders geht zeigen ja Projekte wie GrapheneOS. Oder ist das etwa kein Android?

 

[Muntermacher]

viele Leute Online-Banking auf dem Handy machen und gleichzeitig das Handy als zweiten Faktor verwenden (was das ganze Sicherheitsprinzip auf den Müll wirft), empfehle ich immer einen Offline-TAN-Generator als 2. FA.
Das Vorgehen bewirkt auch, dass man über seine Überweisung nochmal nachdenkt, bevor man sie tatsächlich autorisiert.

Bei mir ist das Handy der 2. Faktor, Banking läuft nicht darüber

 

[Krik]

"mal eben" eine Smartphone Sandbox überwinden wird auch der beste Trojaner nicht schaffen

Ja, das ist schon klar, aber bei den Faktoren geht es nicht ums Wissen sondern darum, dass es um ein paar Größenordnungen schwieriger ist, mehrere Geräte gleichzeitig zu kompromittieren. Bei einem offline-TAN-Generator ist das sogar unmöglich (außer du brichst bei demjenigen ein und fummelst dran rum, aber wie wahrscheinlich ist das schon).

Eine Sandbox kann auch nur dann als sicher eingestuft werden, wenn das Gerät, auf dem sie läuft, nicht kompromittiert ist.

 

[Muntermacher]

Eine Sandbox kann auch nur dann als sicher eingestuft werden, wenn das Gerät, auf dem sie läuft, nicht kompromittiert ist.

Sagen wir so, Du kannst ein kompromittiertes Handy auch noch als 2. Faktor verwenden: nutze es offline.

 

[DeusoftheWired]

Mittlerweile haben die Organisatoren der Initiative Keep Android Open eine Antwort auf Googles Änderungen verfaßt:

Update: Google has revealed the “advanced flow” — it is not a solution

On March 19, 2026, Google published details of the “advanced flow” mechanism intended for “power users” to allow installation of applications from unverified developers after the lockdown takes effect. It goes like this:

1. Enable Developer Mode by tapping the software build number in About Phone seven times
2. In Settings > System, open Developer Options and scroll down to “Allow Unverified Packages.”
3. Flip the toggle and answer a scare screen confirming that you are not being coerced
4. Enter our device unlock pin/password
5. Restart your device
6. Wait 24 hours
7. Return to the unverified packages menu at the end of the security delay
8. Scroll past additional scare screen warnings and select either “Allow temporarily” (seven days) or “Allow indefinitely.”
9. On the next scare screen, confirm that you understand the risks.
10. You can now install unverified packages on the device by tapping the “Install anyway” option in the package manager.

This entire flow is delivered through Google Play Services, not the Android OS, meaning Google can modify, restrict, or remove it at any time without an OS update and without any user consent. The advanced flow has still not appeared in any Android beta, dev preview, or canary release. As of the date of this update, it exists only as a blog post and UI mockups. The community is being asked to accept a product announcement as a functional safeguard five months before the mandate takes effect.

Until Google provides a shipping implementation that can be independently verified, our position remains unchanged: all apps from non-registered developers will be blocked once their lockdown goes into effect in September 2026.

Quelle: https://keepandroidopen.org/

Ich füge @mischaef auch mal mit hinzu. Ist vielleicht etwas für ein Artikelupdate.

 

[jonderson]

Kannst scheinbar nicht lesen ¯\(ツ)/¯ aber hier - deine Quelle:
Anhang anzeigen 1715177

Wird das hier jetzt betreutes lesen? oO
Hast du deswegen den Abschnitt gepostet damit ich dir den Zusammenfasse? oO

Für die meisten Anwender dürfte die Kombination einer Banking-App mit dem chipTAN-Verfahren sicherer sein

 

[Krik]

This entire flow is delivered through Google Play Services, not the Android OS

Wait! What?
Dann kann das gar keine Lösung sein. Auf meinem Handy habe ich die Play Services gar nicht installiert.

 

[prayhe]

This entire flow is delivered through Google Play Services, not the Android OS

Okay, die Erkenntnis ändert nochmal einiges. Ich ging davon aus das wäre rein eine Sache des OS. Google sollte da definitiv nicht von extern noch die Hand drüber haben.

 

[jonderson]

Wait! What?
Dann kann das gar keine Lösung sein. Auf meinem Handy habe ich die Play Services gar nicht installiert.

Ich tippe darauf es wird so ablaufen:
Wenn du auf einen Handy mit Google Play Services versuchst unbekannte Apps anzuschalten, dann schalten sich die Play Services dazwischen.
Wenn nicht, dann funktioniert es einfach.

Bedeutet aber auch:
Auch "alte" Smartphones werden betroffen sein.

Bedeutet aber auch:
Für die Leute die z.B. ihr Gerät gerootet haben, wird es bypasser geben...

 

[Krik]

@jonderson
Hoffentlich. 🙏
Ich verwende LineageOS und /e/ nur deshalb, weil die ohne Google-Kram kommen.

 

[jackii]

Finde ich vollkommen richtig.
...
Ist doch alles fein.

Hja.. Steht ja stolz in deiner Bio wo das Problem solcher Aussagen ist.

 

[Xilence19]

Stellt euch mal vor es heißt irgendwann: „Tja, also mein iPhone kann das im Gegensatz zu Android.“