News Keine Apps aus unbekannten Quellen: Google erschwert ab 2026 Sideloading für Android

[prayhe]

Das Einzige, was mich hin und wieder aufregt, ist die für mich unnütze Google Suchleiste auf dem Desktop, die ich aber nicht weg bekomme.

Das ist wirklich unfassbar nervig am Pixel Launcher. Selbiges mit dem "At a glance" Widget, das selbst im deaktivieren Zustand viel zu viel Platz einnimmt. Und bei Launchern von Drittanbietern (sideloaded btw ) sind die Animationen unter der Gestensteuerung wieder halb kaputt...

 

[1776]

Und wer hindert dich daran Malware zu "sideloaden"?

Was sollte ich sideloaden muessen, wenn der Debian Package Manager eh schon jegliche Software bietet, die ich installiert habe?

Was hindert mich daran, eine verseuchte App im offiziellen Google Play Store auf mein Android zu knallen? Ah genau, garnix, weils Google egal ist.

 

[CPat]

Wie von vor 20 Jahren, sogar noch mit USB-A Kabel.

Vor 20 Jahren waren es TAN-Listen auf Papier. Die TAN-Generatoren kamen später und sind so ziemlich die sicherste Variante. Zudem universell für alle Endgeräte nutzbar als separater, zweiter Faktor über die Bankkarte.

Zeitlich ging die Entwicklung bei meiner Bank etwa so:

TAN-Liste (1 TAN) -> längere TAN-Liste (mehrere TAN) -> TAN-Generator (kleines Gerät in der Schublade + Bankkarte) -> SMS-TAN (per eigenem Mobiltelefon) -> TAN-Generator 2.0 (neuere Generation der Geräte) -> App-TAN (per eigenem Mobiltelefon)

Papier-Listen gibt es bei meiner Bank seit Jahren nicht mehr. SMS-TAN sind ebenfalls aus Sicherheitsgründen entfernt worden.

Anfangs waren die Papier-Listen mit einer Nummer, später mit drei Nummern zur Eingabe. Von da bin ich dann zum TAN-Generator und nutze das Gerät auch heute noch in der aktualisierten Variante. Beides hat keine Netzwerkverbindung oder Software die infiziert wird. Zumal der 2. Faktor eher die Bankkarte ist und der TAN-Generator ein passendes Werkzeug.
Nie genutzt weil schon immer unsicher, habe ich SMS-TAN ausgelassen. Hier ist sowohl das Mobilfunknetz, als auch die SMS unsicher.

Eine Mobile-App ist besser als SMS, da (hoffentlich) eine Verschlüsselung der Daten stattfindet. Durch die Netzwerkverbindung, die umfangreiche App und weitere Software anderer Anbieter auf dem vom Nutzer verwalteten Gerät, sehe ich es jedoch hinter Papier-Listen und TAN-Generatoren was die Sicherheit angeht.
Daher werde ich auch vom TAN-Generator nicht diesen Rückschritt zum Mobiltelefon machen.

 

[KitKat::new()]

Was sollte ich sideloaden muessen, wenn der Debian Package Manager eh schon jegliche Software bietet, die ich installiert habe?

Was sollte ich sideloaden muessen, wenn der Play Store eh schon jegliche Software bietet, die ich installiert habe?

-> Du befürwortest trotzdem, dass Google verhindert, dass Software ohne Google Signatur aufs Smarpthone kommt

 

[1776]

@KitKat::new() Ja natuerlich.
Hoffentlich ist es nur der 1. Schritt.
Aktuell koennte eine App aus dem offiziellen Play Store ungefragt eine weitere App installieren. Ob das nun bewusst von den App Entwicklern gemacht wurde, oder unbewusst von Hackern, die einfach nur die eine Software Bude gehackt hatten.
Das wird damit zumindest mal unterbunden.
Der 2. Schritt muesste sein, dass Google jede einzelne App im Play Store ueberprueft, bevor sie freigegeben wird. Damit wuerde man Malware die direkt in die App gepackt wurde, ebenfalls bekaempfen.
Das sollte das Ziel sein, auch wenn das trotzdem keine 100%ige Sicherheit sein wird. Aber eine dramatische Verbesserung der aktuellen Lage.

Warum sollte man sich einer Verbesserung fuer 99% der Nutzer verschliessen, nur weil 1% der User rumjammert. Das macht keinen Sinn. Dann sollen diese "Poweruser" halt ein Custom Rom draufpacken, wo sie saemtliche Freiheiten haben.

 

[KitKat::new()]

Aktuell koennte eine App aus dem offiziellen Play Store ungefragt eine weitere App installieren.

nein

Der 2. Schritt muesste sein, dass Google jede einzelne App im Play Store ueberprueft, bevor sie freigegeben wird.

wird längst gemacht

Jetzt hast du noch vergessen wie das die Befürwortung fürs Verbot von unverifiziertem sideloading mit deinem Desktop Linux, bei dem jetzt noch unverifiziertes sideloading möglich ist, zusammen passt? Ist doch viel zu unsicher?

 

[1776]

wird längst gemacht

Wo lebst Du denn? Das wird es mitnichten!
Das laeuft durch ein paar Automatisierte Checks auf Standard Viren und Malware, und das wars. Hie und da gibts ne Kontrolle durch einen Mitarbeiter.

Bei Apple wird jede einzelne App, zusaetzlich von Menschen ueberprueft. Und zwar nicht einmal, sondern bei jedem Update der App.

Und deinen Whataboutism kannst Du Dir sparen.

 

[WinnieW2]

War da nicht sogar was dass im Kontext Banken SMS als zweiter Faktor gar nicht mehr zulässig ist?

Zulässig ist SMS als 2nd Factor noch, aber juristisch wird die Sache so bewertet werden dass Banken die SMS immer noch nutzen öfter bei Kontendiebstahl in Haftung genommen werden.

Ergänzung (27. August 2025)

Das habe ich meine Bank auch gefragt. Die haben mir gesagt, ich muß dann mit dem neuen Handy zur Bank kommen und die machen dann die neue Freischaltung.
Hab ich auch schonmal durch. Handywechsel > zu Bank > hat 3 min gedauert. Geht wieder.

Danke, ich hatte überlesen dass du auf meinen Beitrag geantwortet hast.

Ich nutze Online-Banking gerade aus dem Grund dass ich keine Bankfiliale aufsuchen muss, da die Öffnungszeiten solcher Filialen nicht gut zu meinen Arbeitszeiten passen.
Kann sein dass ich mir dafür extra frei nehmen muss, was ich jedoch vermeiden möchte.

Ergänzung (27. August 2025)

Vor 20 Jahren waren es TAN-Listen auf Papier.

TAN-Listen auf Papier sind tatsächlich rechtlich nicht mehr zulässig.

 

[SirSinclair]

Es geht um die Apps für die TANs, nicht die Banking-App selbst.

Ja und? Dafür gibt es doch chip-TAN und Photo-TAN Lesegeräte, wie gesagt, wenn eine Bank das nicht anbietet, würde ich die Bank wechseln.

Ergänzung (27. August 2025)

Und wie genau machst du dann 2FA bzw. das TAN Verfahren?

siehe oben

Ergänzung (27. August 2025)

Aber die Banken schmeißen grade die ChipTANGeneratoren aus dem Portfolio. Werden nicht mehr unterstützt.

Keine Ahnung welche Bank das tut aber die Banken die ich verwende tun das nicht, ganz im Gegenteil hab gerade von comdirect ein neues Photo-TAN Lesegerät kostenlos zugeschickt bekommen.

 

[Farrinah]

....und braucht sich deshalb doch nicht bei Apple einzusperren.

Also ich fühle mich nicht bei Apple eingesperrt. Habe da alles was ich benötige.

 

[Muntermacher]

99,9% der Android leute oder mehr betrifft es sowieso nicht. Hier im Forum würde man Mal wieder denken als wäre es umkehrt.
Außerdem stimmt es schon, es sind ziemlich viel verseuchte apks im umlauf, meist "originale" mit irgendwelchen Backdoors drinnen.

Versteh die Logik nicht. Wenn es kaum jemanden betrifft, ist es doch egal wieviele verseuchte apks im Umlauf sind......

 

[XamBonX]

a) was bedeutet das konrket für f-droid & Co?

G'fickt.

 

[jackii]

QR-Code Apps in 2025 sind ungefähr genau so nützlich wie Taschenlampen Apps Meistens schön mit Werbung zugekleistert, kp warum man sich sowas noch antut^^

Genau wegen der Werbung hab ich keine aus dem Store.
z.B. weil die integrierte von Xiaomi keine Umlaute erfassen kann.

 

[Tevur]

hab gerade von comdirect ein neues Photo-TAN Lesegerät kostenlos zugeschickt bekommen.

Jaja, sicher...

 

[S.Evans]

Dann wirds für mich künftig wohl das Iphone. Die Geräte gefallen mir eigentlich eh besser, aber es war immer schön alles mögliche mal bei Android installieren und ausprobieren zu können.
Kann ja dann bei Bedarf auch noch eines meiner alten Geräte mit custom rom weiter nutzen.

 

[SirSinclair]

Jaja, sicher...

Verstehe deinen Beitrag nicht... dein Screenshot bestätigt doch genau das was ich sagte, das comdirect weiterhin Photo-TAN Lesegeräte anbietet und somit auch unterstützt.

Ich habe den kostenlos bekommen als Ersatz für einen alten der nicht mehr funktionierte, wenn man ein guter Kunde ist bekommt man so manches kostenlos wofür der 08/15 Kunde zahlen muß, das ist nicht nur bei Banken so.

 

[DerAnnoSiedler]

Bei Apple wird jede einzelne App, zusaetzlich von Menschen ueberprueft. Und zwar nicht einmal, sondern bei jedem Update der App.

Ja... Um sicherzustellen, das ja keine App Store Provision umgangen wird.
Und ja, auch dass die App einigermaßen Designstandards folgt, funktioniert und allgemein kein nutzloser Schrott ist.
Aber Sicherheit? Weder verlangt Apple z.B. Source Code noch benötigst du auch nur irgendwelche IT-Kentnisse, wenn du dich als App-Tester bewirbst.

Das Sicherheitskonzept bei Apple basiert ebenfalls maßgeblich auf automatisierten Checks und ganz vor allem einer soliden Sandbox und Permissionsystem. Das geht letzendlich nicht anders.

Um eventuell ein MIssverständniss zu klären:

"Aktuell koennte eine App aus dem offiziellen Play Store ungefragt eine weitere App installieren."

Nein, sicherlich nicht ungefragt. Du musst immer zunächst erlauben dass die App überhaupt andere Apps installieren darf (in den Einstellungen). Und anschließend erlauben, dass die App installiert wird.

Ich würde diesen Dialog übrigens in der Tat kritisieren, denn das "Klickt und nickt alles durch"-Volk - jahrelang trainiert durch erst Windows setup.exe, AGB-Checkboxen und nun Cookie-Banner, ist einfach das Risiko da dass der Dialog auch schnell weggecklickt wird.

Google steht aber vor dem Dilemma: Selbst mit der aktuellen Schwierigkeit, verstößt man effektiv bereits gegen Wettbewerbsregelungen sowohl EU als auch USA. Das gegebenfalls auch maßgeblich als Hintergrund für die neuen Regeln.

----

Häufig ist das Problem jedoch auch, dass die App Binaries nachläd ohne irgendetwas wirklich zu installieren. In jedem Fall ist das Problem expliziet nicht, Google würde App-Updates nicht gescheit checken! Die Apps aktualisieren sich ohne Googles Wissen!

iOS kannst du nicht irgendwo heruntergeladene Binaries einfach so ausgeführt. Dennoch ist auch Apple nicht gany frei von diesem Problem: Interpretierter Code kann nach wie vor geladen werden bzw. Code in der Binary versteckt werden der erst später aktiviert wird.
Beispiele sind z.B. harmlos Epic, das geschafft hat die alternative Bezahlfunktion an Apple vorbeizuschleußen. Oder weniger harmlos, die SparkCat Malware, die es Anfang des Jahres erfolgreich in den App Store geschafft hat.

----

Letzendlich hat Google in Vergangenheit schon einiges vermasselt; muss man ganz klar sagen. Aufgrund der Offenheit, hat man aber wenigstens gute Chancen viel mitzubekommen - effektiv verbietet Apple halt z.B. Sicherheitsforschern die App-Store Apps gescheit zu untersuchen.
Ein Android auf aktuellen Patch-Level (leider keine Selbstverständlichkeit) bei dem man nicht blind Permission vergibt - Sachen installiert, ist zudem eine sehr sichere Geschichte, die sich auch nicht wirklich hinter iOS verstecken muss.

 

[Der Puritaner]

@DeusoftheWired das ist alles schön und gut, aber ich brauche das Smartphone außer zum Telefonieren, Fotografieren und für WA und SMS zu nichts weiter.

Und wenn ich wissen will wie das Wetter ist, schaue ich einfach aus dem Fenster hinaus, das haben die Leute vor 100 Jahren auch schon so gemacht oder sich einfach dementsprechend gekleidet damit es passt oder höre mir den Wetterbericht an, da brauche ich keine App.

Und glaubst doch nicht im Ernst, dass Google die Daten, die sie von dir haben möchten, nicht von den Apps aus anderen Stores nicht bekommt.

Also ich benutze auch den Firefox, eine VPN und Thunderbird oder K-9 auf meinem Smartphone, aber ich schätze mal genau wie unter Windows 10 und 11 versendet auch Android ebenfalls Telemetrie Daten an Google zurück und überwacht uns schön im Hintergrund, nur das es eben nicht so offensichtlich ist, wie es Microsoft eben macht.
Dafür ist das OS ja auch für Lau.

 

[pithein]

Bisher konnte ich Total Commander über einen Datei-Commander laden, da es nicht mehr über Google Play möglich war. Google Drive ist bei Total Commander verschwunden, sodaß ich gezwungen bin, einen anderen Datei-Commander zu verwenden.
Verschwindet dann der kostenlose Total Commander bei Android?

 

[Gleipnir]

Seit wann will Google Play eigentlich zwingend eine Bezahlmethode?