News Google Suche: Installation von Applikationen ohne Play-Store-Aufruf

[G00fY]

Was Entwickler von Malware nicht davon abhält ein Popup so aussehen zu lassen, als wäre es lediglich die hier vorgestellte Suchfunktion von Google und es würde sich lediglich um eine harmlose App handeln. Ich halte das für ein potenzielles Einfallstor für Malware.

Leute habt ihr die News gelesen und euch vllt jemals auch nur annähernd mit Android beschäftigt? Man wird weiterhin keine Apps per Browser-Klick installieren können. Die Integration in die Suchfunktion ist schlicht und einfach ein verknüpfter Zugriff auf die Play-Store API. Zumal das bislang ja nur über die Google-App geht. Fremde APKs würden in Chrome maximal wie Downloads behandelt, sprich runtergeladen und die Installation verweigert, außer man stellt unbekannte Quellen explizit in den Sicherheitseinstellungen ein.
Glaube es unterschätzen auch einige wie schwierig es ist, bei der Google Suche auf den ersten paar Seiten zu landen. Dort würde Google sicherlich keine Malwareseiten listen...

Die Überschrift ist schlicht und einfach eine Lüge.

Sehe ich auch so. Waschechte Fehlinformation.

 

[FrAGgi]

Was Entwickler von Malware nicht davon abhält ein Popup so aussehen zu lassen, als wäre es lediglich die hier vorgestellte Suchfunktion von Google und es würde sich lediglich um eine harmlose App handeln. Ich halte das für ein potenzielles Einfallstor für Malware.

Wenn ein Android Benutzer die Funktion aber kennt, wird er spätestens beim Download erkennen, dass es aber eine Täuschung ist, eil die apk dann wie ein normaler Download runtergeladen wird und sich nicht automatisch installiert.

 

[kelevrax]

Ich habe die News durchaus gelesen und mich auch ausgiebig mit Android beschäftigt bzw. tue das auch weiterhin, auch wenn mein Alltagsgeräte keines solches ist.

Ich spreche nicht davon, dass die hier vorgestellte Funktion missbraucht wird, sondern eine APK Installation aus einer Website heraus eingeleitet wird. Jemand bekommt einen Link via Mail, WhatsApp, Forum wie auch immer. Öffnet diesen im Browser, es erschient ein scheinbarer PlayStore Inhalt, obwohl eigentlcih gar nicht die hier gezeigte API verwendet wird, und per klick wird eine Installation eingeleitet.

Ja es wird erstmal ein Download ausgeführt und die apk anschließend zur Installation geöffnet mit der Meldung ob man das Programm installieren möchte. Ja, es setzt voraus, dass die Installation aus unbekannten Quelle aktiviert ist. Auf wievielen Android Geräten ist das der Fall, weil das von irgendwem empfohlen wurde?

Das es eine Möglichkeit gibt, Apps quasi aus dem Browser heraus zu installieren, stellt grundsätzlich das Risiko dar, dass Website so aufgebaut werden, dass sie identisch aussehen, obwohl sie zu keinem Zeitpunkt die hier gezeigte API nutzen.

 

[mischaef]

Die Überschrift war in der Tat missverständlich und wurde korrigiert. Danke für die Hinweise.

 

[Onkelpappe]

Ich habe die News durchaus gelesen und mich auch ausgiebig mit Android beschäftigt bzw. tue das auch weiterhin, auch wenn mein Alltagsgeräte keines solches ist.

Ich spreche nicht davon, dass die hier vorgestellte Funktion missbraucht wird, sondern eine APK Installation aus einer Website heraus eingeleitet wird. Jemand bekommt einen Link via Mail, WhatsApp, Forum wie auch immer. Öffnet diesen im Browser, es erschient ein scheinbarer PlayStore Inhalt, obwohl eigentlcih gar nicht die hier gezeigte API verwendet wird, und per klick wird eine Installation eingeleitet.

Ja es wird erstmal ein Download ausgeführt und die apk anschließend zur Installation geöffnet mit der Meldung ob man das Programm installieren möchte. Ja, es setzt voraus, dass die Installation aus unbekannten Quelle aktiviert ist. Auf wievielen Android Geräten ist das der Fall, weil das von irgendwem empfohlen wurde?

Das es eine Möglichkeit gibt, Apps quasi aus dem Browser heraus zu installieren, stellt grundsätzlich das Risiko dar, dass Website so aufgebaut werden, dass sie identisch aussehen, obwohl sie zu keinem Zeitpunkt die hier gezeigte API nutzen.

das sind aber schon viele wenns. und da kann ich auch jetzt schon eine malware seite aussehen lassen wie die playstore app.

denn wer alle deine wenns erfüllt rafft auch das nicht und hält nen baummarkt briefkasten mit nem roten S vorne drauf für den Einzahlungsautomaten der Sparkasse :-D

 

[kelevrax]

Das sind genauso viele "wenns" wie die, die zu Apples Xcode-Ghost geführt haben. Und doch waren dutzende Apps schlussendlich kompromitiert, und dass obwohl eigentlich a) versierte Menschen betroffen waren, nämlich Developer und b) alle möglichen Alarmglocken geschrillt haben.

 

[FrAGgi]

@kelevrax:
Letztendlich schweifst du damit aber weit vom eigentlichen Thema dieses Beitrags ab, wenn du selbst sagst:

Ich spreche nicht davon, dass die hier vorgestellte Funktion missbraucht wird (...)

Grundsätzlich magst du recht haben, aber das war vorher ja nicht "schlimmer" als es jetzt sein wird.

Generell finde ich es eh seltsam Android die Schuld zu geben, wenn man immer davon ausgeht, dass da draußen nur unwissende Leute rumlaufen, die alles auf Empfehlung von sonst wem an Optionen setzen. Diese Leute sind halt einfach selber schuld, wenn sie nicht bereit sind sich zu informieren. Dann sollen diese Personen eben auf iOS setzen, wenn es dort einen "Schutz für Unwissende" gibt.
Ich wüsste jetzt aber auch nicht, warum ein reiner Anwender zwingend die Option "aus unbekannten Quellen" gesetzt haben sollte.
Meine Eltern haben das auf ihren Android Geräten noch nie gebraucht.
Aber ich bin ganz froh drum diese Möglichkeiten zu haben, Apps auch direkt installieren zu können. Das OS muss ja nicht immer für die Unwissenheit der Benutzer Schuld sein. Es gibt ja Alternativen zu Android.

 

[der_henk]

Das Problem ist, dass du einfach überall APKs beziehen kannst und bei dem Installationsversuch zwar eine Fehlermeldung erhältst, jedoch von dort direkt weiter zu der entsprechenden Option geleitet wirst.
Google könnte hier dazu übergehen diese Option im Entwicklermenü zu verstecken. Darauf hat man schließlich bei allen einigermaßen aktuellen Geräten nur Zugriff wenn man es geziehlt freischaltet.

 

[InkognitoGER]

Etwas Off topic... aber Ziel sollte aus meiner Sicht sein, die Leute etwas mehr zu sensibilisieren über Dinge nachzudenken die Sie tun, anstatt alles zu reglementieren damit gar nichts mehr gedacht werden muss.

 

[kelevrax]

Die Praxis zeigt aber auch, dass die Leute eben nicht darüber nachdenken, was sie da anklicken. Habe schon genug verseuchte und zugemüllte Rechner und Smartphones zur Reparatur da gehabt. Natürlich wäre es wünschenswert, dass die Nutzer mehr mitdenken würden.

 

[raph]

Nur wer zu blöd ist und alles anklicken muss, braucht sich nicht zu wundern.

Das trifft leider auf einen Großteil aller Computer- und Smartphonenutzer zu. Dank dieser DAUs existieren so viele Security-Unternehmen...

Sideloading ist dank des Amazon-Stores bei sehr vielen Geräten an, kann aber auch im Rahmen dieses "Features" bebildert zur "Komfort-Erleichterung" eingerichtet werden.

Das Feature ist quasi eine Einladung für Malwareentwickler.

Man stelle sich vor, Phishing-Mails leiten nicht nur zum falschen Webportal, sondern installieren bei der Gelegenheit noch eine aktuelle extra-sichere Banking-App, die auch mal Premium-SMS verteilt, oder per oftmals möglichen Root-Exploits noch mehr Daten abgrast (Kreditkarten-Infos aus den Shop-Apps Google, Amazon, ...)

 

[kelevrax]

Ergänzend sollte man auch bedenken, dass Die positionierung einer App im Google Play Store (oder jedem anderen App Store) kein Garant für Malware freie Software ist. Die Installation via Browser macht es nur einfacher.

 

[Hovac]

Anders herum fände ich es gut, die Apps direkt und ohne den Umweg über den Playstore.

 

[Battlefield2]

Applikationen? Nennt man das jetzt so?

 

[der_henk]

App = Kurzform für Applikation