MalwareSchwachstellenIoT-Sicherheit

Google führt 24-Stunden-Wartezeit für App-Sideloading ein – Sicherheit versus Offenheit

Google führt 24-Stunden-Wartezeit für App-Sideloading ein – Sicherheit versus Offenheit
Zusammenfassung

Google führt ein neues Sicherheitssystem für das Installieren von Apps außerhalb des Play Store ein: Nutzer müssen künftig 24 Stunden warten, bevor sie Apps von unverifizierten Entwicklern auf Android-Geräten laden können. Diese Maßnahme soll Malware und Betrugsfälle reduzieren, da Cyberkriminelle in dieser Zeitspanne weniger Chancen haben, ihre Angriffe erfolgreich durchzuführen. Hintergrund ist Googles bereits angekündigte Developer-Verification-Pflicht, die alle App-Entwickler registrieren lassen soll. Allerdings wurde dieser Ansatz von über 50 Organisationen wie F-Droid, dem Electronic Frontier Foundation und The Tor Project kritisiert, da er Privatsphäre-Bedenken aufwirft und Entwickler zusätzlich belastet. Um Kritik zu entschärfen, bietet Google nun kostenlose "Limited Distribution Accounts" für Hobby-Entwickler und Studenten an, die Apps bis zu 20 Geräte verteilen können. Für deutsche Nutzer bedeutet dies eine zusätzliche Sicherheitsebene beim Sideloading, könnte aber auch Open-Source-Projekte beeinflussen. Besonders relevant ist dies angesichts neuer Android-Malware wie Perseus, die verstärkt Nutzer mit Gerätezugriff und Finanzbetrug bedroht. Die neuen Funktionen starten im August 2026.

Mit der neuen Richtlinie reagiert Google auf ein wachsendes Sicherheitsproblem: Cyberkriminelle missbrauchen sidegeloadete Apps gezielt, um ahnungslosen Nutzern Schadsoftware unterzujubeln. Besonders gefährlich ist dabei die Taktik, Opfer dazu zu bringen, erhöhte Systemrechte zu gewähren – was es Angreifern ermöglicht, Play Protect, Googles integriertes Anti-Malware-System, zu deaktivieren.

Die 24-Stunden-Wartefrist soll Kriminelle effektiv ausbremsen. Sameer Samat, President des Android Ecosystems, begründete dies gegenüber Ars Technica: “In diesem Zeitfenster wird es für Angreifer viel schwächer, ihren Angriff durchzuhalten. In dieser Zeit können Sie wahrscheinlich herausfinden, dass Ihr Angehöriger nicht wirklich im Gefängnis sitzt oder Ihr Bankkonto nicht wirklich angegriffen wird.”

Die Kritik von über 50 App-Entwicklern und Plattformen – darunter F-Droid, Brave, Proton und The Tor Project – wird jedoch ernst genommen. Sie bemängeln potenzielle Hürden und fehlende Transparenz bezüglich Datenschutz und Regierungszugriff. Als Antwort bietet Google künftig kostenlose “Limited Distribution Accounts” für Hobby-Entwickler und Studenten an, mit denen Apps auf bis zu 20 Geräten verteilt werden können – ohne Behörden-ID oder Registrierungsgebühren.

Die Dringlichkeit dieser Maßnahmen wird durch aktuelle Malware-Entwicklungen unterstrichen. Das neu entdeckte Android-Malware Perseus zielt gezielt auf Nutzer in der Türkei und Italien ab und führt Device-Takeovers sowie Finanzbetrügereien durch. Im gleichen Zeitraum wurden mindestens 17 Android-Malware-Familien identifiziert, darunter FvncBot, ClayRat, ZeroDayRAT, NexusRoute und mehrere Remote-Access-Trojaner wie TaxiSpy RAT und Oblivion RAT.

Die neuen Sicherheitsmaßnahmen treten ab August 2026 in Kraft, mit einer finalen Implementierung aller Verifizierungsanforderungen im September 2026. Google betont dabei: “Es gibt keine ‚One-Size-Fits-All’-Lösung für unser vielfältiges Ökosystem.” Für deutsche Smartphone-Nutzer und Unternehmens-IT sollte dies eine willkommene Balance zwischen Sicherheit und Flexibilität darstellen.

Ähnliche Artikel