Update aus unbekannter Quelle

[Juniper]

Hallo liebe Community,
Ich brauche eure Hilfe: Um den Überblick die Kosten meines Autos zu behalten, habe ich mir die App "Drivenote: Tankbuch & mehr" installiert und mir als In-App kauf die Pro-Version freigeschaltet. Da es nur kurzzeitig funktioniert hat, habe ich Kontakt zum Support aufgenommen. Nach einigen E-Mails und mehreren "Work-arounds", die nur kurzzeitig den gewünschten Effekt hatten, habe ich nun ein Update bekommen. Das Update kam aber nicht über den Play-Store, sondern als E-Mail Anhang mit dem Namen "Drivenote_r35_1.9.2_rc1.apk" mit 6,4MB. Als ich die bedenken geäußert habe, dass man keine Apps aus unbekannten Quellen installiert, habe ich als antwort erhalten "
das ist auch richtig so. In diesem Fall handelt es sich um ein Update und ist mit keinem Risiko verbunden.
Vor der Installation kommt die Frage, ob das "Update" installiert werden soll. Das ist der Nachweis, dass die Signatur der installierten App und die der Datei übereinstimmen. Wenn dies nicht der Fall wäre, scheitert die Installation und man müsste die App vorher zunächst manuell deinstallieren."
Stimmt das? Oder ist das der Versuch mit Malware zu instalieren? Das Update, welches mir geschickt wurde, ist bislang nicht im Play-Store erschienen.
Ich habe Android 10 installiert, von der App nutze ich aktuell Version 1.9.1.
Vielen Dank für eure Hilfe!
Juniper

 

[swa00]

@Juniper

Stimmt das? Oder ist das der Versuch mit Malware zu instalieren? Das Update, welches mir geschickt wurde, ist bislang nicht im Play-Store erschienen.

Ja und Nein ,

Ja :
Es kann durchaus sein , das diese Version absolut sauber ist und man Dir vorab eine Beta Release geschickt hat .
(um Dir zu helfen)
Ein Update wird i.d.R. erst in einer geschlossenen Gruppe getestet, bevor sie dann in den Playstore geladen wird.
Und das dauert normalerweise mehrere Tage/Wochen.


Nein : (Malware)
Keiner kann das beantworten und auch nicht überprüfen.
Wenn du dir unsicher bist : Einfach auf das offizielle Release im Playstore warten.
Und dann erhält es auch eine gültige Signatur.

 

[rudolf]

Wenn der Update läuft, dann hat das Update die selbe Signatur wie die vorherige aus dem Playstore. Wenn du der vorherigen vertraut hast, kannst du auch dieser vertrauen. Es gibt dann keinen Grund auf den Playstore zu warten.
Wenn der Hersteller dieser App plötzlich Malware produzieren würde, dann gäbe es die auch aus dem Playstore. Die Auskunft des Herstellers ist richtig.

 

[swa00]

@rudolf

Wenn der Update läuft, dann hat das Update die selbe Signatur wie die vorherige aus dem Playstore.

Das muss ich leider an dieser Stelle verneinen.
Signaturen können unterschiedlich sein.

 

[rudolf]

Da liegst du falsch. Ich such mal was raus.

 

[swa00]

@rudolf
Gerne , da bin ich sehr gespannt drauf .

Ich lade täglich Updates in den PlayStore und seit Mitte des Jahres erhalten alle Updates gesonderte und neue Signaturen.
Insbesondere , wenn sie sie das neue Billing oder AboModel Inne haben.
Und darum handelt es sich bei der oben genannten App

 

[rudolf]

"In some circumstances, you might want to change your app's signing key. For example, because you want a cryptographically stronger key or your signing key has been compromised. However, because users can only update your app if the update is signed with the same signing key, it's difficult to change the signing key for an app that's already published."

Sign your app | Android Developers

Beiträge automatisch zusammengeführt: 07.11.2020

Ich hab auch mal drivenote runtergeladen, die Signatur ist von 2014.

Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=Adrian Teichmann
Validity
Not Before: Apr 26 17:39:38 2014 GMT
Not After : Apr 2 17:39:38 2114 GMT
Subject: CN=Adrian Teichmann

 

[swa00]

Lieber Rudolf,

Die von Dir verlinke Beschreibung ( Standardwerk jeden Entwicklers) beschreibt die Vorgehensweise , wie man mit Android Studio eine Signatur für ein signiertes ReleasePackage erstellt.
Es sagt mit Nichten das aus , was du behauptest. - das hat nichts damit zu tun , dass der Playstore bei einem
Update immer die gleiche Signatur besitzt.

Es ist Abhängig vom Entwickler ( und dessen verwendeten Einstellungen und Passwörter).
Das heisst aber nicht - so wie du beschrieben hast, das automatisch bei jedem APK die Signatur gleich ist und sein muss

Der Entwickler entscheidet , wann eine Signatur Änderung vorgenommen werden soll.
Und ich kenne selten einen Entwickler , der aus Sicherheitsgründen seine Signatur gleich behält

Deine Aussage an den TE ist also falsch du kannst nicht einfach behaupten

Wenn der Update läuft, dann hat das Update die selbe Signatur wie die vorherige aus dem Playstore.

So leid es mir auch tut , das ist mit Verlaub gesagt Schmarrn.

Und das sich die Signatur bereits beim Update geändert hat , beschreibt der TE selbst.

 

[rudolf]

So leid es mir auch tut , das ist mit Verlaub gesagt Schmarrn.

Ich erwarte hier auch von einem Moderator dass er sich an die Foren regeln hält und sich benimmt. Ich zitiere mal:
" unsere Seite soll sich durch angenehme Atmosphäre, freundlichen Umgangston und geballte Kompetenz auszeichnen."

Ich habe etwas behauptet und mit Zitaten belegt. Ich war dir gegenüber höflich. Ich verbitte mir daher meine Aussagen als "Schmarrn" zu verunglimpfen.

Beiträge automatisch zusammengeführt: 07.11.2020

Und das sich die Signatur bereits beim Update geändert hat , beschreibt der TE selbst.

Könntest du bitte seine dies bezügliche Aussage zitieren, ich sehe keine solche.

 

[Juniper]

Vielen Dank für eure Hilfe!
Inzwischen ist die neue Version als Beta-Version im Playstore erschienen. Es hat sich jedoch herausgestellt, dass das Problem am falsch verknüpften Google-Konto lag. Das Handy entschiedet sich selbst für ein, leider für das falsche.
LG

 

[deek]

@swa00 du verwirrst mich gerade komplett. Das was @rudolf sagt ist vollkommen richtig. Die Signatur mit der am Ende die entstandene APK signiert wird KANN sich nicht ändern. Sonst funktionieren Updates auf dem Gerät nicht. Updates auf dem Gerät werden nur mit gleicher Signatur akzeptiert. (mindestens mal bis 10 einschließlich, ob sich bei 11 da was ändert weiß ich nicht)

kleines Update: vielleicht spielst du auf Google Play App Signing an. Da verwaltet Google die endgültigen private Keys mit denen die App signiert wird und der Entwickler verwendet nur Zwischenzertifikate. Es kann sein, dass die sich ändern können. Ändert aber nichts an der Tatsache, dass die schlussendliche APK für ein Update mit demselben Key signiert werden muss.
Imho ist Goolgle Play App Signing eine absolut beschissene Idee. Du gibst damit die Kontrolle was am Ende dem User ausgeliefert wird aus der Hand. Theoretisch kann Google damit an deiner App verändern was immer sie wollen bevor es im Store releaset wird. Deswegen werde ich auch so lange möglich darauf setzen meine APKs selbst zu signieren. (Leider will Google das nächstes Jahr ändern, sodass es nicht mehr möglich wäre)

 

[swa00]

@deek - Moin ...

Ich denke , das ist dann auch falsch angekommen -
Auch ist das Technische alles richtig , was du schreibst - da widerspreche ich überhaupt nicht.

Allerdings - und mein Veto ging ausschließlich um die pauschalierte Aussage von rudolf :

Der TE schreibt, er hat ein PreRelase nicht über den Store, sondern per Mail erhalten.
Rudolf schreibt daraufhin, dass die Signaturen von APK-Paketen IMMER gleich sind, wenn das Update läuft.

Wer kann denn als Dritter & Unbeteiligter grundsätzlich ausschließen, dass die Entwickler die Signatur bei
der vorliegenden Beta/alpha Mail-APK nicht geändert haben ?
Hat er den Paketnamen der Email des TE's auch eingesehen , bevor er so eine Aussage trifft ?

Mich hat es nämlich auch stutzig gemacht, warum die Entwickler den TE nicht gleich in die Alphagruppe mit seiner
Email aufgenommen haben. Also gab es vermutlich einen Grund , warum sie ihm das Paket nur p. Mail zugesendet haben.

Somit ist grundsätzlich die Aussage von @rudolf, dass die Signaturen von Paketen IMMER gleich sind, halt Schmarrn .

ich habe mir lediglich erlaubt zwei kleine Sätze dazu zu schreiben

Das muss ich leider an dieser Stelle verneinen.
Signaturen können unterschiedlich sein.

Und schon hat man sich angegriffen gefühlt




Ich persönlich verwende bei Offenen Tests , wie auch bei geschlossenen Tests (also Alpha/Beta) auch eine
andere Signaturen / Paketnamen und vermeide Bundels, so dass ich damit sicher sein kann , dass diese Gruppe
irgendwann mal gezwungen ist, die zukünftigen Releases nur noch über den Store zu bekommen und vor allem,
dass die Version nicht irgendwo anders landet. (e.g. Billing)

Die neue Developer Console erkennt derzeit nicht mehr, wer für welche Betagruppe beim gleichen Paket "valid" ist .
Bei der aktuellen App ist mir des Öfteren vorgekommen dass die Betagruppe nicht das Beta Update erhalten haben,
sondern immer wieder die Version aus dem Store angeboten bekommen haben.
(Der Fehler ist denen bereits bekannt)

Jetzt habe ich wieder die apk Signatur/Pakettrennung vorgenommen und alles ist wieder gut.
Ja , richtig , es ist Mehraufwand - hat sich allerdings bewährt.


API 30 -> Da ist mir dahingehend keine Änderung bekannt , außer ,dass wir ab Juni nur noch Bundles schicken dürfen