Android P: Apps dürfen (fast) nichts mehr unverschlüsselt übertragen

Mit der kommenden Version seines Mobile-Betriebssystems Android führt Google auch neue Vorgaben für die Entwickler von Anwendungen ein, mit denen die Sicherheit für den jeweiligen Nutzer verbessert wird. Es ist ab Android P komplett untersagt, Daten noch unverschlüsselt ins Netz hinauszuschicken. Zuletzt waren verschlüsselte Verbindungen natürlich klar empfohlen, wenn Apps mit Servern kommunizierten und dabei vielleicht sogar noch persönliche Daten der Anwender übertrugen. Wenn ein Entwickler sich aber schlicht nicht für die Sicherheit seines Produkts interessierte, entstanden ihm daraus auch nicht direkt Nachteile. Das ändert sich nun allerdings.

Wie Android-Entwickler Chad Brubaker erklärte, wird mit Android P die Nutzung von TLS-Verbindungen zum Standard erhoben. Das bedeutet auch, dass Programmierer, die ihre App für die neue Plattform-Fassung anbieten wollen und trotzdem noch unverschlüsselte Verbindungen verwenden, damit rechnen müssen, dass ihre Applikation nicht mehr im Play Store gelistet wird.

Ausnahmen sind möglich

Nur in wenigen Ausnahmefällen soll es noch möglich sein, herkömmliche Verbindungen zu verwenden. Das betrifft Fälle, in denen diese für eine Übergangszeit noch benötigt werden, um die Abwärtskompatibilität zu gewährleisten. Hier wollen die Prüfer hinter dem Play Store dann aber zumindest sehen, dass die Entwickler sich Gedanken machen, wie sie diese Übertragungen auf das Notwendigste beschränken. Es funktioniert außerdem nicht, dass man einfach alles lässt wie bisher. Der Entwickler muss im Code der App nämlich unverschlüsselte Verbindungen explizit freigeben, da das System diese sonst wohl blockiert.

Brubaker machte auch klar, dass niemand Angst vor einer steigenden Komplexität haben muss. Im Grunde reicht es völlig, beim Verbindungsaufbau im Code der App statt einer http- eine https-Adresse anzugeben. Der HTTP-Stack im Android-System sorgt dann automatisch dafür, dass der TLS-Handshake durchgeführt wird.