## Binäre Transparenz für Android **Google** hat die erweiterte [Binary Transparency](https://binary.transparency.dev/) für Android angekündigt, um das Ökosystem vor Angriffen auf die Lieferkette zu schützen. "Dieses neue öffentliche Register stellt sicher, dass die Google-Apps auf Ihrem Gerät exakt dem entsprechen, was wir entwickeln und verteilen wollten", sagten die Produkt- und Sicherheitsteams von Google [hier](https://blog.google/security/bringing-binary-transparency-to-the-android-ecosystem/). Die Initiative baut auf der Grundlage der [Pixel Binary Transparency](https://security.google.comblog.com/2023/08/pixel-binary-transparency-verifiable.html) auf, die Google im Oktober 2021 [eingeführt](https://security.google.comblog.com/2021/10/pixel-6-setting-new-standard-for-mobile.html) hat, um die Softwareintegrität zu stärken. Sie stellt sicher, dass Pixel-Geräte nur verifizierte Betriebssystemsoftware (OS) ausführen, indem sie ein [öffentliches, kryptografisches Protokoll](https://developers.google.com/android/binary_transparency/pixel_tech_details) führt, das Metadaten über offizielle Factory-Images aufzeichnet. Die verifizierbare Sicherheitsinfrastruktur spiegelt [Certificate Transparency](https://certificate.transparency.dev/howctworks/) wider, ein offenes Framework, das verlangt, dass alle ausgestellten SSL/TLS-Zertifikate in öffentlichen, nur anfügbaren und kryptografisch verifizierbaren Protokollen aufgezeichnet werden, um die Erkennung falsch ausgestellter oder bösartiger Zertifikate zu unterstützen. ## Bekämpfung von binären Lieferkettenangriffen Der Schritt zielt darauf ab, die Risiken von binären Lieferkettenangriffen zu bekämpfen, die oft bösartigen Code liefern, indem sie Software-Update-Kanäle vergiften, während die digitalen Signaturen intakt bleiben. Ein aktuelles Beispiel ist die [Kompromittierung](https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html) von Windows-Installern der **DAEMON Tools**-Software, um einen leichten Backdoor zu liefern, der dann als Kanal für ein Implantat namens QUIC RAT dient. Die Installer wurden von der legitimen Website von DAEMON Tools vertrieben und mit digitalen Zertifikaten signiert, die den Entwicklern von DAEMON Tools gehören. "Es reicht nicht mehr aus, sich allein auf die Signatur des Binärprogramms zu verlassen, da eine Signatur nicht garantieren kann, dass dieses spezielle Binärprogramm dasjenige war, das vom Autor für die Öffentlichkeit bestimmt war", sagte Google. "Digitale Signaturen sind ein Ursprungszeugnis, aber binäre Transparenz ist ein Absichtszertifikat." ## Gewährleistung der Softwareintegrität Durch die Erweiterung der binären Transparenz auf Android zielt das Unternehmen darauf ab, Garantien dafür zu bieten, dass die Google-Software auf dem Gerät eines Benutzers exakt dem entspricht, was entwickelt und verteilt werden sollte. Zu diesem Zweck werden die von Google produzierten Android-Anwendungen, die nach dem 1. Mai 2026 veröffentlicht werden, einen entsprechenden kryptografischen Eintrag haben, der ihre Authentizität bestätigt. Die Initiative umfasst derzeit Produktions-[Google-Anwendungen](https://play.google.com/store/apps/dev?id=5700313618786177705), einschließlich sowohl **Google Play Services** als auch eigenständiger Google-Anwendungen, sowie [Mainline-Module](https://source.android.com/docs/core/ota/modular-system), die Teil des Betriebssystems sind und außerhalb des normalen Release-Zyklus dynamisch aktualisiert werden können. "Dies bietet eine transparente 'Source of Truth', die es jedem ermöglicht zu überprüfen, ob die Google-Software auf seinem Android-Gerät eine von Google autorisierte Produktionsversion ist und nicht von einem Angreifer modifiziert wurde", bemerkte Google. "Wenn die Software nicht im Register aufgeführt ist, hat Google sie nicht als Produktionssoftware veröffentlicht. Jeder Versuch, eine 'einmalige' Version bereitzustellen, wird erkennbar sein." Im Rahmen dieser Bemühungen stellt der Tech-Gigant auch [Verifizierungswerkzeuge](https://github.com/android/android-binary-transparency) zur Verfügung, die Benutzer und Forscher nutzen können, um den Transparenzstatus unterstützter Softwaretypen zu überprüfen. Die Entwicklung erfolgt inmitten einer Reihe von Lieferkettenangriffen, die in den letzten Monaten Entwickler und nachgelagerte Benutzer beliebter Software ins Visier genommen haben. Kriminelle kompromittieren zunehmend die Konten von Entwicklern und missbrauchen diesen Zugriff, um Malware einzuschleusen, wodurch sie mehrere Benutzer gleichzeitig kompromittieren können. ## Eine kritische Säule für die Sicherheit "Dies ist eine kritische Säule für die Privatsphäre und Sicherheit der Benutzer, da sie die grundlegende Machtdynamik von Software-Updates verändert", sagte Google. "Dieses Maß an Transparenz dient als weitere Schutzschicht für die Integrität unserer Software und wirkt als starke Abschreckung gegen nicht autorisierte binäre Veröffentlichungen."