{"id":52288,"date":"2013-08-19T09:19:19","date_gmt":"2013-08-19T07:19:19","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=52288"},"modified":"2013-08-19T15:49:55","modified_gmt":"2013-08-19T13:49:55","slug":"app-store-zeitbomben-apples-einlasskontrolle-prueft-unzureichend","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/app-store-zeitbomben-apples-einlasskontrolle-prueft-unzureichend-52288\/","title":{"rendered":"App Store: Apples Einlasskontrolle pr\u00fcft unzureichend"},"content":{"rendered":"

\u00dcber die Richtlinien, die Pr\u00fcfkriterien und die Arbeit der App Store-Einlasskontrolle existieren so gut wie keine Informationen. Die letzten Meter, die iPhone-Developer vor der endg\u00fcltigen Ver\u00f6ffentlichung ihrer App in Apples Software-Kaufhaus nehmen m\u00fcssen, gleichen – aus Entwickler-Perspektive betrachtetet – einem schwarzen Loch.<\/p>\n

Nach Monaten der Entwicklung wird die gerade fertiggestellte iPhone- bzw. iPad-Applikation dem Kontroll-Team \u00fcbergeben, dann hei\u00dft es abwarten.<\/p>\n

Und: Obwohl es bislang noch keine wirklich sch\u00e4dlichen Applikationen hinter die initialen Schranken des App Stores geschafft haben, die unz\u00e4hligen Anwendungen, bei denen Apple im Laufe der letzten Jahre versteckte Zusatzfunktionen (etwa Spiele-Emulatoren, pers\u00f6nliche HotSpots und Co.) \u00fcbersehen hat, lie\u00dfen bereits ahnen, dass die angewandten Prozeduren nicht unbedingt mit der gr\u00f6\u00dftm\u00f6glichen Sorgfalt exerziert werden.<\/p>\n

Nun best\u00e4tigen<\/a> zwei Security-Wissenschaftler der Georgia Tech Universit\u00e4t die hinl\u00e4nglich bekannten Vermutungen: Apple selbst startet die zur Pr\u00fcfung vorgelegten Applikationen nur einmal, l\u00e4sst die Apps anschlie\u00dfend wenige Sekunden laufen und winkt einen Gro\u00dfteil der eingereichten Anwendungen – ganz ohne tiefergehende Sicherheits-Analyse – direkt in den App Store durch.<\/p>\n

Im Rahmen eines Forschungsprojektes haben die Sicherheits-Experten ihre Anwendung „Jekyll“ im vergangenen Mai in den App Store eingereicht. Die Malware-Applikation war in der Lage versteckte Tweets \u00fcber das in den iOS-Einstellungen abgelegte Twitter-Konto abzusetzen, konnte E-Mails ohne Nachfrage versenden, pers\u00f6nliche Daten, Fotos und IDs abgreifen und diese an entfernte Server senden.<\/p>\n

\u201cThe app did a phone-home when it was installed, asking for commands. This gave us the ability to generate new behavior of the logic of that app which was nonexistent when it was installed\u201d<\/p><\/blockquote>\n

Die Applikation, die sich nach der Installation und ihrem Erststart \u00fcber Netzwerk-Kommandos fernsteuern lie\u00df, stand im App Store nur wenige Minuten zum Download bereit ehe sie von ihren Machern wieder entfernt wurde.<\/p>\n

F\u00fcr die Forscher Zeit genug, um zwei Annahmen zu verifizieren:<\/p>\n