iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 480 Artikel
   

App Store: Apples Einlasskontrolle prüft unzureichend

Artikel auf Google Plus teilen.
42 Kommentare 42

Über die Richtlinien, die Prüfkriterien und die Arbeit der App Store-Einlasskontrolle existieren so gut wie keine Informationen. Die letzten Meter, die iPhone-Developer vor der endgültigen Veröffentlichung ihrer App in Apples Software-Kaufhaus nehmen müssen, gleichen – aus Entwickler-Perspektive betrachtetet – einem schwarzen Loch.

Nach Monaten der Entwicklung wird die gerade fertiggestellte iPhone- bzw. iPad-Applikation dem Kontroll-Team übergeben, dann heißt es abwarten.

Und: Obwohl es bislang noch keine wirklich schädlichen Applikationen hinter die initialen Schranken des App Stores geschafft haben, die unzähligen Anwendungen, bei denen Apple im Laufe der letzten Jahre versteckte Zusatzfunktionen (etwa Spiele-Emulatoren, persönliche HotSpots und Co.) übersehen hat, ließen bereits ahnen, dass die angewandten Prozeduren nicht unbedingt mit der größtmöglichen Sorgfalt exerziert werden.

Nun bestätigen zwei Security-Wissenschaftler der Georgia Tech Universität die hinlänglich bekannten Vermutungen: Apple selbst startet die zur Prüfung vorgelegten Applikationen nur einmal, lässt die Apps anschließend wenige Sekunden laufen und winkt einen Großteil der eingereichten Anwendungen – ganz ohne tiefergehende Sicherheits-Analyse – direkt in den App Store durch.

Im Rahmen eines Forschungsprojektes haben die Sicherheits-Experten ihre Anwendung „Jekyll“ im vergangenen Mai in den App Store eingereicht. Die Malware-Applikation war in der Lage versteckte Tweets über das in den iOS-Einstellungen abgelegte Twitter-Konto abzusetzen, konnte E-Mails ohne Nachfrage versenden, persönliche Daten, Fotos und IDs abgreifen und diese an entfernte Server senden.

“The app did a phone-home when it was installed, asking for commands. This gave us the ability to generate new behavior of the logic of that app which was nonexistent when it was installed”

Die Applikation, die sich nach der Installation und ihrem Erststart über Netzwerk-Kommandos fernsteuern ließ, stand im App Store nur wenige Minuten zum Download bereit ehe sie von ihren Machern wieder entfernt wurde.

Für die Forscher Zeit genug, um zwei Annahmen zu verifizieren:

  • Apples Prüf-Team startet eingereichte Apps nur wenige Sekunden sieht gut versteckten aber voll funktionsfähigen Schadcode nicht.
  • Apples Einlasskontrolle verlässt sich weitgehend auf eine statische Code-Analyse, die sich mit einem gewissen Anteil an „dynamically generated logic“ im eigenen Quelltext problemlos umgehen lässt.

Nach Angaben des Uni-Teams sei Apple inzwischen auf die Versäumnisse hingewiesen worden und habe Änderungen in das iPhone-Betriebssystem eingepflegt, die ähnliche Angriffe zukünftig erschweren sollen.

Ein Apple-Sprecher wollte sich zum Umfang und zur Reaktion auf die aufgedeckten Prüf-Schwachstellen jedoch nicht äußern.

Montag, 19. Aug 2013, 9:19 Uhr — Nicolas
42 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Naja, das ist mal wieder schön gelaufen
    XD

    • Bin mal gespannt auf all die Trolle, die bei Sicherheitsdiskussionen nur abfällig mit dem Finger auf den Playstore zeigen können.
      Es muss doch jedem klar sein: 100%ige Sicherheit gibt es nicht. Nirgendwo!

    • Apple ist wie der Hersteller von Antivieren Software. In beiden fällen muss der User einer Externen trauen. In Apples fall ist der Scanner (Eingangskontrolle) wenigstens Extern und verbrät nicht den Akku und die Leistung des Smartphones vor Ort.

  • Viel wichtiger ist, das sich die Leute ohne JB keine schadsoftware aus dem Netz aufspielen können.

  • Wozu die Aufregung? Solange keine blanken Brüste in den App Store kommen bzw. schnell wieder entfernt werden hat doch alles wie geplant funktioniert :-)

  • Ich glaub nichtmal, dass alle Apps gestartet werden, so oft wie nach einem fehlerhaften Update einige Apps crashen und bis zum nächsten Update nicht funzen.

    • Wobei dies ja auch mit Fehlern in einem möglicherweise schon vorhandenem Documents Ordner zusammenhängen kann und auf ihren Prüfgeräten werden sie wohl keine Vor-Versionen der App installiert haben.

  • Ich mache das auch immer so wenn ich ein neues Auto brauche. Reinsetzen, Schlüssel drehen, und wenn es anspringt: gekauft! ;-) *kopfschüttel*

  • Bei der aktuellen Masse an User und Apps sind bestimmt Dutzende Apps im Store, die schädliche Software beinhalten.
    Solange die niemand entdeckt, werden die auch nicht statistisch erfasst.

  • Kann ja alles sein und ich möchte Apple nicht verteidigen, aber gibt es konkrete beweisen, dass die App es wirklich in den Store geschafft hat? Ich meine, dummfug kann jeder erzählen und daraus eine riesen anti-apple-kampagne starten.
    Aber ich bin immer noch der Meinung: wenn jemand Daten von jemanden um jeden Preis haben will, der bekommt sie auch.

  • Kein Android Fanboy

    Ich finde es sehr gut, wenn dadurch Firmen aus einem bevorstehenden Tiefschlaf geholt werden.
    Durch so etwas hat iOS die Chance, das sichere mobile OS zu bleiben.
    Wenn ich so anschaue, was bei Android in punkto Unsicherheit so los ist, dann wird mir schlecht.

    • Naja, wenn man kein Idiot ist, dann ist der Playstore auch nicht unsicherer. Jeder PC ist um Welten „unsicherer“. Warum sollte man beim Benutzen eines Smartphones jeglichen gesunden Menschenverstand ausschalten?

      • schau dir einfach mal die Mehrheit an Leuten an, die ein Smartphone benutzt… bei denen wärs gut, wenn die generell mal den Verstand ANschalten würden.

      • Kein Android Fanboy

        Leider sind auch für Nichtidioten die Android Apps alles andere als sicher.
        Über 40 Android App Stores und die Möglichkeit des unkontrollierten Installieren von allem Möglichen hat dazu geführt, dass innerhalb von 12 Monaten die Malware für Android fast um 1000% gestiegen ist.
        Keiner macht sich die Mühe Trojaner o.ä. zu basteln, wenn er davon aus geht,
        dass er sich die Arbeit umsonst macht.
        Also müssen sie ja Erfolge damit haben.
        Und das werden nicht nur Idioten gewesen sein, die sich da was einfangen.
        Ich will nicht beim jedem mal den „Verfolgungswahnmodus“ einschalten müssen, wenn ich am Rechner, Smartphone o.ä. etwas installiere.

    • Du weißt schon, das in iOS bisher 10 mal mehr Sicherheitslücken gezählt wurden als in Android, oder?
      Der überwiegende Teil der Schädlinge für Android muss immer noch händig installiert werden. Und quasi fast alles davon geht nur abseits von Google Play.

  • Die Frage ist doch auch, welchen Schaden eine App wirklich anrichten könnte. Mal angenommen eine App ist ganz böse und klaut massenhaft Daten. Damit sich die App für die Macher wirklich lohnt müsste sie schon auf mehr als ein paar hundert Geräten laufen. Vermutlich haben die bösen Buben keine Lust die App zu hegen und zu pflegen. Schließlich wollen sie Daten klauen und keine Apps vertreiben. Die App über einen langen Zeitraum „aufzubauen“ und mit neuen Versionen einen stetig größeren Nutzerkreis zu erreichen wird also kaum passieren. Die App müsste also in Version 1.0 wirklich toll sein und möglichst viele Nutzer ansprechen die diese installieren. Wie realistisch ist das? Bekommt man das ohne teures Marketing und super Programmierteam hin? Lohnt dann der Aufwand für den Gewinn aus den geklauten Daten? Solange es keine echten Viren gibt die sich selbständig unter den Geräten verbreiten sehe ich kein großes Potential. Ich denke da gibt es für die bösen Buben lohnendere Ziele…

    • hmmm – Mobiles TAN Verfahren wurde bereits missbraucht… War einer der erfolgreichsten „Banküberfälle“ überhaupt und funktionierte u. a. durch Schadsoftware auf Smartphones … es geht also schon um einiges mehr, als sinnlose Twitterposts von Teenagern. Wenn zudem über Deinen Mailaccount mit Deiner IP Trojaner verbreitet werden oder Bullshit veröffentlicht wird, dann versuche mal deinen neuen Gesprächspartnern zu erklären, dass Du von nichts wusstest und zudem nichts zu verbergen hast!

  • generell kann man doch zusammenfassen:
    Sicherheit ODER schnelle Genehmigung.
    Ist doch logisch, wenn es schon über eine Milliarde Apps gibt, dass man das nicht prüfen kann. Wie viele Leute mit tiefem Entwicklerknowhow sollen denn da arbeiten?

  • Wg. Malware-App.: Apple, wie alle anderen, mehr Schein als Sein!
    Angeblich sicher, Sicherheitssysteme etc.
    Nix, schlampig wie die anderen. Reagiert erst, wenn sie öffentlich
    entdeckt werden.
    Und das bei den bekannten Preisen.
    Aber, wir wollen es ja nicht anders….

  • Schädlich hin schädlich her ! Apple oder Androiden ! Wer ist unsicherer? Jedes System hat seine Schwächen! Und dieses rumgehacke auf Apple find ich zum Kotzen !!!! 10 mal mehr Lücken oder was!? Was das für eine Aussage! Apple reagiert aber immer auf sowas und schließt Lücken!!!! Durch Updates die jeder macht oder machen kann! Bei Androiden schaut das aber etwas anders aus . Macht jeder Updates um vorhandene Lücken zu schließen oder kann jeder Updates machen auf seinen Android Smartphone? Gibt ja Tausende handyhersteller die Android draufmachen und dann wenig Support bieten!!! Bzw. Hab ich erst kürzlich von einer Lücke gelesen die in fast jeder Version 1-4 vorhanden ist und definitiv noch nicht geschlossen wurde! Und von Viren mal abgesehen! Hat den jeder einen virenscanner auf seinem android Handy?

  • MasterKey-Lücke in Android sag ich nur

  • Was mit Android ist, ist mir erstmal ziemlich egal. Ich habe ein iPhone und einen Sicherheitsanspruch am mein genutztes Betriebssystem und somit auch an Apple. Da ich für das Gerät bewußt ein paar Euronen mehr auf den Tisch gelegt habe, darf ich wohl auch verlangen, das Apple eine vernünftige und vorausschauende Sicherheitsstrategie umsetzt und schnellstmöglich bekannt gewordene Lecks abdichtet und sich nicht in Schweigen hüllt. Ebenso sollte auch die Eingangsprüfung für Apps behandelt werden und eigentlich sollten Ross und Reiter im Ablehnungsfall genannt werden, wenn es sich um Schadsoftware handelt. Es nervt einfach nur, wenn jemand Lebensmittel panscht und niemand weiss wer es war und den Hersteller nicht bestrafen kann.
    Also Apple, mehr Transparenz. Ich habe weder Bock auf JB noch auf Virenscanner und klicke nicht alles an was mir unter die Finger kommt. Den anderen Part hat Apple zu übernehmen.

  • Christian Menschel

    naja
    wir hatten schon den Fall, dass Apps sofort ohne Prüfung durchgewunken wurden.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19480 Artikel in den vergangenen 3385 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven