Apples iOS App Store wird zunehmend anfälliger für Schad-Software. Apple kontrolliert zwar nach wie vor alle Apps, die in den iOS App Store aufgenommen werden und sorgt somit für eine relative Sicherheit der Nutzer vor Schad-Software. Allerdings hat sich ein nützliches Werkzeug für Entwickler zu einem ernstzunehmenden Sicherheitsrisiko entwickelt.
Apple erlaubt es App-Entwicklern im Prinzip ihre Apps zu „hotpatchen“. Bei dieser Methode können Entwickler Updates in ihre Apps „live“ einspielen. Ein Neustart der Apps ist dabei nicht notwendig. Dieser Vorgang wird zunehmend beliebter, weil sich somit beispielsweise Bugs, die sich oft nur in wenigen Zeilen Code verstecken, sehr schnell und einfach heraus-patchen lassen. Das Problem: Nutzer werden nicht über Änderungen an der App benachrichtigt, wenn der Entwickler einen Hotpach vornimmt. Die App muss sich auch nicht erneut der Zulassung durch Apple für den App Store unterziehen, da dabei eben keine neue Version der App in den iOS App Store hochgeladen wird.
Böswillige Entwickler können aber über Hotpatch-Software, wie beispielsweise das sehr einfach zu implementierende Open Source-Programm JSPatch, nicht nur Bugs entfernen, sondern auch neue Funktionen nachliefern. Ohne dass der Nutzer darüber benachrichtigt wird oder dass Apple davon Kenntnis erhält, könnte die App, die ursprünglich keine weitreichenden Berechtigungen hatte, auf einmal zu einer Schnüffel-App werden.
Apple befindet sich hier somit in einem Zwickmühle: Zum einen kann die Funktion der Hotpatches relativ einfach ausgenutzt werden. Es handelt sich dabei also um eine potenzielle Sicherheitslücke. Allerdings will Apple die Hotpatches auch nicht verbieten, denn sie erlauben das schnelle und einfache Schließen von Sicherheitslücken in betroffenen Apps. Sowohl die Erlaubnis als auch das Verbot von Hotpatches stellt also eine Sicherheitsrisiko dar.
Diskutiere mit!
Hier kannst du den Artikel "iOS App Store: Hotpatches sorgen für Sicherheit und reißen Sicherheitslücke" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Die Kommentare für diesen Artikel sind geschlossen.