Ist die Menge an Malware auf dem bestehenden grauen Markt für Sideloading von iPhone-Apps ein Vorbote für die Zukunft, bevor das EU-Gesetz über den digitalen Markt Apple dazu zwingt, alternative Optionen zum Herunterladen von Apps zuzulassen? Oder hat Apples Ansatz trotz seiner Kontroversen die richtige Balance gefunden, um iPhone-Benutzer zu schützen?
Am 7Th Im März tritt das Digital Market Act (DMA) der Europäischen Union in Kraft, das einen fairen Wettbewerb zwischen wichtigen digitalen Plattformen innerhalb des Binnenmarkts fördern soll. Die Verordnung zwingt Apple (und andere „Gatekeeper“), ihre Plattformen für Dritte zu öffnen.
Im Gegensatz zu Android, wo es bereits unterstützte Alternativen zum Google Play Store gibt – über Drittanbieter-Stores wie den Amazon Appstore und das direkte Herunterladen von Apps aus dem Internet, bekannt als „Sideloading“ – gibt es beim iPhone keine autorisierte Alternative zum App Store von Apple.
Als Teil seiner geplanten Reaktion auf den DMA wird Apple erstmals iPhone-Benutzern mit Sitz in der EU erlauben, Apps außerhalb seines eigenen App Stores von Marktplätzen Dritter zu installieren. Apple ist weiterhin bemüht, iPhone-Benutzer auf die Risiken dieses Ansatzes hinzuweisen und wiederholt dabei sein Positionspapier aus dem Jahr 2021 zum Risiko des Sideloading.
Der aktuelle Stand der iOS-Sideloading-Methoden auf dem grauen Markt erklärt möglicherweise einen Teil der Zurückhaltung von Apple. Aktuelle alternative Marktplätze für iOS missbrauchen Funktionen für Entwickler und bieten modifizierte Versionen beliebter Apps mit Raubkopien, zusätzlichen oder entfernten Funktionen, entfernten Anzeigen oder angepassten Datenschutzfunktionen an. In einer aktuellen Studie identifizierte Netcraft Malware in rund 5 % der untersuchten iOS-Apps auf Marktplätzen von Drittanbietern.
Auf den ersten Blick scheinen diese Änderungen ein erhebliches Risiko für Apple darzustellen. Mit der von Apple vorgeschlagenen Lösung behalten sie jedoch die Kontrolle über die Möglichkeit, alle Apps zu überprüfen – unabhängig davon, ob sie über Apples eigenen App Store oder Marktplätze von Drittanbietern vertrieben werden. Dies ist eine wesentliche Verbesserung gegenüber der aktuellen Sideloading-Szene unter iOS und gibt Apple viel mehr Kontrolle. Ob die EU jedoch die Interpretation von Apple akzeptieren wird, die von manchen als unzureichend zur Einhaltung des DMA angesehen wird, bleibt in den kommenden Wochen abzuwarten.
Dieser Blog-Beitrag untersucht diese Kompromisse, beleuchtet bösartige, seitlich geladene Apps und die möglichen Auswirkungen für Apple und die Millionen von iPhone-Nutzern in der EU und darüber hinaus.
„Schwierige Kompromisse“
Im Rahmen seiner Reaktion auf das EU-Gesetz über digitale Märkte kündigte Apple mehrere Sicherheitsmaßnahmen an, die darauf abzielen, die Kontrolle über Apps zu behalten, die für das iPhone veröffentlicht wurden (insbesondere iPadOS ist nicht enthalten). Alle über autorisierte Drittanbieter-App-Stores vertriebenen Apps müssen einen notariellen Beglaubigungsprozess durchlaufen. Hierbei handelt es sich um eine erweiterte Version des bestehenden Beglaubigungsprozesses für Drittanbieter-Apps unter macOS, der Apps auf Malware, Funktionalität, Sicherheit, Datenschutz und Metadatengenauigkeit überprüft. Apple gibt an, dass dies durch automatisierte Prozesse mit zusätzlichem menschlichen Input erreicht wird.
Die EU wird Apples Compliance-Plan erst nach Inkrafttreten des Gesetzes bewerten, wozu auch die Einholung von Rückmeldungen Dritter gehört. Sie hat öffentlich erklärt, dass sie „energische Maßnahmen“ ergreifen werde, wenn die vorgeschlagenen Lösungen „nicht gut genug“ seien.
Neben der EU arbeiten auch andere Gerichtsbarkeiten, darunter Japan und das Vereinigte Königreich, weiterhin an ähnlichen Rechtsvorschriften, wobei alle Augen auf die Ergebnisse und Entscheidungen der EU sowie auf die Einhaltung neuer Anforderungen durch Apple gerichtet sind.
Sideloading und bösartige Apps
Sideloading beschreibt den Vorgang der direkten Installation einer Anwendung auf einem Gerät, ohne die Geräte des Geräts zu verwenden offiziell Anwendungsverteilungsmethode. Für iPhone-Benutzer bedeutet Sideloading also die Installation einer App auf ihrem Gerät, ohne den App Store von Apple zu verwenden.
Derzeit gibt es für iPhone-Nutzer – sowohl innerhalb als auch außerhalb der EU – bereits Optionen zum Querladen von Apps. Die zugänglichste Option besteht darin, dieselben Mechanismen zu verwenden, die für Entwickler entwickelt wurden, um ihre eigenen Apps zu Entwicklungs- und Testzwecken auf iOS zu installieren.
Es wurden mehrere Plattformen geschaffen (z. B. AltStore und Sideloadly), die diese Entwicklermechanismen nutzen, um verbraucherorientierte App-Stores von Drittanbietern zu erstellen, wenn auch mit einigen Reibungsverlusten. Während der Installation muss ein Computer mit dem Gerät verbunden sein, Apps müssen wöchentlich aktualisiert werden, um installiert zu bleiben, und es können maximal drei solcher Apps gleichzeitig installiert werden. Andere Optionen, die einen Jailbreak des Geräts erfordern, sind weitaus weniger zugänglich.
Auf diesen Plattformen können Benutzer beliebige Apps aus dem Internet herunterladen und installieren. Bei der Suche im Internet werden zahlreiche Websites angezeigt, auf denen Benutzer Apps zum Zweck des Querladens auf iOS herunterladen können. Bei der Untersuchung von 20 beliebten Websites, die Netcraft gefunden hat, haben wir über 1.000 Apps identifiziert, die sich als beliebte Marken ausgeben, darunter YouTube, Instagram, Facebook, Spotify, Snapchat, TikTok, WhatsApp, X, Roblox und Tinder.
Viele dieser Apps wurden geändert, um kostenpflichtige Funktionen freizuschalten oder zusätzliche Funktionen hinzuzufügen, z. B. das Anpassen des App-Layouts, das Entfernen von In-App-Anzeigen und das Deaktivieren des Sendens von Lesebestätigungen in Messaging-Apps. Wir haben gesehen, dass kostenpflichtige Versionen von TikTok mit Abonnementstufen von über 50 US-Dollar pro Jahr angeboten werden.
Die Forscher von Netcraft luden 350 Apps von diesen Websites herunter und analysierten sie auf schädliche Inhalte: 14 (rund 5 %) schienen bösartig zu sein, darunter prominente Beispiele von CyPwn und Starfiles.
Zahlen: istore-plus[.]Net Selling-Abonnements für den Zugriff auf eine modifizierte Version von TikTok (Arabisch links, Englische Übersetzung rechts)
Malware, die auf iOS abzielt, ist jedoch nicht auf seitlich geladene Apps beschränkt und wurde wiederholt im offiziellen iOS App Store gefunden. Einer der bekanntesten Fälle ereignete sich im Jahr 2015, als 128 Millionen Benutzer 2.500 infizierte Apps aus dem iOS App Store herunterluden, die die XcodeGhost-Malware enthielten. Einige Jahre später, im Jahr 2022, warnte Meta öffentlich vor 47 bösartigen Apps im iOS App Store, die es auf seine Benutzer abgesehen hatten.
Dieses Problem besteht immer noch, wenn auch derzeit bei geringer Lautstärke. In den letzten sechs Monaten hat Netcraft im Auftrag seiner Kunden weniger als 50 bösartige Apps im iOS App Store identifiziert, die sich alle als beliebte Marken ausgeben. Netcraft hat eine ähnliche Größenordnung an Schad-Apps im offiziellen Google Play Store identifiziert.
Außerhalb des Play Store ist die Situation ganz anders. Netcraft hat im vergangenen Jahr über 21.000 Apps deaktiviert, die in Android-App-Stores von Drittanbietern gehostet wurden – viele davon waren legitime Apps, die ohne Erlaubnis geklont wurden. Hierin liegt ein Teil des Risikos, vor dem Apple seine Nutzer angeblich schützen will.
Das von Apple vorgeschlagene Modell für Drittanbieter-Stores verändert den Status quo auf iOS und Android erheblich: Apple behält die Kontrolle über das Malware-Scannen für alle Apps (etwas, das Google in Indien, aber noch nicht weltweit eingeführt hat) und hat erhebliche Hindernisse für Drittanbieter eingerichtet Marktplatzerstellung. Diese Art des Beglaubigungsprozesses schützt jedoch bereits macOS, wobei ein leitender Apple-Mitarbeiter erklärte: „Und wie gesagt, wir haben heute ein Ausmaß an Malware auf dem Mac, das wir nicht akzeptabel finden und das viel schlimmer ist als iOS.“
Figur 2 Gefälschte Anmeldebildschirme, die über legitime Banking-Apps gelegt werden und dazu dienen, die Anmelde- und Passwortdaten des Opfers zu sammeln
DMA und Apple Stores von Drittanbietern
Angesichts der Tatsache, dass Apple diese vorgeschlagenen Änderungen im Februar angekündigt hat, ist es unwahrscheinlich, dass Apple am Tag der Veröffentlichung von iOS 17.4 im März viele offizielle Drittanbieter-Stores benennen wird. Es wird jedoch erwartet, dass am Tag der Veröffentlichung das Interesse von iOS-Benutzern, die Apps innerhalb und außerhalb der EU seitlich laden möchten, zunehmen wird.
Dieser Anstieg des Interesses könnte auf bestehende Sideloading-Lösungen wie AltStore und Sideloadly übergreifen, die Benutzern Zugriff auf externe Quellen voller bösartiger Apps ermöglichen. AltStore hat es ebenfalls angekündigt plant den Start ein autorisierter alternativer App-Store, der wahrscheinlich Interesse an der bestehenden Version von AltStore wecken wird.
Abschließende Gedanken
Da die EU bisher nichts darüber preisgibt, wie sie auf die Vorschläge von Apple reagieren wird, ist es schwierig, genau vorherzusagen, wie sich das iOS-App-Ökosystem in den kommenden Monaten und Jahren verändern wird. Da jedoch andere Länder über ähnliche Gesetze nachdenken, können Sie davon ausgehen, dass dies die erste von vielen Änderungen sein wird, die noch kommen werden.
