App-Aktualisierungen außerhalb des App Stores machen iOS unsicher

Updates oder Upgrades für Apps, die auf Apple-Geräten genutzt werden, können nicht sofort in den App Store eingespeist werden. Zumindest bedürfen sie einer Prüfung, welche eine gewisse Verzögerung mit sich bringt.

Um dieser zu entgehen, veröffentlichen einige Entwickler die Neuerungen für ihre Mobilprogramme auf direktem Weg. Dieses Vorgehen birgt Gefahren.

Apple prüft akribisch, Entwickler eher weniger

Natürlich freuen sich die Nutzer von Apps über Updates, Patches und andere Verbesserungen. Sollen diese über den App Store respektive über iTunes gehen, dann kann durch die akribische Prüfung seitens Apple einige Zeit vergehen. Wollen Publisher keine Stunden bis Tage warten, dann gehen sie vermehrt den einfacheren Weg über den direkten Datenverkehr mit der App oder über eigene Update-Seiten.

Apple App StoreDas sogenannte Hot Patching ist dabei eine Methode zur direkten Übermittlung von Neuerungen. Das quelloffene JSPatch ist dabei ein recht beliebtes oder zumindest häufig genutztes Tool, das via Java Script dafür sorgt, dass die entsprechende App mit neuen Modulen oder mit Patches versorgt wird.

Wie viele Apps werden mit Hot Patching versorgt?

Laut der Apple-nahen Sicherheitsfirma FireEye werden derzeit mehr als 1.200 Apps mit Updates versorgt, die via JSPatch eingespeist werden. Auch sehr populäre Apps sowie solche von vielen chinesischen Entwicklern seien betroffen. Eine gute Nachricht gibt es: FireEye konnte bisher nicht feststellen, dass Trojaner- oder Viren-Apps mit JSPatch in Verbindung stehen.

Was ist so kritisch an der Verwendung von Hot Patches?

Apple hat hohe Sicherheitsstandards und prüft Neuerungen sowie auch neue Apps akribisch auf Bugs und schadhafte Codes. Dieser Schritt entfällt, wenn am App Store vorbei gehandelt wird. Beispielsweise könnte eine eigentlich ungefährliche App aus dem Store vermittels eines Hot Patches in eine Malware umgewandelt werden. Auch Adware könnte in jede beliebige App geladen werden, sodass vermehrt Werbung angezeigt wird.

Im Grunde wird den Apps sowie deren Entwicklern untersagt, außerhalb des App Stores neue Codes zu laden und zu integrieren. Wird die Funktion der App allerdings nicht (grundlegend) verändert, dann ist das Nachladen von Java Script Codes oder Modulen über das Apple Webkit-Framework möglich. Darauf berufen sich auch die Macher von JSPatch.

 prepaid-flat.net
logo