Apple ausgetrickst: Wie Porno- und Glücksspiel-Apps auf iPhones gebracht werden

Holger Eilhard

Vor einigen Tagen wurde bekannt, dass sowohl Facebook als auch Google die sogenannten Enterprise-Zertifikate von Apple dafür missbraucht hatten, um Apps am App Store vorbei auch außerhalb ihrer Unternehmen zu verteilen. Wie sich nun herausstellt, ist dies wohl nur die Spitze des Eisbergs.

Apple ausgetrickst: Wie Porno- und Glücksspiel-Apps auf iPhones gebracht werden
Bildquelle: Pixabay.

Wieder einmal ist es TechCrunch, das nach dem Bericht über den unerlaubten Einsatz der Enterprise-Zertifikate bei Facebook und Google, nun weitere ähnliche Fälle entdeckt hat. Zur Erinnerung: Apple ermöglicht es mit diesen Zertifikaten Apps direkt auf einem iOS-Gerät zu installieren, ohne dass diese über den App Store und den damit verbundenen Prüfungen durch Apples Mitarbeiter angeboten werden müssen. Dies ist etwa dann sinnvoll, wenn ein Unternehmen seinen Angestellten Zugriff auf interne Dienste durch eigene iOS-Apps geben will. Für die Installation der Apps ist des Weiteren auch kein App-Store-Passwort notwendig. Die Zertifikate dürfen nach Apples Richtlinien nur für interne Zwecke genutzt werden, das Verbreiten dieser Apps an Außenstehende ist nicht erlaubt.

Bei den Nachforschungen ist TechCrunch auf weitere Fälle gestoßen, die zeigen, dass dieses Vorgehen deutlich verbreiteter ist, als bislang angenommen. So werden etwa auch Porno- und Glücksspiel-Apps, die im App Store nicht erlaubt sind, über derartige Methoden verbreitet. TechCrunch spricht von Tausenden Seiten, die Apps zum Download anbieten, welche mit Hilfe der Enterprise-Zertifikate den offiziellen App Store umschiffen.

Bei den Versuchen testete man 12 Porno- und 12 Glücksspiel-Apps, die etwa direkten Zugriff auf Pay-Per-View-Videos bieten. In den Glücksspiel-Apps kann mit echtem Geld gewettet werden.

Auf iPhone oder iPad können Apps über Umwege auch ohne den offiziellen App Store installiert werden. Hier unser Test des iPhone XS:

iPhone XS im Test: So gut ist Apples Top-Smartphone.

Unzureichende Kontrollen durch Apple: Der einfache Weg zum Enterprise-Zertifikat aufs iPhone

Entwickler, die ihre Apps über diese illegalen Wege verbreiten wollen, haben es laut TechCrunch vergleichsweise einfach. Apple verlangt eine Zahlung von 299 US-Dollar und das Ausfüllen eines Formulars mit diversen Angaben des Unternehmens. Darauf folgen noch ein Anruf von Apple, in dem weitere Informationen bestätigt werden müssen. Diese öffentlichen Details lassen sich leicht mit Hilfe von Google finden und so ist es nicht überraschend, dass viele der Zertifikate auf Unternehmen registriert sind, die nichts mit diesen Apps zu tun haben. So sind auf der Liste von TechCrunch etwa Porno-Apps zu finden, die mit den Zertifikaten eines US-Möbelherstellers oder einer Motorradfirma aus Moskau signiert wurden.

TechCrunch befragte den Sicherheitsexperten Will Strafach zu seiner Einschätzung der gefundenen Apps. Überraschenderweise fand Strafach dabei keine eklatanten Sicherheitsheitsrisiken. Die Apps benutzen zwar eine illegale Methode zur Verbreitung durch die Enterprise-Zertifikate, im Gegensatz zu den enthüllten Apps von Facebook oder Google erfordern sie aber weder eine Installation eines VPNs noch einen direkten Zugriff auf die übermittelten Netzwerkdaten. In einigen chinesischen Apps habe man aber Code für Werbung oder Tracking der Nutzer gefunden.

TechCrunch beschreibt es daher als bezeichnend, dass die beiden Tech-Giganten aggressiver mit dem Sammeln von Benutzerdaten waren als zwielichtige chinesische Porno- und Glücksspiel-Apps.

Chaos bei Facebook und Google: Apple deaktivierte Enterprise-Zertifikate

Nachdem bekannt wurde, dass Facebook und Google ihre Zertifikate für externe Anwender angeboten haben, deaktivierte der iPhone-Hersteller diese umgehend. Dies sorgte dafür, dass die Nutzer die Apps, die auf diese Zertifikate angewiesen waren, nicht länger öffnen konnten. Bei Facebook konnten die Mitarbeiter daraufhin etwa die internen Bus-Dienste und Essens-Apps nicht länger nutzen. Apple reaktivierte die Zertifikate nach einigen Tagen jedoch wieder.

Apple wollte sich gegenüber TechCrunch nicht äußern, wie genau die nun gefundenen Porno- und Glücksspiel-Apps durch die Kontrollen gerutscht sind. Ob man nach der Registrierung weitere Überprüfungen der Unternehmen durchführt, sagte man ebenfalls nicht. Entwickler, die gegen Apples „Developer Enterprise Program Agreement“ verstoßen, werden laut Apple jedoch ihre Zertifikate verlieren. Falls notwendig, will man die Unternehmen auch vollständig aus dem Programm entfernen.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung