Ungeprüfte iPhone-Apps: Apple will Missbrauch eindämmen

Apple versucht, den Missbrauch von Enterprise-Zertifikaten besser in den Griff zu bekommen: Firmen müssen nun im Detail angeben, zu welchem Zweck sie ihre Enterprise-Zertifikate für die Bereitstellung von iOS-Apps einsetzen. Die Zertifikate erlauben den Direktvertrieb von iPhone-Apps am kontrollierten App Store vorbei.

Pflichtangaben ab Frühjahr 2020

In einem Fragebogen müssen jetzt Angaben dazu gemacht werden, auf wie vielen Geräten die Apps voraussichtlich zum Einsatz kommen sollen und wie diese bereitgestellt werden, etwa über eine "sichere Webseite" oder durch mobile Geräteverwaltung (Mobile Device Management, MDM).

Apple will von Firmen beim Anlegen eines neuen Distribution Provisioning Profiles auch wissen, ob die Apps für "Mitarbeiter" oder speziell für "feste Mitarbeiter" gedacht sind und welche Sicherheitsmechanismen in der App zum Einsatz kommen, wie Entwickler berichten. Diese Angaben werden von Apple derzeit noch als "optional" geführt, werden aber ab Frühjahr 2020 zwingend erforderlich sein, wie dort vermerkt ist. Firmen müssen die Informationen zudem auf aktuellem Stand halten, heißt es in der Apple-Vorgabe.

Apples Enterprise-Zertifikate werden zweckentfremdet

Enterprise-Zertifikate sind der einzige Weg, um Apps in großem Stil an Apple vorbei zu vertreiben, ungeprüft und außerhalb des App Stores. Entsprechend gerne werden diese zweckentfremdet und missbraucht, um Apps auf das iPhone zu bringen, die man nicht im App Store findet – von Pornographie über Glücksspiel bis hin zu gecrackten Versionen beliebter Spiele und Programme.

Auch Unternehmen nutzen diese teils in regelwidriger Form: Facebook und Google wurden Anfang des Jahres dabei erwischt, darüber invasive Marktforschungs-Apps anzubieten. Apple zog die Zertifikate der Konzerne daraufhin vorübergehend zurück. Seit Juni hat Apple sich zudem das Recht eingeräumt, mit Enterprise-Zertifikaten signierte iOS-Apps jederzeit zu prüfen – und bei Missfallen zu blockieren.

(lbe)