Xcode 8 Beta 3: Apple nutzt geschütztes Kompressionsformat

Apple will seine Entwicklungsumgebung Xcode künftig besser gegen Fälschungen schützen. Das Programmpaket wird über die Website developer.apple.com künftig im signierten Kompressionsformat XIP verteilt, wie Nutzern aufgefallen ist. Dies betrifft aktuell die Mitte Juli erschiene Beta 3 von Xcode 8, mit dem für iOS 10, macOS Sierra, tvOS 10 und watchOS 3 entwickelt wird.

Gefälschte Xcode-Version kursierte

Xcode wird ansonsten zentral über den Mac App Store (MAS) verteilt, wo eine Signaturprüfung standardmäßig integriert ist. Allerdings kursieren insbesondere in China gerne gezippte Versionen von Xcode über verschiedene File-Sharing-Dienste, weil der MAS dort häufiger lahmt. Die inoffizielle Verteilung von Xcode machten sich im vergangenen Jahr Angreifer zunutze, die eine manipulierte Xcode-Version vertrieben. Über diese konnte dann wiederum unerwünschter Code in iOS-Apps eingeschleust werden.

Das XIP-Format kann ZIP ersetzen und basiert auf einem RAR-Derivat. Im man-Text zu der Software heißt es, XIP sei wie ZIP, erlaube aber das Ergänzen digitaler Signaturen, die dann vom Empfangssystem automatisch überprüft werden, bevor das Auspacken erfolgt. Wurde die Signatur verändert, ist letzteres nicht möglich.

Langes Auspacken großer Pakete

XIP hat allerdings derzeit auch noch Nachteile, wie AppleInsider in verschiedenen Versuchen feststellte: Das Entpacken kann eine ganze Weile länger dauern. So berichteten User, Xcode 8 Beta 3 hätte ganze 30 Minuten beim Entpacken benötigt. Eine ältere Version benötigte im ZIP-Format nur 8 Minuten. Xcode ist über 4 GByte groß.

Das XIP-Format wird von OS X bereits Version 10.6 unterstützt. DMG- und ZIP-Formate, die Apple zuvor verwendet hat, bietet Checksum-Funktionen, sind aber unsicherer als XIP. (bsc)