Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

iOS 14: Apple steigert App-Integrität

Mit einer neuen API sollen Entwickler prüfen können, ob wirklich ihr eigener Code auf Serverdienste zugreift.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
iOS 14: Apple steigert App-Integrität

iOS 14 – hier die neue Siri.

(Bild: Apple)

Lesezeit: 2 Min.
Mac & i
Von

Apple hat eine neue Sicherheitsfunktion in iOS 14 integriert, die verhindern soll, dass böse Apps auf Serverdienste von Entwicklern zugreifen können. Die frische API nennt sich App Attest und soll für Entwickler die "betrügerische Verwendung Ihrer Dienste" verhindern. Dazu werden verschiedene kryptographische Verfahren eingesetzt.

Zugriff verweigert, wenn die App nicht stimmt

App Attest ist Teil von Apples sogenanntem DeviceCheck-Framework, das es schon seit längerem gibt und das gehackte Apps verhindern soll. Die neue API geht noch einen Schritt weiter. Sie erlaubt es, auf einem iOS- oder iPadOS-Gerät einen "speziellen kryptographischen Schlüssel" zu erzeugen, der dann zum Echtheitsausweis einer App dient. Nur Apps, die den Schlüssel vorweisen können, sollen dann Zugriff auf sensible Daten auf dem Server des App-Anbieters erhalten.

Nicht zu viele User auf einmal

Es wird erwartet, dass App Attest weitläufig Verwendung findet. Gehackte Apps oder solche, die über Sideloading-Mechanismen auf das Gerät kommen, sollen keinen Serverzugriff mehr bekommen. Apples Angaben zufolge müssen User allerdings erst schrittweise in einem Onboarding ins Boot geholt werden.

Apple empfiehlt dies insbesondere Entwicklern mit großer Nutzerbasis. Der Apple-Server, der zur Verifizierung des Schlüssels verwendet wird, verfügt über ein Throttling und macht dicht, wenn eine App zu viele Anfragen sendet.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wie sinnvoll die App-Attest-API tatsächlich ist, hängt davon ab, wie viele Entwickler sie verwenden; zudem ist sie bislang noch nicht unabhängig auf Lücken abgeklopft worden. Die Server-Abfrage bedingt zudem regelmäßig "Pings" übers Internet, was bei Offline-Anwendungen für Probleme sorgen könnte – allerdings machen Apps, deren App-Attest-Abfrage fehlschlägt, offenbar nicht komplett dicht, sondern verweigern nur den Server-Zugriff.

tipps+tricks zum Thema:

(bsc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: iOS

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten