Signierte Software: Apple legt Mac-Apps eines Entwicklers versehentlich lahm
Weil Apples automatisierte Systeme einen Entwickler-Account als bösartig einstuften, ließen sich die Apps nicht mehr verwenden – für fast 24 Stunden.
Apples "Kill Switch" für Malware kann auch etablierte Entwickler treffen: Mehrere bekannte Mac-Programme eines Entwicklers verweigerten am Dienstag plötzlich den Dienst, sie stürzten nach dem Öffnen unmittelbar ab. Wurden die Apps frisch heruntergeladen, blockierte macOS den Start mit einer Malware-Warnung und dem Hinweis, die Software könne den Computer beschädigen, der Nutzer wird dann aufgefordert, sie in den Papierkorb zu befördern.
Apple-Zertifikate zurückgezogen – Malware-Warnung
Der Auslöser dafür war, dass Apple die für das Signieren verwendeten Zertifikate zurückgezogen hatte, wie der Entwickler Charlie Monroe erklärt, er sei schon bei dem Versuch gescheitert sich in seinen Entwickler-Account bei Apple einzuloggen, dort ist auch die Verwaltung der Zertifikate möglich. Einen Hinweis des Konzerns habe er nicht erhalten. Entwickler können ihre Mac-Apps auch unsigniert vertreiben, dann lassen sie sich aber nicht direkt öffnen und das Betriebssystem warnt den Nutzer – entsprechend wird praktisch alle gängige Mac-Software inzwischen signiert.
Betroffen waren alle seine Mac-Programme, die er außerhalb des Mac App Stores direkt an Endkunden vertreibt sowie über den Abo-Dienst Setapp anbietet, so Monroe. Zu den betroffenen Tools zählte der YouTube-Video-Downloader Downie und der Medienkonverter Permute.
Fehleinschätzung von Apples Anti-Betrugssystem
Er habe um sein Geschäft gefürchtet und versucht, Apple schnell zu kontaktieren, aber keine Möglichkeit zur telefonischen Kontaktaufnahme gefunden, sondern nur ein E-Mail-Formular. Monroe wandte sich deshalb über Twitter an die Öffentlichkeit und sorgte so in kurzer Zeit für erhebliches Aufsehen – offenbar auch bei Apple: Nach knapp 24 Stunden wurde sein Entwickler-Account wortlos wieder zugänglich gemacht, so dass er neue, frisch signierte Versionen seiner Software veröffentlichen konnte.
Erst später habe er dann einen Entschuldigungsanruf des Konzerns mit einer knappen Erklärung erhalten: Sein Account sei irrtümlich durch ein automatisiertes System als bösartig eingestuft und deshalb eingefroren worden. (lbe)
