Gecrackte iPhone-Apps: Apple bekommt Zertifikat-Missbrauch nicht in den Griff
Seit Jahren wird auf Apples Enterprise-Zertifikate gesetzt, um Apps ungehindert aufs iPhone zu bringen – von Cracks über Pornographie bis hin zu Malware.
Apples Enterprise-Zertifikate werden in großem Stil missbraucht: Piraten-App-Läden vertreiben darüber gecrackte iPhone-Spiele und Apps, wie die Nachrichtenagentur Reuters berichtet – so kommen Nutzer etwa an kostenlose Versionen von populären Spieletiteln wie Minecraft oder an eine werbefreie Spotify-App. Die illegalen App-Läden finanzieren sich über spezielle Abonnements, die unter anderem Exklusivzugang zu Apps und Spielen versprechen.
Enterprise-Zertifikate auch für Betrüger leicht erhältlich
Apple kann die Zertifikate jederzeit zurückziehen und macht davon auch Gebrauch. Man prüfe diese Fällen von Zertifikatsmissbrauch ständig und sei bereit, sofort Maßnahmen zu ergreifen, teilte der Konzern mit. Gewöhnlich sind die Drittanbieter aber innerhalb weniger Tage mit anderen Enterprise-Zertifikaten wieder im Geschäft, wie die Nachrichtenagentur ausführt. Für diese scheint ein reger Schwarzmarkt zu bestehen, Betrüger nutzen offenbar teils echte Firmenanschriften und Informationen, um darüber Enterprise-Entwickler-Accounts bei Apple zu eröffnen – dies kostet lediglich 300 Dollar pro Jahr.
Enterprise-Zertifikate sind der einzige praktikable Weg, um beliebige Software an Apple vorbei auf iPhone und iPad zu bringen. Die Zertifikate sind eigentlich dafür gedacht, dass Firmen interne Apps an Mitarbeiter ausgeben können – ohne diese umständlich durch Apples Prüfprozess in den App Store bringen zu müssen. Apple hat die Installation von Apps mit Enterprise-Zertifikat im Lauf der Jahre erschwert, um die Verbreitung von Malware zu stoppen, doch müssen Nutzer dem Zertifikat lediglich einmalig das Vertrauen aussprechen – anschließend können sie alle damit signierten Apps installieren.
Missbrauch der Zertifikate bereits seit Jahren bekannt
JĂĽngst erst wurde bekannt, dass groĂźe Konzerne wie Facebook und Google die Zertifikate eingesetzt haben, um invasive Marktforschungs-Apps auf das iPhone zu bringen.
Apple wurde darauf offenbar erst durch Medienberichte aufmerksam. Die Zertifikate werden auch für den Vertrieb von Pornographie- und Glücksspiel-Apps eingesetzt, beide Kategorien sind in Apples App Store nicht zulässig – oder nur in stark eingeschränkter Form möglich. Die Enterprise-Zertifikate werden seit Jahren in dieser Form missbraucht, ohne dass Apple dem Treiben bislang einen Riegel vorschieben konnte. Vor drei Jahren schaffte es ein solcher Piraten-App-Laden sogar in Apples offiziellen App Store – getarnt als Übersetzungs-Tool. (lbe)