Live-Updates für iOS-Apps: Apple will nachträgliche App-Aktualisierung unterbinden

Apple hat Entwickler dazu aufgefordert, jeglichen Code zu entfernen, mit dem Apps nach der Zulassungsprüfung verändert werden können. Damit werde Apples Prüfprozess umgangen.

In Pocket speichern vorlesen Druckansicht 82 Kommentare lesen
iOS-Entwickler

(Bild: Rollout.io)

Lesezeit: 3 Min.

Apple geht nun gegen Apps vor, die eigenhändig Updates beziehen – ohne dass diese erst durch den iPhone-Hersteller geprüft werden. Der Konzern hat deshalb mehrere App-Entwickler dazu aufgefordert, ihre iOS-Programme zu überarbeiten: “Deine App scheint Code zu enthalten, der eine Änderung bei Verhalten oder Funktion erlaubt, nachdem die Software von Apple zugelassen wurde”, schreibt der Konzern, wie Entwickler unter anderem im Developer-Forum berichten. Dies verstoße gegen die App-Store-Richtlinien (Abschnitt 2.5.2) sowie die Apple-Entwicklervereinbarung (Abschnitt 3.3.2).

Apple pocht darauf, dass die Entwickler jegliche Frameworks, SDKs oder Code-Passagen entfernen, die eine derartige Funktion ermöglicht. Dies müsse passieren, bevor das nächste Update zur Prüfung eingereicht wird. Der Konzern scheint Entwicklern damit zumindest etwas Zeit zu lassen: Die monierten Apps wurden nicht unmittelbar aus dem App Store geworfen.

Offenbar hat Apple unter anderem Entwickler angeschrieben, die das SDK von Rollout.io in ihren Apps einsetzen. “Liefere Updates sofort für Apps aus, die live im App Store sind”, bewirbt der Anbieter das eigene SDK. Der iOS-Hersteller untersagt Apps das Nachladen von Code grundsätzlich. Apple schreibt zudem vor, dass auch kleinste Updates stets durch den App-Store-Prüfprozess müssen – und nur durch den App Store selbst zentral ausgeliefert werden dürfen.

Man wisse um “das jüngste Problem mit Apples Richtlinien”, schreibt der Rollout-Support, die Angelegenheit werde untersucht und man wolle sich bald genauer dazu äußern. Apples Vorgehen gegen derartige Tools scheint aber nicht auf Rollout begrenzt: Entwickler berichten, dass auch die Integration von bestimmtem anderen Dritt-Code bemängelt wird, etwa von Analyse- und Werbenetzwerken. Wie weit Apples Vorgehen reicht, bleibt vorerst unklar.

Sicherheitsforscher warnen seit längerem vor derartigen Hot-Patching-Tools, denn sie machen Apps verwundbar: Derartiger Code stelle eine Schwachstelle dar, weil die Updates an der üblichen Kontrolle des Plattformbetreibers vorbei ausgeliefert werden, erklärten Sicherheitsforscher vor über einem Jahr. Ein Angreifer sei damit etwa in der Lage, eine harmlose App im App Store zu veröffentlichen und dann beliebige Frameworks nachzuladen. Dazu gehöre auch der Zugriff auf undokumentierte Schnittstellen (“private APIs”), den Apple grundsätzlich untersagt.

Warum Apple derartige Tools so lange geduldet hat, bleibt unklar. Über lange Zeit dauerte die App- und Update-Prüfung für den App Store rund eine Woche und länger – ein Ärgernis für Entwickler. Inzwischen lässt Apple iOS-Programme nach rund ein bis drei Tagen in den App Store. (lbe)