Apple News+: AbstĂĽrze und ungesicherte PDFs

Erstnutzer des Magazindienstes klagten Dienstag ĂĽber Crash-Probleme. Ein iOS-Experte hat zudem aufgezeigt, dass Inhalte offenbar ungesichert auf Servern stehen.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Apple News+

Apple News+ gibt's aktuell nur in den USA und Kanada.

(Bild: Apple)

Lesezeit: 3 Min.

Apples neuer digitaler Zeitschriften- und Zeitungsaboservice leidet unter Startproblemen. Der am Montag in den USA und Kanada gestartete Dienst Apple News+ nervte die Nutzer fast den ganzen Dienstag über mit Abstürzen – sowohl auf dem Mac als auch auf iPhone und iPad, wo er seit dem Update auf macOS 10.14.4 beziehungsweise iOS 12.2 zum Preis von knapp 10 US-Dollar im Monat bereitsteht.

Grund fĂĽr die Crash-Lawine, die teils sofort beim Start der App, teils beim Aufrufen bestimmter Inhalte auftrat, waren offenbar fehlerhaft ausgelieferte Content-Daten, mit denen die Anwendung nicht umzugehen wusste. GlĂĽcklicherweise konnte Apple diese Probleme server-seitig berichtigen, weshalb der Konzern keine Notfallupdates der Apple-News-Anwendung auszuspielen hatte. Wieso der Crash-Bug vorab keinem aufgefallen war, ist unklar.

Unterdessen kamen außerdem technische Details zu Apple News+ ans Licht. Der bekannte iOS-Experte Steve Troughton-Smith hat sich dass von Apple verwendete Format näher angesehen und festgestellt, das es offenbar kaum abgesichert ist. Statt die übliche DRM-Lösung FairPlay zu verwenden, spielt Apple Inhalte offenbar frei von seinen Servern aus – und zwar auch solche, die nur für zahlende Nutzer zugänglich sein sollten.

Troughton-Smith gelang es so, aus dem Cache der Apple-News-App auf dem Mac – auch ohne Abo vorab heruntergeladene – PDF-Dateien zu entnehmen und diese zusammenzusetzen. Es wurde allerdings noch besser: Auch eine Manifest-Datei war zu finden, die die URLs zu den restlichen (eigentlich geschützten) Inhalten enthielt. Es sei ein Job von Minuten, ein Werkzeug zu schreiben, mit dem alle Seiten eines Magazins heruntergeladen werden könnten. Diese lassen sich dann zu einem Komplett-PDF zusammensetzen.

Weiterhin will Troughton-Smith noch eine zweite Lücke entdeckt haben, die es möglich macht, einen eigentlich nur für Apples interne Zwecke gedachten Abomodus freizuschalten, mit dem alle Inhalte kostenfrei genutzt werden können. "Ich denke, jemand muss sich mal mit dem News-Team hinsetzen."

Es ist unklar, wie lange beide Problembereiche in Apple News+ existieren werden. Apples Ingenieure lesen bei Twitter mit und beachten solche Funde von Experten wie Troughton-Smith. Entsprechend ist es gut möglich, dass der Konzern auch hier server-seitige Absicherungsmaßnahmen trifft. Troughton-Smith selbst scherzte, womöglich diene die Crash-Welle vom Dienstag ja dazu, im Hintergrund das PDF-Sicherheitsproblem zu fixen.

Lesen Sie dazu auch:

(bsc)