Streamingpiraterie: iPhone-App lädt Code nach, der eigentlich verboten ist
Offenbar ist es bereits mehrfach vorgekommen, dass eigentlich harmlose iPhone-Apps Code nachluden, der Illegales erlaubt. Das App-Review-Team wird ausgetrickst.
App Store auf dem iPhone: Apple verbietet Piraterie-Apps, kann nachgeladenen Code aber nur schwer überprüfen.
(Bild: tre / Mac & i)
Mehrfach ist es in den vergangenen Monaten dazu gekommen, dass iPhone-Programme für Streamingpiraterie über Apples App Store vertrieben wurden. Dabei scheinen entsprechende Funktionen in zunächst harmlos aussehenden Apps nachgeladen worden zu sein – eine Technik, die grundsätzlich erlaubt ist, aber auch missbraucht werden kann.
Harmlose App liefert geklaute Streams
Die letzte bekannte App dieser Art hörte auf den Namen "Collect Cards" – und sie schaffte es sogar an die Spitze des Rankings von Gratisprogrammen in mehreren Ländern. Wie 9to5Mac recherchiert hat, wurde dabei React Native verwendet, ein JavaScript-basiertes Cross-Plattform-Framework. Mit Hilfe des CodePush-SDK von Microsoft ist es damit möglich, Teile einer App zu ändern, ohne dass ein Update im App Store eingereicht werden muss.
CodePush an sich ist laut Apples App-Review-Guidelines nicht verboten. Die Entwickler machen sich zudem Geodaten zunutze: So wird der mögliche Ort der IP-Adresse des Verwenders überprüft, um sicherzustellen, dass der Piraterieanteil an Apples Geschäftssitz nicht nachgeladen wird. Bei "Collect Card" wurde aus einer harmlosen Kartensammel-App ein Angebot, das Serien, Filme und mehr von bekannten Streaminganbietern an Nutzer weiterreichte. Dafür erschien ein verstecktes Interface.
Geofencing gegen Cupertino
Der Geofencing-Trick ist eigentlich nicht neu, so soll sogar der Fahrvermittler Uber vor Jahren bereits so vorgegangen sein – und problematische Trackingfunktionen in Cupertino deaktiviert haben. Apple tritt hier mit einer vergleichsweise kleinen Mannschaft ab: Daten von 2021 besagen, dass ein Team von 500 Personen jede Woche bis zu 100.000 Apps zu analysieren hat. Vieles davon läuft automatisiert. CodePush könnte – zumindest theoretisch – auch dazu verwendet werden, auf die App beschränkte Malware oder betrügerische Angebote nachzuladen. 9to5Mac fand ein ganzes GitHub-Repository mit Code mehrerer Piraten-Streaming-Apps.
"Collect Cards" soll Inhalte von Amazon Prime Video, Disney+, Netflix, HBO Max und sogar Apple TV+ enthalten haben. Anfangs sah es so aus, als ob der Piratenanteil nur in Brasilien aktiviert worden wäre, es waren aber später auch weitere Länder.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
