iOS 14: Apple steigert App-Integrität

Mit einer neuen API sollen Entwickler prüfen können, ob wirklich ihr eigener Code auf Serverdienste zugreift.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
iOS 14: Apple steigert App-Integrität

iOS 14 – hier die neue Siri.

(Bild: Apple)

Lesezeit: 2 Min.

Apple hat eine neue Sicherheitsfunktion in iOS 14 integriert, die verhindern soll, dass böse Apps auf Serverdienste von Entwicklern zugreifen können. Die frische API nennt sich App Attest und soll für Entwickler die "betrügerische Verwendung Ihrer Dienste" verhindern. Dazu werden verschiedene kryptographische Verfahren eingesetzt.

App Attest ist Teil von Apples sogenanntem DeviceCheck-Framework, das es schon seit längerem gibt und das gehackte Apps verhindern soll. Die neue API geht noch einen Schritt weiter. Sie erlaubt es, auf einem iOS- oder iPadOS-Gerät einen "speziellen kryptographischen Schlüssel" zu erzeugen, der dann zum Echtheitsausweis einer App dient. Nur Apps, die den Schlüssel vorweisen können, sollen dann Zugriff auf sensible Daten auf dem Server des App-Anbieters erhalten.

Es wird erwartet, dass App Attest weitläufig Verwendung findet. Gehackte Apps oder solche, die über Sideloading-Mechanismen auf das Gerät kommen, sollen keinen Serverzugriff mehr bekommen. Apples Angaben zufolge müssen User allerdings erst schrittweise in einem Onboarding ins Boot geholt werden.

Apple empfiehlt dies insbesondere Entwicklern mit groĂźer Nutzerbasis. Der Apple-Server, der zur Verifizierung des SchlĂĽssels verwendet wird, verfĂĽgt ĂĽber ein Throttling und macht dicht, wenn eine App zu viele Anfragen sendet.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wie sinnvoll die App-Attest-API tatsächlich ist, hängt davon ab, wie viele Entwickler sie verwenden; zudem ist sie bislang noch nicht unabhängig auf Lücken abgeklopft worden. Die Server-Abfrage bedingt zudem regelmäßig "Pings" übers Internet, was bei Offline-Anwendungen für Probleme sorgen könnte – allerdings machen Apps, deren App-Attest-Abfrage fehlschlägt, offenbar nicht komplett dicht, sondern verweigern nur den Server-Zugriff.

tipps+tricks zum Thema:

(bsc)