InternetIntelligenz 2.0

kostenlos Pressemitteilungen einstellen | veröffentlichen | verteilen

Pressemitteilungen

 

Apples Kam­­pf gegen Piraten-App-Entwickler: 2FA als Heilsbringer-

ID: 1698361


(PresseBox) - Apple will seine Entwickler dazu verpflichten, eine Zwei-Faktor-Authentisierung (2FA) zu verwenden, um dem Handel mit Entwicklerzertifikaten und damit einem Einfallstor für schadhafte Apps entgegenzuwirken. Michael Veit, Security Evangelist bei Sophos, mit einem Kommentar zu dieser Vorgehensweise.

Es ist noch nicht lang her, dass sich die beiden Giganten Apple und Facebook über eine App Namens ?Facebook Research? in den Haaren lagen. Diese Applikation war nicht für den generellen Gebrauch entwickelt worden ? in der Tat war es sogar so, dass Facebook die App gar nicht Jedermann zugänglich machen konnte: im App Store war sie nämlich gar nicht zugelassen, zu viel Schnüffelpotenzial. Unter anderem spähte sie in den Traffic einiger (oder aller) Netzwerke von anderen Apps ? Ziel: Facebook verbessern durch tiefere Einblicke in das Onlineverhalten der Nutzer.

Hat man im Hinterkopf, dass Apps in der iPhone-Software schon verboten sind, die weitaus weniger Funktionen und Möglichkeiten haben, zeigt sich Facebooks (geschicktes) Vorgehen in diesem Fall: das Unternehmen umging diese Restriktionen, indem es die App in einer Version mit limitiertem Zugang unter Apples ?Enterprise Certificate Programme? anbot. Ein System, das Unternehmen nutzen können, um Applikationen für ihre Belegschaft zu entwickeln und zwar ohne darauf zu warten, dass Apple diese im App Store bestätigt.

?Unbekannte Quellen? als Dauerübel

Einfach gesagt: damit kommt Apple der Google-Funktionalität in Android ?Erlaube Apps von unbekannten Quellen? schon ziemlich nahe. Und es ist der einzige Weg Software auf einem iPhone zu installieren, ohne über Los, respektive App-Store, zu gehen.

Apples Begeisterung hielt sich darüber in Grenzen. Facebook wurde gezwungen, die Research-App zurückzuziehen. Es stellte sich jedoch heraus, dass sie nicht die einzigen waren, die den Begriff ?Belegschaft? großzügig auslegten. Auch Googles ?Screenwise Meter?-App umging so Apples Richtlinien. Während Facebook die ?Mitarbeiter? mit 20 US-Dollar für die Nutzung der App lockte, bezahlte Google mit Geschenkkarten. Aber es zog seine App schneller zurück, als Apple reagieren konnte. Im Ergebnis bei beiden jedoch gleich: die Anwendung steht nicht mehr zur Verfügung.





Software Piraten auf dem Vormarsch

Preisfrage: Wer hat so frei und sorglos mit den Entwickler-Zertifikaten gespielt? Software- Piraten, wie Reuters diesen Sektor an wahllosen Verkäufern nennt. Ein Haufen von ?Ersatz-Zulieferern? haben Entwicklerzertifikate verwendet, um nicht-offizielle und illegale Versionen von etablierten Apps wie Spotify, Angry Birds, Pokémon Go und Minecraft zu signieren.

Nicht offizielle Apps lassen sich derart manipulieren, wie weder Apple noch der amtliche App-Creator es zulassen würden, also zum Beispiel Werbung ausblenden, Logins Umgehen und völlig skrupelloses Betrügen in Online Games.

Wie Reuters benennt, Apple darf nicht einfach nur die missbrauchten Zertifikate löschen, sondern muss auch die schädigenden Programmierer aus seinen Entwicklerprogrammen nehmen plus Gebühren und Wartezeit bei Neubewerbung.

2FA als Pflicht für Entwickler?

Apple geht aber noch weiter: Entwickler mit entsprechendem Zertifikat werden in Zukunft eine 2FA (Zwei-Faktor-Authentifizierung) nutzen müssen, als Teil ihrer Verantwortung, die mit diesem Privileg einhergeht.

Es lässt sich vermuten, dass Apple so eine weitaus größere Kontrolle über den Missbrauch kompromittierender Entwicklerzertifikate erhält ? ein Betrüger, der dann das Passwort entwendet, wird zukünftig nicht mehr genug Informationen für den Zugang zum Account zur Verfügung haben, um Apps mit einem Zertifikat zu signieren.

Die 2FA einzufordern, könnte es abtrünnigen Entwicklern ebenfalls schwieriger machen, neue Accounts anzuheizen, wenn ihre alten stillgelegt wurden. 2FA-Codes, die an das Handy gesendet werden, können an die SIM-Karte, das Gerät oder beides gebunden sein. Das macht es komplizierter, sie für neue Accounts zu registrieren, es sei denn man tauscht die Geräte aus.

2FA als Anklagepunkt

Interessanterweise ist die 2FA nicht überall beliebt. Ein Apple-Kunde aus dem US-Bundesstaat Kalifornien strebt eine Sammelklage gegen das Unternehmen an, mit dem Vorwurf, Apple habe ihn zur 2FA ?gezwungen? und diese Tatsache habe ihm und ?Millionen ähnlich gestellter Kunden? ?ökonomische Verluste? eingebracht.

Klingt zunächst amüsant, würde es nicht so ein kläglich verworrenes Bild vom Verhältnis der Welt zur Cybersicherheit aufzeigen. Googles Nest-Abteilung kam kürzlich unter Beschuss, als ein Nest-User, dessen Zuhause gehackt wurde, öffentlich 4.000 US-Dollar Schadenersatz forderte, weil Google ihm nichts über die 2FA mitgeteilt hatte.

Allerdings erhielt keiner der beiden besonders viel Sympathie von den Lesern des Naked Security-Blogs. Auf den Punkt gebracht, halten viele Blogleser es nicht für eine schwere Last 2FA zu nutzen. Sie macht keine außergewöhnliche Mühe oder verursacht so viel Ärger, wie die Kritiker behaupten. Sie hat eine größtenteils positive Wirkung für die gesetzestreue Community und: sie ist eine Funktion, derer wir uns alle heutzutage bewusst sein sollten, selbst wenn wir uns letztlich dazu entscheiden, uns nicht damit zu beschäftigen.


Themen in diesem Fachartikel:


Unternehmensinformation / Kurzprofil:



Leseranfragen:



PresseKontakt / Agentur:



drucken  als PDF  an Freund senden  Doppelte Bilder finden mit Fotosortierer XL 2019 ist ganz einfach
Mit MindManager 12 für Mac Informationen auf transformative Art und Weise anzeigen, verwalten und teilen
Bereitgestellt von Benutzer: PresseBox
Datum: 21.02.2019 - 11:06 Uhr
Sprache: Deutsch
News-ID 1698361
Anzahl Zeichen: 0

Kontakt-Informationen:
Ansprechpartner:
Stadt:

Wiesbaden


Telefon:

Kategorie:

IT, New Media & Software


Anmerkungen:


Dieser Fachartikel wurde bisher 39 mal aufgerufen.


Der Fachartikel mit dem Titel:
"Apples Kam­­pf gegen Piraten-App-Entwickler: 2FA als Heilsbringer-
"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Sophos ernennt Torjus Gylstorff zum Chief Revenue Officer ...

Sophos hat mit Torjus Gylstorff den globalen Posten des Chief Revenue Officers (CRO) neu besetzt. Im Fokus der erfahrenen Führungskraft stehen der Vertrieb der Sophos Cybersicherheits-Services und Lösungen, inklusive Managed Detection and Respons ...

Alle Meldungen von Sophos Technology GmbH



 

Wer ist Online

Alle Mitglieder: 50.252
Registriert Heute: 0
Registriert Gestern: 0
Mitglied(er) online: 0
Gäste Online: 381


Bitte registrieren Sie sich hier. Als angemeldeter Benutzer nutzen Sie den vollen Funktionsumfang dieser Seite.