Apple: App Store zeigt neue Sicherheitsschwächen auf

Ein Sicherheitsforscher hat herausgefunden, dass ein Entwickler mindestens sieben auffällige Apps an Apples Sicherheitsüberprüfungen vorbeischleusen konnte.

Artikel veröffentlicht am ,
Im App Store geht es nicht immer so sicher zu, wie Apple behauptet.
Im App Store geht es nicht immer so sicher zu, wie Apple behauptet. (Bild: Chris Delmas/AFP via Getty Images)

Der Sicherheitsforscher Alex Kleber hat auffällige Apps im App Store gefunden, die mit Hilfe von Programmiertricks offenbar Apples Sicherheitsüberprüfungen austricksen konnten. Die insgesamt sieben Apps sollen alle vom selben Entwickler in China stammen, der seine Spuren verwischt hat.

Stellenmarkt
  1. Naturwissenschaftler als Softwareentwickler (m/w/d) Bereich Softwaretestautomatisierung
    andagon people GmbH, Hamburg
  2. Cybersecurity Analyst (m/w/div)
    Flughafen Köln/Bonn GmbH, Köln
Detailsuche

Die Apps scheinen zudem Fake-Bewertungen bekommen zu haben. Außerdem laden sie im Hintergrund unnötig viele Daten herunter und zeigen Nutzern Einblendungen an, die sich nicht wegklicken lassen. Auf diesen werden Nutzer beispielsweise dazu aufgefordert, eine neue Version herunterzuladen. Da sich die Benachrichtigungen nicht wegklicken lassen, kann ein Klick auf OK theoretisch ungewünschte Software herunterladen.

Kleber fand die Apps PDF Reader for Adobe PDF Files, Word Writer Pro, Screen Recorder, Webcam Expert, Streaming Browser Video Player, PDF Editor for Adobe Files und PDF Reader, die alle vom selben Entwickler stammen sollen. Im App Store sind allerdings unterschiedliche Entwicklerstudios angegeben. PDF Reader for Adobe PDF Files ist die Nummer-1-App in der Rangliste der Education-Apps in den USA.

Parallelen zwischen den Anwendungen

Kleber konnte durch genaue Untersuchung des Quellcodes aber zahlreiche Parallelen zwischen den Apps herausfinden. So verwenden einige Apps einen Bundle Identifier mit dem Namen eines Entwicklers einer der anderen Apps. Außerdem nutzt jede Anwendung dasselbe Passwort, um das JSON zu verschlüsseln.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
Weitere IT-Trainings

Der Entwickler der Apps soll Mechanismen eingebaut haben, um maliziöse Mechanismen wie die Einblendung von Werbefenstern während der Prüfung durch Apple abzuschalten. Kleber entdeckte entsprechende Hinweise. Zudem fielen Kleber Muster in den Bewertungen der Apps auf: Alle Fünfsternebewertungen verwenden ähnliche Worte und Satzstrukturen, während schlechte Bewertungen in dieser Hinsicht einzigartig sind.

Apple betont stets, dass Anwendungen für seine iPhones und iPads nur über den App Store heruntergeladen werden könnten, da nur dies sicher sei. In der Vergangenheit gab es allerdings bereits Beispiele dafür, wie Entwickler die Sicherheitsüberprüfungen zumindest für eine Zeit lang austricksen können - etwa indem die App nach dem positiven Review komplett umgebaut wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Smartphones: Xiaomis neues Foldable ist wesentlich günstiger
    Smartphones
    Xiaomis neues Foldable ist wesentlich günstiger

    Das Xiaomi Mix Fold 2 ähnelt dem Samsung Galaxy Fold 4. Es ist ähnlich gut ausgestattet, kostet aber wesentlich weniger Geld.

  2. USA: Tesla stoppt Bestellungen für das Model 3 Long Range
    USA
    Tesla stoppt Bestellungen für das Model 3 Long Range

    In den USA und Kanada übersteigt die Nachfrage nach dem Tesla Model 3 LR das Angebot, so dass Tesla erstmal keine Bestellungen mehr annimmt.

  3. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • BenQ Mobiuz EX3410R 499€ • HyperX Cloud Flight heute für 44€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und GIGABYTE RTX 3070 Ti Master 8G 699€ + 20€ Cashback) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO für 353,99€) [Werbung]
    •  /