Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple sieht keine Gefahr bei maskierter App-Installation

Bereits im Juli wurde Apple über eine "Masque Attack"-Sicherheitslücke in iOS informiert, mit der sich Apps aus dem App Store durch eine manipulierte App-Version ersetzen lassen. In einer nun abgegebenen Stellungnahme sieht Apple in diesem Verhalten kein Sicherheitsproblem, da Nutzer in einem Dialog zunächst gefragt werden, ob sie der Installation und dem Start mithilfe des Unternehmenszertifikats (Enterprise Provisioning Profile) zustimmen. Darüber hinaus betont Apple, dass bislang kein derartiger Angriff bekannt sei. Laut Apple sei es wichtig, dass Nutzer ihre Apps nur aus vertrauenswürdigen Quellen wie dem App Store oder der geschützten Unternehmensseite beziehen.
Apple gegenüber iMore
We designed OS X and iOS with built-in security safeguards to help protect customers and warn them before installing potentially malicious software," an Apple spokesperson told iMore. "We're not aware of any customers that have actually been affected by this attack. We encourage customers to only download from trusted sources like the App Store and to pay attention to any warnings as they download apps. Enterprise users installing custom apps should install apps from their company's secure website.

Unterdessen lässt Apple die Frage ungeklärt, warum bei der Installation aus einer unsicheren Quelle beliebige Apps aus dem App Store durch Fälschung der Bundle-ID ersetzt werden können. Genau dies hatten die Sicherheitsexperten im Juli bemängelt, da hierbei der Installations-Dialog nicht aufschlussreich erklärt, welche App gegebenenfalls installiert oder ersetzt wird. Die grundsätzliche Möglichkeit, mit einem Unternehmenszertifikat auch Apps jenseits des App Store installieren zu können, wurde von den Sicherheitsexperten nicht bemängelt.

Etwas besorgter zeigt sich aus das US-Ministerium für innere Sicherheit und sprach mittlerweile eine Warnung aus. So sollen Besitzer eines iPhone oder iPad ihre Apps ausschließlich vom App Store beziehen und keine Installations-Dialoge bestätigen, die während der Nutzung von Safari erscheinen. Sollte beim Öffnen einer App ein Dialog erscheinen, der den Nutzer auffordert, dem App-Entwickler zu vertrauen, wird der Abbruch und die Entfernung der App empfohlen.

Installations-Dialog Ersetzte Gmail-App

Weiterführende Links:
Interview: Größte private Mac-Sammlung
Interview: Größte private Mac-Sammlung
Bericht: MacBook Air M4 auf dem Weg – und mehr Informationen zum Mac Studio
Bericht: MacBook Air M4 auf dem Weg – und mehr ...
Apple veröffentlicht iOS 18.2, iPadOS 18.2 und weitere Updates
Apple veröffentlicht iOS 18.2, iPadOS 18.2 und ...
Bericht: Produktionsstopp der Apple Vision Pro?
Bericht: Produktionsstopp der Apple Vision Pro?
PIN-Code erraten: Dauer
PIN-Code erraten: Dauer
Apple aktualisiert Zubehör: Magic Mouse, Magic Keyboard, Magic Trackpad
Apple aktualisiert Zubehör: Magic Mouse, Magic ...
20 Jahre Mac mini
20 Jahre Mac mini
Mac mini M4 im ersten Test: Was hält der kleine Würfel?
Mac mini M4 im ersten Test: Was hält der kleine...

Kommentare

o.wunder
o.wunder14.11.14 09:16
Für unbedarfte Anwender ist das wohl schon ein Sicherheitsproblem, weil sie der Installation zustimmen werden. Die Sichtweise von Apple kann ich nicht verstehen. Warum zögern Sie so lange diese Lücke zu beseitigen? Dabei wollen sie in Sicherheitsfragen doch immer schnell reagieren...
0
ExMacRabbitPro14.11.14 09:31
Also alle Unternehmen die ich kenne die iOS Devices einsetzen lassen es gar nicht zu, dass ihre Anwender selbst irgendwelche Anwendungen installieren. Vielmehr werden die Geräte zentral mit einstreichender Security Policy verwaltet, und die Unternehmensanwendungen entsprechend auf das Gerät gepusht.

Und welcher End-User kommt denn schon dazu, Unternehmensanwendungen am App Store vorbei auf seinem Gerät installieren zu wollen? Ich stimme mal so gut wie keine.
0
zod198814.11.14 09:45
Ich kenne das auch von keinem Unternehmen, dass die Apps wirklich über eine Webseite verteilt werden. Man sollte diese Möglichkeit einfach komplett entfernen.
0
Stereotype
Stereotype14.11.14 09:55
o.wunder
Für unbedarfte Anwender ist das wohl schon ein Sicherheitsproblem, weil sie der Installation zustimmen werden. Die Sichtweise von Apple kann ich nicht verstehen. Warum zögern Sie so lange diese Lücke zu beseitigen? Dabei wollen sie in Sicherheitsfragen doch immer schnell reagieren...

Und warum würdest du als unbedarfter Anwender darauf reinfallen?
0
gritsch14.11.14 10:04
o.wunder
Für unbedarfte Anwender ist das wohl schon ein Sicherheitsproblem, weil sie der Installation zustimmen werden. Die Sichtweise von Apple kann ich nicht verstehen. Warum zögern Sie so lange diese Lücke zu beseitigen? Dabei wollen sie in Sicherheitsfragen doch immer schnell reagieren...

weil es keine lücke ist!
0
gritsch14.11.14 10:05
zod1988
Ich kenne das auch von keinem Unternehmen, dass die Apps wirklich über eine Webseite verteilt werden. Man sollte diese Möglichkeit einfach komplett entfernen.

ich kenne auch niemanden der tofu isst oder haferflocken mag...
0
tjost
tjost14.11.14 10:08
Die trottel haben es dann aber auch verdient. Apple spricht dem Nutzer zumindest noch etwas Intelligenz zu im Gegensatz zu m$.
o.wunder
Für unbedarfte Anwender ist das wohl schon ein Sicherheitsproblem, weil sie der Installation zustimmen werden. Die Sichtweise von Apple kann ich nicht verstehen. Warum zögern Sie so lange diese Lücke zu beseitigen? Dabei wollen sie in Sicherheitsfragen doch immer schnell reagieren...
0
subjore14.11.14 10:15
Ein Stopfen der "Lücke" sähe so aus die Warnung noch drastischer zu Formulieren.
Oder was gäbe es da noch für Möglichkeiten?
0
Alanin14.11.14 10:21
Also wir verteilen als Agentur teilweise Vorabversionen über diesen Weg an unsere Kunden, damit diese die Software schon intern testen können. Ist schon recht praktisch, wenn man einfach nur einen Link versenden kann...
0
ExMacRabbitPro14.11.14 10:32
Alanin
Also wir verteilen als Agentur teilweise Vorabversionen über diesen Weg an unsere Kunden, damit diese die Software schon intern testen können. Ist schon recht praktisch, wenn man einfach nur einen Link versenden kann...

Dafür gibt es andere Mechanismen. Stichwort TestFlight oder AdHoc Profile.

Außerdem besagt die Lizenz für Unternehmenszertifikate, dass solche signierte Anwendungen ausschließlich auf zum Unternehmen gehörende Geräte installiert werden dürfen. Dies wird von allen Unternehmen die ich kenne sehr sehr ernst genommen. Gerade weil man mit derart signierten Anwendungen am AppStore vorbei viel Unsinn treiben kann.
Und ihr als Firma seid dann im Falle des Falles dran.

Unternehmenszertifikate sind NICHT für Applikationstests gedacht. Daher würde ich schleunigst zu einem legalen Weg die Testanwendungen zu verbreiten raten.
0
zod198814.11.14 10:47
gritsch
zod1988
Ich kenne das auch von keinem Unternehmen, dass die Apps wirklich über eine Webseite verteilt werden. Man sollte diese Möglichkeit einfach komplett entfernen.

ich kenne auch niemanden der tofu isst oder haferflocken mag...

Dann soll man die Möglichkeit eben von Haus aus einfach deaktivieren und nur mit dem Configurator möglich machen.
0
gritsch14.11.14 10:49
zod1988
gritsch
zod1988
Ich kenne das auch von keinem Unternehmen, dass die Apps wirklich über eine Webseite verteilt werden. Man sollte diese Möglichkeit einfach komplett entfernen.

ich kenne auch niemanden der tofu isst oder haferflocken mag...

Dann soll man die Möglichkeit eben von Haus aus einfach deaktivieren und nur mit dem Configurator möglich machen.

das hat mit dem konfigurator nix zu tun!
0
zod198814.11.14 11:01
gritsch
zod1988
gritsch
zod1988
Ich kenne das auch von keinem Unternehmen, dass die Apps wirklich über eine Webseite verteilt werden. Man sollte diese Möglichkeit einfach komplett entfernen.

ich kenne auch niemanden der tofu isst oder haferflocken mag...

Dann soll man die Möglichkeit eben von Haus aus einfach deaktivieren und nur mit dem Configurator möglich machen.

das hat mit dem konfigurator nix zu tun!

Ja, herrgott es ist doch ein Lösungsvorschlag. Das das jetzt nicht so ist, weiß ich auch!

Mal ein bisschen weniger verbohrt und mehr lösungsorientiert denken vielleicht?
0
chessboard
chessboard14.11.14 11:11
zod1988
Mal ein bisschen weniger verbohrt und mehr lösungsorientiert denken vielleicht?
+1!
0
macbia
macbia14.11.14 13:08
subjore
Ein Stopfen der "Lücke" sähe so aus die Warnung noch drastischer zu Formulieren.
Oder was gäbe es da noch für Möglichkeiten?
Na das steht doch im Artikel:

Unterdessen lässt Apple die Frage ungeklärt, warum bei der Installation aus einer unsicheren Quelle beliebige Apps aus dem App Store durch Fälschung der Bundle-ID ersetzt werden können.

Man könnte verhindern das per Webinstall eine App aus dem App Store ersetzen werden kann. Ich verstehe nicht warum das überhaupt möglich ist.
i heart my 997
0
Hannes Gnad
Hannes Gnad14.11.14 16:06
macbia
Unterdessen lässt Apple die Frage ungeklärt, warum bei der Installation aus einer unsicheren Quelle beliebige Apps aus dem App Store durch Fälschung der Bundle-ID ersetzt werden können.
Ich vermute, weil die Zertifikate nicht verglichen werden.
macbia
Man könnte verhindern das per Webinstall eine App aus dem App Store ersetzen werden kann. Ich verstehe nicht warum das überhaupt möglich ist.
Das ist vermutlich schon möglich (App mit gleichem Bundle Identifier und Enterprise Zertifikat darf nicht App mit MAS Zertifikat ersetzen, so stelle ich mir das zumindest vor), gebaut, getestet und ausgerollt muß es werden. Mal schauen, ob und wann Apple da was macht...
0
Alanin15.11.14 13:43
In dem von uns verwendeten Fall ist es legal. Da es firmeneigene Geräte sind, die beim Kunden liegen und dort nur intern verwendet werden. Wir müssen sehr schnell und dezentral die Software verteilen. Wobei das besagte Projekt nun schon einige Zeit zurück liegt, zu dieser Zeit gab es noch kein TestFlight und dies war die einzige Möglichkeit die Software (die niemals im AppStore landen wird) an den Kunden zu verteilen. Aber danke für deinen Hinweis.
ExMacRabbitPro
Alanin
Also wir verteilen als Agentur teilweise Vorabversionen über diesen Weg an unsere Kunden, damit diese die Software schon intern testen können. Ist schon recht praktisch, wenn man einfach nur einen Link versenden kann...

Dafür gibt es andere Mechanismen. Stichwort TestFlight oder AdHoc Profile.

Außerdem besagt die Lizenz für Unternehmenszertifikate, dass solche signierte Anwendungen ausschließlich auf zum Unternehmen gehörende Geräte installiert werden dürfen. Dies wird von allen Unternehmen die ich kenne sehr sehr ernst genommen. Gerade weil man mit derart signierten Anwendungen am AppStore vorbei viel Unsinn treiben kann.
Und ihr als Firma seid dann im Falle des Falles dran.

Unternehmenszertifikate sind NICHT für Applikationstests gedacht. Daher würde ich schleunigst zu einem legalen Weg die Testanwendungen zu verbreiten raten.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.