Es solle noch erwähnt werden dass wegen den niedrigen Geschwindigkeiten zum originalen Apple Entwickler-Server aus China viele Chinesische Entwickler sich “ihr Xcode.dmg” von schnelleren inländischen aber zweifelhaften Servern geladen und den Hash (Signatur)nicht überprüft haben!
Bei manchen sogenannten Entwicklern habe ich echte Zweifel, ob die die Bezeichnung “Entwickler” überhaupt verdienen.
ScriptKiddies würde da viel besser Passen.

Warum ist das passiert? Weil Xcode aus fremden Quellen geladen wurde, statt dass man es direkt von Apple lädt. Hätte jeder immer nur Xcode von Apple geladen (oder ggf. von einem lokalen Cache Server im Unternehmen, aber dessen Version wäre direkt von Apple gekommen), wäre das alles nicht passiert.

So, jeder der jetzt ein bisschen seine grauen Zellen in Schwung bringt, sollte in der Lage sein diesen Sachverhalt auf iOS Apps zu übertragen und zu erkennen, was es bedeutet, wenn man unter iOS in Zukunft auch Apps aus beliebigen Quellen laden kann.

Mecki

Richtig. Danke.
Auch wenn die Kontrolle von Apple nicht fehlerfrei ist (da arbeiten Menschen), ist es doch eine hohe Hürde für Malware, die sonst leicht ganze Mobilfunknetze lahmlegen könnte.

Ich möchte gar nicht darüber nachdenken was das bedeuten würde…
für Notrufe, Automaten, Steuerungen in Feld, Navigationssysteme, Flottensteuerung, Rettungsdienste, usw …

Tja Mecki der App Store hat das aber auch nicht verhindert. Der hat nur Sicherheit vorgespiegelt. Und was im Artikel von MTN nicht erwähnt wird: Apple hat sich am Ende offensichtlich dagegen entschieden seine Kunden zu informieren sondern das schön unter den Teppich gekehrt.

Wo genau ist jetzt bitte der angebliche Sicherheitsvorteil von Apples App Store Monopol? Eben das ist Epics Argumentation.

Wie denn auch, wenn man Xcode unter macOS am Store vorbei installieren kann? Du willst hier, dass der iOS Store ein Problem lösen soll, dass durch mangelnden macOS Store Zwang für Xcode überhaupt erst entstanden ist. Mit anderen Worten, du willst Symptome bekämpfen, übersiehst aber, das man hätte die Ursache bekämpfen können und es dann die Symptome gar nicht gegen hätte. Das der Store Probleme löst, die durch mangelnde Store Zwang entstehen hat doch nie jemand behauptet und ist auch höchst unlogisch. Wenn überhaupt dann hat jeder immer schon das Gegenteil behauptet: Mangelnder Store Zwang führt zu Problemen, die dann niemand lösen kann und hier hast du ein überdeutliches und einfaches Beispiel, welches genau diese Aussage belegt und trotzdem scheinst du es nicht zu verstehen.

Und wie hätte der iOS Store bitte XcodeGhost erkennen sollen, bevor der Schadcode bekannt war? Weißt du überhaupt was XcodeGhost macht? Es macht gar nichts. Es fragt ein paar harmlose Daten zu Identifizierung des Gerätes/Nutzers ab, die die meisten Apps da draußen auch abfragen (und die auch jede App in iOS abfragen darf) und verbindet sich dann per HTTP zu einen Control Server, sendet diese Daten verschlüsselt und wartet auf weitere Anweisungen. Also woran hätte der Store bei der Prüfung eine Malware erkennen sollen? Daran, dass eine App eine HTTP Verbindung aufmacht, also das, was 99 von 100 normalen Apps auch tun?

Genau deswegen ist es Unfug zu sagen "Ist doch egal, wenn der App Store Zwang fällt; dann muss das System eben den Wegfall dieser Sicherheitsebene kompensieren". Genau hier sieht man, dass es nicht möglich ist, weil das System kann nie legitime von bösartigen HTTP Verbindungen unterscheiden. Der App Store Review wird nie alles finden, aber er kann vieles finden und erhöht die Sicherheit des Systems nachweislich (das hat sogar Epic genauso vor Gericht eingeräumt) und wen der weg fällt kann man den nicht kompensieren, dann wird das System zwangsweise weniger sicher, weil Angreifer immer eine Weg finden werden dann Apps irgendwie auf das System zu schleusen oder dumme Nutzer dazu zu bringen, diese auch noch selber zu installieren (Phishing SMS, Webseiten die iOS Dialoge nachbauen, usw.)

Das man das nicht verhindern, dass sieht man doch daran, dass Android das auch nicht verhindern kann. Da kannst du noch so viele Warnhinweise anzeigen, Mio von Nutzern installieren sich jedes Jahr Malware auf ihre Geräte und der einzige Schutz den iOS dagegen bietet, den Android nicht bieten kann, ist der, dass es einfach unmöglich ist das direkt zut un, daher sieht die Verteilung am Ende so aus

Also dein unbedingter Wille Apple immer reinzuwaschen ist echt beeindruckend. Apple hat mit dem Appstore massig Malware verbreitet. Der App Store war daher unsicher. Apple hat seine Kunden nicht darüber informiert. Apple ist daher nicht zu trauen.

Wie die Malware entstanden ist ist eine ganz andere Baustelle. Aber auch da muss man sich fragen wieso Apple es schafft seine Entwicklerumgebung so schlecht zur Verfügung zu stellen dass die Entwickler auf dubiose Quellen ausweichen.

Und dein Vorschlag stattdessen macOS sogar für Entwickler zuzunageln - ernsthaft jetzt?

Wie gesagt, ein Problem das es nie gegeben hätte, wenn es für Xcode eine App Store zwang gegeben hätte, also ist das kein Beispiel dafür, dass Apples System nicht funktioniert, sondern ein Beispiel dafür, wie gefährlich es ist, wenn so ein System Lücken hat, da man dann über diese Lücken das System unterwandern kann (was nebenbei für jedes System mit Lücken gilt und man es daher Apple nicht anlasten kann). Und den App Store Zwang unter iOS aufzuheben heißt in das System ein Kilometer großes Loch zu sprengen.

Lächerliche Ausreden.

Nö, Ursache Wirkung. Darf man nicht verwechseln.

Und die Ursache dafür dass Apple die Malware nicht rechtzeitig entdeckt und dann seine Kunden nicht darüber informiert hat wäre?

Wie soll das gehen? Erkläre. Die Ursache ist das Verwenden einer manipulierten Xcode-Version.

Na das Informieren der Kunden wäre ganz einfach per E-Mail gegangen. Da hat die verwendete Xcode-Version nichts mit zu tun.

Und ob Apple die Malware im Review Prozess hätte erkennen können weiss ich nicht. Jedenfalls hat auch da die verwendete Xcode-Version nichts mit zu tun. Es ist ja nicht so dass man mit der Originalversion von Xcode keine Malware programmieren kann.

Womit Malware erzeugt wurde ist für die Bewertung von Apples Reaktion darauf ziemlich irrelevant. Ihr kloppt auf einen Strohmann ein.