iOS-Apps: Aufgepasst bei Beta-Tests via TestFlight – millionenschwerer Betrug aufgedeckt
Vor rund acht Jahren hatte Apple ein in Entwicklerkreisen sehr beliebtes Tool namens TestFlight vom Hersteller Burstly übernommen. Da es zuvor außerordentlich umständlich war, externe Nutzer zum Test einer iOS-App einzuladen, benötigte man Hilfsmittel, um es Entwicklern etwas angenehmer zu machen. Die Antwort war TestFlight, welches den Namen auch heutzutage noch trägt. Über einen simplen Link lassen sich bis zu 10.000 Teilnehmer rekrutieren und mit Vorab-Builds versorgen. Beispielsweise gibt es für WhatsApp ein solches
Testprogramm – wenngleich man kaum eine Chance hat, diesem beizutreten, denn es gibt weitaus mehr Testwillige als Plätze.
Es gibt nur einen Kurz-ReviewUm zu verhindert, dass Software-Anbieter TestFlight zur Distribution von Software am App Store vorbei missbrauchen, gibt es nicht nur entsprechende Richtlinien, sondern auch Reviews der jeweiligen App. Zumindest beim ersten Test-Build erfolgt zusätzlich zum automatisierten Malware-Scan auch eine kurze, manuelle Begutachtung. Dabei geht es allerdings nur darum, offenkundige Täuschungsabsichten zu erkennen – beispielsweise wenn die App in keinster Weise tut, was sie laut Beschreibung machen sollte.
Millionenschaden durch angebliche BetatestsWie schon 2021
bekannt wurde, gelingt es Scammern via TestFlight dennoch, Malware an viele Nutzer zu bringen. Betroffene Anwender waren der Meinung, eine offizielle Anwendung zur Verwaltung von Cryptowährungen zu verwenden (BTCBOX). Dass sie dazu TestFlight installieren mussten, kam ihnen dabei offensichtlich nicht seltsam vor – oder sie waren sogar daran interessiert, an den Tests mitzuwirken. Der Schaden soll bei rund 1,4 Millionen Dollar liegen, denn der CryptoRom-Scam diente ausschließlich dazu, an das Crypto-Vermögen der Betroffenen zu gelangen.
Am App Store vorbei – und auf gefälschten WebseitenDa es wie erwähnt keine eingehende Überprüfung via TestFlight verteilter Apps gibt, dauerte es eine ganze Weile, bis der Betrug auffiel. Zwar kommt es auch bei offiziellen Apps aus dem Store regelmäßig zu Fällen, in denen Apple nicht rechtzeitig einschreiten konnte – allerdings macht es die TestFlight-Distribution noch viel einfacher, am App Store vorbei potenziell schädliche Apps zu verbreiten. Aus diesem Grund kann man nur dazu raten, ausschließlich dann an Software-Tests via TestFlight teilzunehmen, wenn einem der Hersteller vertraut ist – und man sich auch sicher ist, dass es sich um ein offizielles Angebot handelt. Im Falle des beschriebenen Crypto-Scams setzten die Betrüger unter anderem auf vertraut aussehende Webseiten, die den Originalen nachempfunden wurden. Offensichtlich kam den Opfern also gar nicht in den Sinn, gerade gar nicht mit dem eigentlichen Hersteller in Kontakt zu stehen.