iOS 14: Apple steigert App-Integrität

Mit einer neuen API sollen Entwickler prüfen können, ob wirklich ihr eigener Code auf Serverdienste zugreift.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 20 Beiträge

iOS 14 – hier die neue Siri.

(Bild: Apple)

Von
  • Ben Schwan

Apple hat eine neue Sicherheitsfunktion in iOS 14 integriert, die verhindern soll, dass böse Apps auf Serverdienste von Entwicklern zugreifen können. Die frische API nennt sich App Attest und soll für Entwickler die "betrügerische Verwendung Ihrer Dienste" verhindern. Dazu werden verschiedene kryptographische Verfahren eingesetzt.

App Attest ist Teil von Apples sogenanntem DeviceCheck-Framework, das es schon seit längerem gibt und das gehackte Apps verhindern soll. Die neue API geht noch einen Schritt weiter. Sie erlaubt es, auf einem iOS- oder iPadOS-Gerät einen "speziellen kryptographischen Schlüssel" zu erzeugen, der dann zum Echtheitsausweis einer App dient. Nur Apps, die den Schlüssel vorweisen können, sollen dann Zugriff auf sensible Daten auf dem Server des App-Anbieters erhalten.

Es wird erwartet, dass App Attest weitläufig Verwendung findet. Gehackte Apps oder solche, die über Sideloading-Mechanismen auf das Gerät kommen, sollen keinen Serverzugriff mehr bekommen. Apples Angaben zufolge müssen User allerdings erst schrittweise in einem Onboarding ins Boot geholt werden.

Apple empfiehlt dies insbesondere Entwicklern mit großer Nutzerbasis. Der Apple-Server, der zur Verifizierung des Schlüssels verwendet wird, verfügt über ein Throttling und macht dicht, wenn eine App zu viele Anfragen sendet.

Wie sinnvoll die App-Attest-API tatsächlich ist, hängt davon ab, wie viele Entwickler sie verwenden; zudem ist sie bislang noch nicht unabhängig auf Lücken abgeklopft worden. Die Server-Abfrage bedingt zudem regelmäßig "Pings" übers Internet, was bei Offline-Anwendungen für Probleme sorgen könnte – allerdings machen Apps, deren App-Attest-Abfrage fehlschlägt, offenbar nicht komplett dicht, sondern verweigern nur den Server-Zugriff.

tipps+tricks zum Thema:

(bsc)