Zertifikat-Lücke auch bei AppleWie sich Porno-Apps aufs iPhone schmuggeln
Pornographie und Glücksspiel sind im App-Store nicht zugelassen. Ein Programm von Apple bietet zwielichtigen Unternehmen über Firmenzertifikate dennoch die Möglichkeit ihre Anwendungen aufs iPhone zu bringen - weil der Techriese nicht entschlossen dagegen vorgeht.
Apple hat jüngst Facebook und Google medienwirksam dafür abgestraft, dass sie über einen Umweg Apps auf iPhones von Verbrauchern brachten. Doch die Methode wird laut einem Medienbericht auch in großem Stil von Porno- und Glücksspiel-Apps genutzt. Dubiose Anbieter nutzten dabei Firmen-Zertifikate, um ihre Anwendungen an Apple vorbeizuschleusen, schreibt das Technologie-Blog "TechCrunch".
Der Konzern betonte in einer Reaktion bei "TechCrunch", das sei grundsätzlich ein Verstoß, der geahndet werde. Allerdings wirft der Bericht die Frage auf, inwieweit Apple die Einhaltung dieser Regeln überhaupt kontrollieren kann.
Die Firmen-Zertifikate für Apps sollen es Unternehmen erlauben, Anwendungen für ihre Mitarbeiter direkt auf das iPhone und iPad zu laden, ohne über den App Store von Apple zu gehen. Das können zum Beispiel neue Versionen einer App sein, die noch in der Entwicklung sind.
Ein Zertifikat für 299 Dollar
Schuld sind die laschen Anforderungen für das Unternehmerprogramm. "Sie dürfen Ihre Anwendungen für den internen Gebrauch jedoch nicht für Ihre Kunden verwenden oder anderweitig zur Verfügung stellen", heißt es in den Richtlinien. Apple setzt die Vorgaben aber nicht angemessen durch. Um im Unternehmerprogramm aufgenommen zu werden, müssen Firmen lediglich 299 US-Dollar zahlen und ein Onlineformular ausfüllen. Wenige Wochen später prüft Apple per Anruf die Echtheit der Angaben. Mit wenigen Lügen am Telefon sowie einigen googlebaren öffentlichen Informationen können zweifelhafte Entwickler so für ein Apple Firmen-Zertifikat erhalten.
So gelingt es Unternehmen Apps für iPhone-Nutzer zugänglich zu machen, die durch Apple-Richtlinien normalerweise als verboten gelten. Die Unternehmenszertifikate für zwielichtige Apps aus dem Bereich Erotik und Glücksspiel wurden selten unter einem Firmennamen registriert, der auf ihren wahren Zweck hinweisen könnte. "Lucky8" für Glücksspiele zählt da schon zu den auffälligen Varianten.
"Es ist ein Katz-und-Maus-Spiel"
Nachdem bekanntgeworden war, dass Facebook und auch Google auf diesem Wege Marktforschungs-Apps, die das Online-Verhalten erfassten, auf iPhones gewöhnlicher Nutzer gebracht hatten, löschte Apple deren Firmen-Zertifikate. Damit konnten Mitarbeiter der beiden Internet-Konzerne rund einen Tag lang keine internen Apps auf ihren Apple-Geräten nutzen oder testen - bis Apple neue Zertifikate ausstellte.
Dass "TechCrunch" nun einen regen Missbrauch der Firmen-Zertifikate feststellte, stellt das harte Vorgehen von Apple nun in ein neues Licht. Die Anbieter dubioser Apps setzten dabei systematisch Zertifikate anderer Unternehmen ein. "Es ist ein Katz-und-Maus-Spiel", sagte der IT-Sicherheitsexperte Will Strafach dem Technologieblog. Zugleich lege das aber auch nahe, dass Apple zumindest einen Teil eines solchen Missbrauchs dadurch mit schärferen Kontrollen der Verbindung von Apps und Zertifikaten verhindern könnte.