Minecraft & Co kostenlos: Enterprise-Zertifikate ebnen den Weg für illegale App Stores
22.02.2019 16:50 Stefan

Minecraft & Co kostenlos: Enterprise-Zertifikate ebnen den Weg für illegale App Stores

Der Missbrauch von Apples Enterprise-Zertifikaten sorgte Ende Januar für großen Wirbel bei Unternehmen wie Facebook oder Google. Bei The Verge wurde jetzt ein Artikel veröffentlicht, der vor der Nutzung illegaler App Stores warnt, welche ebenfalls die Zertifikate missbrauchen.

Der alternative App Store Cydia war lange Zeit die Anlaufstelle Nummer eins für Applenutzer, die auf der Suche nach Software waren, welche im regulären App Store sonst kostenpflichtig war. Im Dezember letzten Jahres haben die Betreiber von Cydia die Plattform geschlossen. Wer Cydia auf seinem iPhone oder iPad nutzen wollte, musste dem Gerät zwangsläufig einen Jailbreak verpassen. Nach dem Entfernen der Nutzungsbeschränkungen fand man dann den Cydia-App-Store auf seinem Home Screen.

Während ein iOS-Jailbreak noch eine relativ umständliche Angelegenheit war, haben andere Anbieter solcher von Apple nicht erwünschten Download-Portalen jetzt einen neuen Weg gefunden um die Nutzungsbeschränkungen und App-Store-Richtlinien zu umgehen. Ähnlich wie es bei Google und Facebook der Fall war, nutzen Betreiber illegaler App Stores wie TweakBox, Panda Helper, AppValley oder TutuApp nun die Enterprise-Zertifikate von Apple, um den Zugang via App auf jedem iOS-Gerät zu ermöglichen.

Spotify Premium, Minecraft, Konsolen-Emulatoren & mehr kostenlos

In der Redaktion von The Verge hat sich der Autor Nick Statt die illegalen Angebote genauer angeschaut und sich den Zugang zum TutuApp-App-Store auf seinem iPhone XS eingerichtet. Von der Aufmachung her erinnert TutuApp stark an den originalen App Store: der Aufbau und die Kategorisierung ist ähnlich, es gibt das von Apple bekannte Sterne-Voting-System und sogar Bewertungen von Nutzern. Letztere bestehen aber zum großen Teil aus gefälschten Einträgen von Bots.

Das Prekäre an der Nutzung solcher App Stores ist, dass man den Betreibern solcher Angebote nach der Installation der Software quasi die Kontrolle wichtiger Funktionen seines iPhones oder iPads überträgt, da die Installation über das Enterprise-Zertifikat erfolgte. Aber es geht noch schlimmer, denn im Beispiel von TutuApp erhält nicht nur der Anbieter der Download-Plattform Zugriff auf die Daten, die auf dem Gerät gespeichert sind. Jede App die via TutuApp geladen wird, installiert ein separates Unternehmenszertifikat. "Entwickler", die bei TutuApp Minecraft, diverse Ports von Nintendo-Klassikern oder einen kostenlosen Zugang zu Spotify Premium anbieten, können dann ebenfalls alle Daten auf dem iPhone oder iPad auslesen. Was darüber hinaus an Berechtigungen freigeschaltet wird, konnte Statt nicht ermitteln.

Nachdem im Januar bekannt wurde, dass Facebook und Google die Enterprise-Zertifikate von Apple missbräuchlich eingesetzt hatten, kündigte der Konzern an, proaktiv gegen solche Angebote vorzugehen:

Entwickler, die unsere Unternehmenszertifikate missbrauchen, verstoßen gegen die Vereinbarung zum Apple Developer Enterprise-Programm. Die Zertifikate werden gekündigt. Gegebenenfalls werden sie vollständig aus unserem Entwicklerprogramm entfernt", sagte ein Unternehmenssprecher. „Wir prüfen kontinuierlich die Fälle von Missbrauch und sind bereit, sofort Maßnahmen zu ergreifen.

Um den Missbrauch der Enterprise-Zertifikate auszuschließen, plant Apple eine Zwei-Faktor-Authentifizierung für Entwickler einzuführen. So ist es für Anbieter solcher App Stores in Zukunft nahezu unmöglich, gegen das Apple Developer Enterprise-Programm zu verstoßen. Um die Enterprise-Zertifikate von Apple nutzen zu können ist es im Moment neben der Zahlung von knapp 300 US-Dollar ausreichend, wenn Entwickler ein Online-Formular ausfüllen in welchem sie bestätigen, die Zertifikate nicht missbräuchlich zu nutzen

Nick Statt hat Apple über seine Erfahrung mit TutuApp und den anderen illegalen App Stores informiert. Bis dato gab es allerdings aus Cupertino noch keine Stellungnahme. Wir empfehlen euch, Angebote wie TutuApp auf keinen Fall zu nutzen.


Kommentieren

Kommentar
Gast am 24.02.2019 19:20
Blödsinn über Cydia und Jailbreaks

Cydia ist ein alternativer Store für Programme die über den Funktionsumfang von normalen Apps hinausgehen (im grunde genommen lassen sich über die sog. „Tweaks“ alles verändern am Handy). Man kann quellen zu diesem Store hinzufügen (bei denen, wenn sie bekannt dafür sind, darauf hingewiesen wird das sie illigal ist) über die man dann an kostenpflichtige Apps illigal herankommen kann.
Der Cydia store öffnet also die Möglichkeit dazu (genauso wie ein webrowser) zu illigalen sachen, ist aber per se nicht dafür gedacht.

Die Aussage das der Cydia Store „geschlossen“ wurde bezieht sich darauf, dass über die standard-quellen die kaufen-funktion deaktiviert wurde, allerding kann man über andere (seriöse) quellen wieder an zahlungspflichtige Pakete kommen. Also nicht so wie im artikel beschrieben!


So eine Falschinformation und uninformiertheit hätt ich nicht von euch erwartet, schade.

Sonst ist generell die Piraterie über Enterprise-Zertifikate natürlich ein großes Problem und dort stimme ich euch voll zu.

Kommentieren
iOS 13 & iPadOS kommen mit 59 neuen Emojis - Apple zeigt zum Welt-Emoji-Tag eine Vorschau
Apple veröffentlicht die 4 Beta Version von iOS 13, iPadOS 13, tvOS 13 und watchOS 6 - was ist neu?
Unbedingt updaten: iMessage-Sicherheitslücke in iOS 12.2 kann iPhone, iPad & iPod touch komplett lahmlegen