James Thew - Fotolia

Das Verbot von Hot Patching und seine Folgen für die Sicherheit im Unternehmen

Apple verbietet App-Entwicklern das Hot Patching, sprich eigenständige Updates nach der Sicherheitsprüfung im App-Store. Was bedeutet das für Firmen?

Dieser Artikel behandelt

Smartphones

ÄHNLICHE THEMEN

Apple hat Entwickler von mobilen Apps, die Frameworks wie Rollout.io oder JSPatch für Hot Patching nutzen, darauf hingewiesen, dass sie gegen Nutzungsbedingungen von Apple verstoßen. Konkret geht es um Code-Komponenten, die ein Update der App nach Prüfung und Veröffentlichung durch den App Store ermöglichen. Da dieses Hot Patching die Sicherheitsprüfung des Store-Betreibers umgeht, ist es möglich, nachträglich Schadcode einzuschleusen, etwa auf Nutzerdaten sowie Inhalte von iOS-Geräten zuzugreifen und diese auf einen Server hochzuladen.

In einer E-Mail von Apple an die Entwickler heißt es: „Ihre App, Erweiterung und/oder das verknüpfte Framework scheint Code zu enthalten, der explizit das Verhalten oder die Funktionalität Ihrer App ändern kann, nachdem diese die Sicherheitsprüfung und das Genehmigungsverfahren im App Store erfolgreich durchlaufen hat. Das widerspricht dem Abschnitt 3.3.2 des Apple Developer Program License Management und der App Store Review Guideline 2.5.2.“

Die Guideline 2.5.2 lautet: „Apps sollten in sich geschlossen sein und dürfen keine Daten lesen oder erzeugen, die außerhalb des dafür vorgesehenen Containerbereichs liegen. Zudem dürfen sie keinen Code herunterladen, installieren oder ausführen, der von anderen iOS-, WatchOS-, MacOS- oder tvOS-Apps stammt.“

Das Update per Hot Patching erfolgt remote aus der Ferne, ist für den Endbenutzer transparent und stellt für Entwickler und Endbenutzer in den meisten Situationen eine wichtige Option dar, beispielsweise wenn es darum geht, Schwachstellen und Sicherheitslücken in der mobilen Anwendung zu schließen. Allerdings ist Hot Patching für ein Anwendungs-Ökosystem wie den Apple App Store nicht sichtbar, da es das Verhalten oder die Funktionalität einer App ändern kann, nachdem sie die Sicherheitsprüfung des Apple Stores durchlaufen hat. Dies erlaubt es bösartigen Entwicklern oder Man-in-the-Middle-Angreifern, den Code zu infizieren oder zu ändern und damit die Kontrolle durch Apple zu umgehen.

Angesichts meines Wissens über bösartigen Code und die hohe Anzahl an Hackern und Regierungsbehörden, die die Sicherheit und die Privatsphäre der Systeme der Endnutzer korrumpieren wollen, kann ich diesen Schritt von Apple sehr gut verstehen. Da Apple die Sicherheit seines App Stores durch ständige Prüfung sicherstellt, könnten Entwickler mit Hilfe von Hot Patching alle Bemühungen untergraben, die Apple im besten Interesse seiner Nutzer unternimmt.

Als Apple diese Art von Patching erlaubte, rechnete das Unternehmen wahrscheinlich nicht damit, dass bösartige Entwickler damit Schaden anrichten wollen. Das jetzige Verbot wirkt sich zwar nur auf eine relativ kleine Anzahl von Entwicklern und Nutzern der mobilen Apps aus, es stellt aber eine strategische unternehmerische Entscheidung dar, um die allgemeinen Risiken zu minimieren.

Also, wie beeinflusst diese Änderung Ihre Unternehmensumgebung? Aus Sicht der Endnutzer sind laut Apple alle iOS-Apps mit Hot Patch sicherer, als sie vorher waren, da App-Updates nun von Apple neu beurteilt werden müssen (Bug-Updates müssen im App Store einen Review-Prozess durchlaufen, Entwickler können allerdings eine beschleunigte Prüfung für kritische Schwachstellen beantragen).

Dennoch bin ich nicht davon überzeugt, dass Apple im Zuge der Überprüfung jeden Fehler in jeder mobilen App finden wird. Ich vermute, dass das Unternehmen nach dem Verbot des Hot Patchings jetzt noch mehr Sicherheitskontrollen durchführen muss, um die Schwachstellen der mobilen Anwendungen aufzuspüren. Angesichts all der grundlegenden Schwachstellen von Computern und Informationen, denen wir aktuell gegenüberstehen, schätze ich die Zahl der Exploits, die mit Hot Patching verbunden sind, als relativ gering ein.

Für die Sicherheit im Unternehmen sind folgende Bereiche zu berücksichtigen:

  1. Die Qualität und Stufe der Sicherheit, die im Entwicklungszyklus der mobilen App integriert ist oder eingebaut sein muss. Fallen mobile Apps unter die Kontrollen des traditionellen Softwareentwicklungs-Lebenszyklus? Wer definiert die Standards und modelliert die Bedrohungen?
  2. Die Qualität der Sicherheitsprüfung von mobilen Apps, die in Ihrer Umgebung im Einsatz sind, insbesondere für die kritischen Prozesse des Kerngeschäfts. Wie stark sind sie gefährdet? Wurden sie auf Sicherheitslücken hin getestet mit Werkzeugen von Anbietern wie Checkmarx und NowSecure?
  3. Die Rechte, die Benutzern in Bezug auf Bring Your Own Device (BYOD) und die Nutzung mobiler Apps eingeräumt wurden. Wie wirkt sich diese Form von Schatten-IT auf Ihre Angriffsfläche aus oder wie erhöht sie das Geschäftsrisiko?
  4. Das Ausmaß der Überwachung von mobilen Geräten und Apps inklusive Warnmeldungen in Ihrer IT-Umgebung. Können Firmen beschädigte Apps oder bösartigen Netzwerkverkehr erkennen? Wie gehen sie vor, wenn sie einen Angriff oder eine Lücke entdecken?
  5. Die Sicherheitsarchitektur des gesamten Netzwerks, einschließlich virtueller LANs, Wireless-Services für Gäste und Cloud-Services. Wie gefährden verletzliche mobile Apps kritische Teile der Produktionsumgebung, wenn sie von Hackern als Einfallstor genutzt werden?

Ich fühle mit den Entwicklern und den Mitarbeitern von Firmen wie Rollout.io, die einfach nur die Nutzung mobiler Apps besser und sicherer gestalten wollen. Letztendlich hat Apple mit dem Verbot von Hot Patching sicherlich für Verstimmung gesorgt und das Level an Effizienz und Sicherheit bei der Entwicklung von mobilen Apps und Support-Lebenszyklen gesenkt. Rollout.io hat eine zertifikatbasierte Lösung vorgeschlagen, die jedem helfen kann, einen glücklichen Mittelweg zu finden.

Unabhängig davon, wie diese Causa endet – wenn Sie für die Sicherheit von Anwendungen und Daten verantwortlich sind, muss dieses Thema auf Ihrem Radar bleiben.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud-Dienste und Cloud-Apps sicher nutzen auf mobilen Geräten im Unternehmen

Wichtige Fragen zur Datensicherheit bei Apple iOS

Sechs Tipps zum Erkennen von mobiler Malware und unsicheren Apps

Grundlagen der App-Entwicklung für Apple iOS: iOS-Apps optimal entwickeln

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Smartphones

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close