12.08.2008, 00:00 Uhr
Putzt Apple Programme vom iPhone?
Heillose Verwirrung um eine mögliche »Blacklist«, eine schwarze Liste, für iPhone-Software, die Apple ferngesteuert auf dem iPhone (und dem iPod touch) nach Gutdünken abschalten könne. Jetzt soll Steve Jobs zugegeben haben, dass Apple missliebige Programme ? einfach so ? von jedem iPhone löschen könne. Was steckt dahinter?
Bereits am 6. August veröffentlichte die Webseite iPhone Atlas einen irgendwo im iPhone-OS versteckten Link, hinter dem eine mögliche Liste »unauthorisierter Applikationen« geführt werden könnte:
https://iphone-services.apple.com/clbl/unauthorizedApps
Hinter diesem Link ist allerdings vorerst nur folgender Platzhaltertext zu lesen:
Bereits am 6. August veröffentlichte die Webseite iPhone Atlas einen irgendwo im iPhone-OS versteckten Link, hinter dem eine mögliche Liste »unauthorisierter Applikationen« geführt werden könnte:
https://iphone-services.apple.com/clbl/unauthorizedApps
Hinter diesem Link ist allerdings vorerst nur folgender Platzhaltertext zu lesen:
{
"Date Generated" = "2008-08-11 18:18:13 Etc/GMT";
"BlackListedApps" = {
"com.mal.icious" = {
"Description" = "Being really bad!";
"App Name" = "Malicious";
"Date Revoked" = "2004-02-01 08:00:00 Etc/GMT";
};
};
}
"Date Generated" = "2008-08-11 18:18:13 Etc/GMT";
"BlackListedApps" = {
"com.mal.icious" = {
"Description" = "Being really bad!";
"App Name" = "Malicious";
"Date Revoked" = "2004-02-01 08:00:00 Etc/GMT";
};
};
}
Zwei Tage später gab es vom Daring Fireball schon so etwas wie eine Entwarnung. Es wird eine »gut informierte Quelle« zitiert, nach der diese Liste nur eine »Core Location Blacklist« sei, die Programme enthalten könne, die unerlaubt, warum auch immer, den Standort des iPhone (oder des iPod touch) abzufragen versuchen. Also eine Liste gegen mögliche Schadsoftware, die etwa die GPS-Funktion gegen den Nutzer anzuwenden versucht. Das ist doch gut, oder?
Jonathan Zdziarski, der »Entdecker« dieser leeren Liste, schreibt, dass es sich zwar nur um eine leere Liste handelt und Apple darüber keineswegs Zugriff auf ein Gerät erhält. Aber durch etwas DNS-Spoofing will er es geschafft haben, eine entsprechende Liste zu fälschen und GPS-Programme einzutragen, die daraufhin auf seinem iPhone nicht mehr funktioniert hätten ? auch Google Maps. Apple habe also die Möglichkeit, Programmfunktionen »abzuschalten«. Gelöscht wurden sie nicht. Apple könne das aber auch dazu nutzen, Entwickler unter Druck zu setzen oder bestimmte Entwicklungen zu verhindern.
Und heute nun meldete das Wallstreet Journal, Apple-Chef Jobs habe bestätigt, dass die Firma durchaus die Möglichkeit habe, Software, die über den iTunes App-store installiert wurde, wieder vom iPhone zu löschen:
Zitat: »Mr. Jobs confirmed such a capability (the removal of the undesirable software from the devices) exists, but argued that Apple needs it in case it inadvertently allows a malicious program -- one that stole users' personal data, for example -- to be distributed to iPhones through the App Store. "Hopefully we never have to pull that lever, but we would be irresponsible not to have a lever like that to pull," he says.«
Fassen wir also zusammen: Apple scheint tatsächlich in der Lage, Software-Funktionen auf verkauften Geräten ein- und auszuschalten, Steve Jobs behauptet, dass man Programme sogar vom iPhone und vom iPod touch löschen könne, wenn man wolle; Pardon: wenn man dazu gezwungen wäre.
Das ist gruselig und die Geschichte wird uns noch einige Zeit beschäftigen. Nicht zuletzt könnte gerade diese vorgebliche Sicherheitsfunktion sich als eine der grösstmöglichen Sicherheitslücken erweisen.
Zwar ist es nicht grade blöd, wenn Schadsoftware schnellstens erkannt und entfernt werden kann. Das darf aber unter keinen Umständen heimlich und ohne gleichzeitige Benachrichtigung des iPhone-Besitzers erfolgen. Gern auch mit einer »Geld-zurück«-Garantie - immerhin wurde das gekillte Programm ja zuvor von Apple für den App-store freigegeben.
Möglicherweise verhält es sich mit diesen »Möglichkeiten« ähnlich wie mit der kürzlich im fscklog erwähnten Funktion des BlackBerry OS, das eine »Certificate Revocation List« vom Blackberry-Betreiber RIM abfragt, die das Ausführen von Programmen mit entzogener Zertifikation verhindert.
Nur sollte Apple nicht vergessen, stets schnellstens die Gründe dafür zu veröffentlichen, warum ein Programm gekillt werden musste. Noch hat die Firma einen Ruf zu ruinieren. Wir bleiben am Ball. (ph/macup)