Dienstag, 10. Dezember 2024

Glückspiel- und Porno-Apps missbrauchen Apple Enterprise Zertifikat

Apple iPhone und MacBook|Facebook

Google und Facebook sind erst Ende Januar dieses Jahres mit dem Missbrauch des Apple Enterprise Zertifikates in die Schlagzeilen geraten. Nun ist bekannt geworden, dass die Zertifikate von weiteren Entwicklern, darunter 12 Glücksspiel- und 12 Pornografie-Apps, missbraucht werden.

Es gibt keinen Hinweis darauf, dass die betreffenden Apps Nutzerdaten sammeln, wie dies bei Facebook der Fall war. Jedoch verstoßen sie eindeutig gegen die Regeln des Apple Enterprise Programms.

Das Apple Enterprise Programm

Das Apple Enterprise Programm erlaubt es Unternehmen, mit dem Apple Enterprise Zertifikat ausgestattete Apps außerhalb des Apple App Stores auf iPhones zu installieren. Dies ist jedoch eigentlich nur für Firmen gedacht, die intern an ihre Mitarbeiter Apps verteilen möchten, ohne dafür erst über den App Store gehen zu müssen.

So lassen sich zum Beispiel Testversionen auf den Geräten von Mitarbeitern installieren. Das wird dann zum Problem, wenn das Zertifikat zweckentfremdet wird und beispielsweise dafür genutzt wird, Nutzer auszuspionieren oder Apps zu installieren, deren Verteilung über den App Store verboten wäre.

Apple Enterprise Zertifikate einfach zu erhalten

Wie TechCrunch [Seite auf Englisch] ausführt, sei es für Unternehmen relativ leicht, ein Apple Enterprise Zertifikat zu erhalten. Hierfür müssen Entwickler lediglich ein Online-Formular ausfüllen und hierhin bestätigen, dass sie eine interne Unternehmens-App entwickeln möchten.

Neben der weiteren Angabe von einfach zu erhaltenen Daten, wie der D-U-N-S-Nummer, ist eine Entrichtung von 299 US-Dollar an Apple nötig, um die Zertifikate zu bekommen. Diese werden nach Expertenmeinung jedoch auch auf dem Schwarzmarkt vertrieben.

Was ist die D-U-N-S Nummer?

D-U-N-S steht für Data Universal Numbering System. Es handelt sich hierbei um eine 9-stellige Nummer. Sie kann von Unternehmen, öffentlichen Einrichtungen und Selbstständigen beantragt werden. Herausgegeben wird sie von Dun & Bradstreet, einem Unternehmen, das Wirtschaftsinformationen im Business-to-Business-Bereich bereitstellt.

Mit der D-U-N-S Nummer, die 1962 eingeführt wurde und inzwischen als internationaler Standard gilt, sind die Unternehmen mit Informationen, wie Anzahl der Mitarbeiter und Umsatz, in einer Datenbank gespeichert. Andere Unternehmen können mittels der Nummer auf diese Informationen zurückgreifen.

TechCrunch kritisiert, dass es Entwicklern zu leicht gemacht werde, an das Apple Enterprise Zertifikat zu gelangen. So können man einfach eine Unternehmensadresse im Internet suchen und die zugehörige D-U-N-S Nummer mit einem Tool herausfinden, das von Apple angeboten wird. Die Anzahl der Apps, die die Zertifikate missbrauchen, deute darauf hin, dass Apple das Enterprise Zertifikat dringend überarbeiten müsse.

So konnten die Techniker tausende Webseiten finden, die solche Apps anbieten und 24 von ihnen downloaden. Dabei handelte es sich um 12 Pornografie Apps und um 12 Glücksspiel Apps. Diese Apps bieten entweder Hardcore-Pornografie oder Echtgeld-Glückspiele an und wären im App Store verboten.

Die Apple Enterprise Zertifikate dieser Apps seien an Unternehmen ausgegeben worden, deren Name und Unternehmenszweck nur wenig über die App verrate. So sei für die Glücksspiel App mit dem Namen Poker88 beispielsweise der taiwanesische Hersteller „Sungate Technologies“ als Zertifikatsinhaber angegeben.

Apple hat sich nicht dazu geäußert, wie diese Apps in das Enterprise Programm rutschen konnten, hat gegenüber TechCrunch aber das folgende Statement abgegeben:

„Entwickler, die unsere Unternehmenszertifikate missbrauchen, verstoßen gegen die Vereinbarungen des Apple Developer Enterprise Programms. Ihre Zertifikate werden entzogen und sie werden gegebenenfalls aus dem Developer Programm ausgeschlossen. Wir prüfen fortlaufen Missbrauchsfälle und sind darauf eingestellt, sofortige Maßnahmen zu ergreifen.“

Nachdem der Missbrauch der Enterprise Zertifikate durch Google und Facebook bekannt geworden war, hatte Apple den Unternehmen ebenfalls die Zertifikate gesperrt, diese aber bereits nach kurzer Zeit zurückgegeben.

Google und Facebook wegen Tracking im Rampenlicht

Facebook

Facebook hatte das Enterprise Zertifikat für eine Marktforschungs-App missbraucht. (Bild: Pixabay)

Ende Januar war bekannt geworden, dass Facebook eine Marktforschungs-App mit einem Apple Enterprise Zertifikat verteilt hatte. Dies geschah jedoch keineswegs für Unternehmenszwecke. Die App für das iPhone wurde vielmehr bereitgestellt, um Einblick in das Nutzerverhalten zu erlangen.

Besonders brisant ist, dass Facebook seine „Research“-App auch an Jugendliche ab 13 Jahren herausgegeben haben soll. Zudem seien Nutzer verschiedener Altersgruppen für die Installation der App bezahlt worden.

Apple belegte Facebook nach Bekanntwerden des Zertifikats-Missbrauchs mit einer Sperre. Bereits nach nur einem Tag hatte Facebook jedoch das Enterprise-Zertifikat zurückerhalten. Voraussetzung war das Versprechen gewesen, derartige Apps nicht mehr zu verteilen.

Einblicke in das Nutzerverhalten hatte auch Google über Apps erhalten, mit denen die Enterprise-Zertifikate zweckentfremdet wurden. Beispielsweise war die sogenannte Screenwise Meter-App für iPhone und iPad angeboten worden. Google hatte die App nach dem Facebook-Skandal deaktiviert.

Unternehmen, deren Enterprise-Zertifikat von Apple gesperrt wurde, können nicht nur die betreffenden Apps nicht mehr nutzen. Auch alle anderen Apps, die unter dem Zertifikat laufen, werden funktionsuntüchtig.