iOS war in den 17 Jahren seines Bestehens eine weitgehend unüberwindbare Festung. Benutzer hatten nur dann Zugriff auf Apps und Funktionen, wenn Apple dies erlaubte. Doch nun musste das US-Unternehmen dem Druck des Marktes und der Regulierungsbehörden nachgeben und den Status quo ändern. Seit dem 6. März, dem Inkrafttreten des EU-Gesetzes über digitale Märkte (Digital Markets Act, DMA), ermöglicht die neue iOS-Version (17.4) nun die Installation alternativer Marketplaces und Browser von Drittanbietern auf dem iPhone – jedoch nur für EU-Benutzer. Gleichzeitig werden bestimmte bekannte Funktionen, wie beispielsweise Progressive Web Apps (PWAs), die im Browser ausgeführt und als Symbole auf dem Startbildschirm hinzugefügt werden, ausgeblendet. Welche neuen Möglichkeiten und Bedrohungen ergeben sich daraus für die Benutzer?
So installierst du einen alternativen App-Store
Um fairen Wettbewerb zu gewährleisten, haben die Aufsichtsbehörden von Apple verlangt, dass Marketplaces für die Apps von Drittanbietern auf dem iPhone zugelassen werden. Der Benutzer kann die Website eines alternativen App-Stores aufrufen, auf Installieren tippen (d. h. die … App-Store-App installieren!) und nach seiner ausdrücklichen Bestätigung die App-Store-App auf seinem Gerät installieren. Diese kann dann anstelle des Apple App Store oder parallel dazu verwendet werden.
Noch ist unklar, was diese alternativen App-Stores enthalten werden oder wer einen eröffnen möchte. Wichtig ist, dass diese Stores nicht alle Regeln von Apple einhalten müssen, sodass von ihnen erwartet wird, dass sie Dienste und Technologien anbieten, die zuvor von Apple eingeschränkt wurden – insbesondere Zahlungen außerhalb des App Stores. Epic Games, zusammen mit Spotify ein Hauptlobbyist in diesem Rechtsstreit, wird wahrscheinlich einen App-Marketplace eröffnen wollen, obwohl die neueste Folge des Tauziehens zwischen Apple und Epic Games darauf hindeutet, dass sich das Ganze noch eine Weile hinziehen wird.
Apple ist eher darauf bedacht, Anarchie zu verhindern: Um einen App-Marketplace zu registrieren, muss ein Entwickler eine Überprüfung bestehen und ein Reserveakkreditiv über 1 Million Euro vorlegen. Es ist verboten, verschiedene Versionen derselben App in den App Store und in alternative Stores hochzuladen: Wenn ein Entwickler seine App in jedem Store veröffentlichen möchte, muss sie identisch sein. Schließlich müssen alle Anwendungen die „Beglaubigung“ von Apple bestehen. Wenn sich herausstellt, dass der Prozess mit der Beglaubigung unter macOS identisch ist, wird Apple wahrscheinlich anstelle einer manuellen Überprüfung eine automatische Untersuchung auf Schadsoftware durchführen und die Einhaltung bestimmter technischer Empfehlungen überprüfen.
App-Stores von Drittanbietern kommen auf #iOS: Müssen wir uns auf neue Bedrohungen einstellen?
Tweet
Auswirkungen auf die Sicherheit: iOS wird mehr Schadsoftware ausgesetzt sein. Apple wird die Installation von Drittanbieter-Apps weiterhin teilweise regulieren: Sie können nicht wie bei Android auf eine Schaltfläche in den Einstellungen tippen und eine unbekannte App von einer zwielichtigen Website installieren. Der automatisierte Scanprozess, den die Ingenieure aus Cupertino für App-Marketplaces von Drittanbietern entwickelt haben, ist jedoch noch einfacher zu täuschen als die menschlichen Moderatoren im App-Store. Dies bedeutet, dass die Menge und Vielfalt der Schadsoftware auf iOS wahrscheinlich zunehmen wird.
Abgesehen von offensichtlicher Schadsoftware ist Apple berechtigterweise besorgt über das höhere Risiko, dass Apps mit betrügerischen Inhalten und undurchsichtigen Zahlungsmethoden darstellen. Diese Art von Problemen lässt sich nicht durch die automatische Untersuchung erkennen.
Leider tragen die neuen Regeln nicht dazu bei, Antiviren- und Sicherheitslösungen im Android-Stil auf Betriebssystemebene auf iOS zu bringen, da iOS noch immer die erforderliche Funktionalität dafür fehlt. Wir empfehlen daher, sorgfältig abzuwägen, bevor du App-Stores von Drittanbietern installierst und aus diesen herunter lädst. Es ist wahrscheinlich sicher, einen Marketplace zu installieren, der von einem großen Unternehmen erstellt wurde, um ein viel bejubeltes Spiel mit mehreren Millionen Downloads zu erhalten. Der Rat, wachsam zu bleiben, den wir zuvor Android-Benutzern gegeben haben, wird jetzt jedoch auch für europäische iOS-Benutzer relevant. Zur Erinnerung: Im vergangenen Jahr wurde mehr als 600 Millionen Mal Malware von Google Play heruntergeladen.
Auswirkungen auf den Datenschutz: Laut Apple gelten Beschränkungen für das In-App-Tracking für Apps, die aus Stores von Drittanbietern heruntergeladen werden. Die App-Datenschutzdetails, die Entwickler vor dem Hochladen ihrer Apps in den App-Store ausfüllen, können jedoch in anderen Stores weniger detailliert oder vielleicht sogar gar nicht vorhanden sein.
Auswirkungen auf die Kindersicherung. Obwohl die Beschränkung der Bildschirmzeit für Apps weiterhin funktioniert, können Beschränkungen für Käufe im Spiel oder in der Familie und Anfragen für App-Käufe, die eine Bestätigung durch die Eltern erfordern, nicht ordnungsgemäß funktionieren bzw. in Apps, die von anderen Marketplaces heruntergeladen wurden, nicht vorhanden sein.
Browser von Drittanbietern
Alternative Browser in iOS sind nichts Neues, aber vor Inkrafttreten des DMA waren sie nur eine Art Hülle, die sich um die WebKit-Engine von Apple wickelte, was die einzige Option für die Darstellung von Webinhalten auf iOS war. Apple lässt nun andere Engines zu – allerdings erst, nachdem sie ein spezielles Zertifizierungsverfahren durchlaufen haben. Um ehrlich zu sein, ist die Situation mit Browser-Engines auf anderen Plattformen nicht besser, da fast alle „alternativen“ Browser auf Chromium-Code (Blink-Engine) basieren, der von Google gepflegt wird. Mozillas Gecko, der in Firefox verwendet wird, hat einen beachtlichen Marktanteil, aber damit enden die Auswahlmöglichkeiten der Verbraucher auch schon.
Da sowohl Google als auch Mozilla den Start von Blink und Gecko auf iOS vorbereiten, ist es sehr wahrscheinlich, dass EU-Benutzer bald Firefox und Chrome als vollwertige Browser erhalten. Beim ersten Öffnen von Safari – oder einer Webseite aus einer beliebigen App – können Benutzer in der EU einen Standardbrowser auswählen.
Auswirkungen auf die Sicherheit: Hier gibt es zwei Seiten, da wir erwarten, dass die Sicherheit in einigen Bereichen verbessert und in anderen verschlechtert wird. Neben bekannten WebKit-Problemen wird es sowohl in Firefox als auch in Chrome potenzielle Fehler geben, und es bleibt abzuwarten, wie schnell diese von den jeweiligen Entwicklern behoben werden. Beide haben jedoch einen guten Ruf, wenn es um das Patchen von Schwachstellen geht. Auf der anderen Seite waren Zero-Day-Schwachstellen in Apple-Software, einschließlich WebKit, immer der Hauptvektor für Angriffe auf iPhones mit Spyware – sowohl kommerziellen wie Pegasus als auch gezielten Angriffen wie Triangulation. Heute wissen die Entwickler dieser Angriffe genau, dass die Opfer die Browser Safari/WebKit verwenden. Die Notwendigkeit, jede Browser-Option in Betracht zu ziehen, wird die Entwicklung und Durchführung solcher Angriffe in Zukunft noch schwieriger machen.
Auswirkungen auf den Datenschutz: Diese hängen davon ab, für welchen alternativen Browser du dich entscheidest. Wenn es um die Gegenstücke von Windows und macOS geht, würde ein Wechsel zu Firefox wahrscheinlich den Datenschutz verbessern oder auf Safari-Niveau belassen, während die Verwendung von Chrome zu einer Einschränkung des Datenschutzes führen kann, wie die Anti-Tracking-Tools und die Standardeinstellungen dieser Browser vermuten lassen.
Auswirkungen auf die Kindersicherung: Es ist noch unklar, wie alternative Browser Kinder vor unerwünschten Inhalten schützen können, aber es scheint, dass die Konfiguration technisch schwieriger zu konfigurieren ist. Daher haben wir Zweifel an ihrer Wirksamkeit.
Ein spürbarer Verlust
Europäische Benutzer können durch den DMA sowohl gewinnen als auch verlieren. Um die für alternative Browser erforderliche Funktionalität zu implementieren, stellt Apple die Unterstützung für progressive Web-Apps in der EU vollständig ein. Obwohl es sich bei diesen Apps im Wesentlichen um Webseiten handelt, sind sie schwer von vollwertigen Apps zu unterscheiden, da sie Inhalte auf dem Gerät speichern, Benachrichtigungen senden und sich auch in anderer Hinsicht sehr ähnlich verhalten können. Online-Shops, Zeitschriften und Restaurants wählen in der Regel PWAs für ihre Apps. All diese Mini-Apps, die so einfach zum iPhone-Startbildschirm hinzugefügt werden können, funktionieren in der EU nach dem nächsten iOS-Update nicht mehr. Nicht jedes Unternehmen, das seine Apps als PWA verpackt hat, wird genug Zeit haben, sich an die Änderung anzupassen.
Verfügbarkeit von Drittanbieter-Browsern und App-Marketplaces außerhalb der EU
Apple hat große Anstrengungen unternommen, um sicherzustellen, dass die neuen Funktionen nur in der Region verfügbar sind, in der sie gesetzlich vorgeschrieben ist – der Europäischen Union. Nur Benutzer, die in einem der 27 EU-Mitgliedstaaten registriert sind, erhalten die hier beschriebenen iOS 17.4-Updates. Bürger anderer Länder sind von den Änderungen nicht betroffen, daher reicht es nicht aus, einfach ein niederländisches VPN zu aktivieren oder in den Urlaub nach Zypern zu fahren, um die betreffenden iOS-Updates zu erhalten. Darüber hinaus haben EU-Bürger, die das Hoheitsgebiet der Union für mehr als 30 Tage verlassen, bis zu ihrer Rückkehr keinen Zugriff mehr auf App-Updates von den Marketplaces der Drittanbieter.