Apple pakt update-achterdeurtjes in App Store aan

Door: Raymon Mens - 1 reactie

Apple’s strenge controleproces bij het indienen van app-updates kan vervelend zijn. Hoewel de meeste apps tegenwoorden snel gecheckt worden, gebruiken ontwikkelaars ook een aantal alternatieve methoden om hun apps op de achtergrond real-time te updaten.

Een van die manieren is Rollout. Deze dienst maakt het mogelijk om direct specifieke codeblokken in apps te overschrijven. Apple treedt nu op tegen deze praktijk, die ook wel “hot code push” wordt genoemd.

Man-in-the-middle-aanvallen

Ontwikkelaars die dergelijke techniek gebruiken, zijn de afgelopen dagen door Apple benaderd. De iPhone-maker informeert ontwikkelaars dat het achteraf vervangen van specifieke codeblokken niet in overeenstemming is met de App Store-richtlijnen. Volgens Apple vergroot dit het risico op een zogenaamde man-in-the-middle-aanval. Apps die deze methode gebruiken, moeten deze verwijderen.

Schermafbeelding 2017-03-09 om 12.45.34
Rollout werkt met een eigen SDK die codeblokken real-time kan vervangen.

Discussies over dit onderwerp zijn controversieel, maar de bezwaren van Apple zijn begrijpelijk. Diensten als Rollout roepen telkens wanneer een app opgestart wordt een speciaal component aan dat van een server opdracht krijgt om bepaalde codeblokken in apps te overschrijven. Kwaadwillenden zouden door zich voor te doen als Rollout-server malware in apps kunnen injecteren.

Bezwaar

In een reactie zegt Rollout dat zijn diensten veilig zijn en dat man in the middle-aanvallen nooit mogelijk zijn geweest. Daarnaast claimt de dienst zich volledig aan Apple’s richtlijnen te houden, er wordt alleen JavaScriptCore gebruikt en het is toegestaan om in apps javascript van het internet te laden.

Apple beroept zich op sectie 2.5.2 van de App Store-richtlijnen, waarin staat dat het niet toegestaan is code die geen onderdeel van de app is te downloaden, installeren of uit te voeren. Het lijkt erop dat Apple het risico niet wil nemen, dat één dienst veilig is wil niet zeggen dat alle diensten die soortgelijke functionaliteit bieden veilig zijn.

Reacties

1 reactie
  • Profielfoto
    flierefluiter

    Lijkt me een goed verhaal van Apple.