Skip to content

Die Gefahr des Sideloadings: Betrüger nutzen TestFlight zur Verbreitung von schadhaften Apps

Immer wieder argumentiert Apple vor allem mit der Sicherheit und dem Datenschutz seiner Nutzer wenn es um das Thema der Öffnung des AppStore und das mögliche Sideloading von Apps geht. Ein Beispiel für diese Auswirkungen liefert nun ausgerechnet ein offizielles Apple-Tool, welches von Betrügern für das Sideloading von schadhaften Apps genutzt wird. Die Rede ist dabei von Apples TestFlight-Plattform, die von Entwicklern genutzt werden kann, um bis zu 10.000 Nutzern Vorabzugriff auf Betaversionen ihrer Apps zu gewähren. Wie das Sicherheitsunternehmen Sophos (via ArsTechnica) vermeldet, hat eine organisierte Bande unter dem Namen "CryptoRom" per TestFlight Fake-Apps in Umlauf gebracht, die aus dem Bereich Kryprowährungen stammen.

War es früher lediglich möglich, Nutzer zu TestFlight per E-Mail einzuladen, können Entwickler inzwischen auch einen öffentlichen Link generieren, über den am Betaprogramm der App teilgenommen werden kann. Die dabei verteilten Apps durchlaufen nicht Apples Reviewprozess für den AppStore, weswegen Apple auch keine Ahnung davon hat, welche Apps mit welchen Funktionen per TestFlight verteilt werden. Der Sophos Malware-Analyst Jagadeesh Chandraiah erklärt dazu:

"Some of the victims who contacted us reported that they had been instructed to install what appeared to be BTCBOX, an app for a Japanese cryptocurrency exchange. We also found fake sites that posed as the cryptocurrency mining firm BitFury peddling fake apps through TestFlight. We continue to look for other CryptoRom apps using the same approach."

Während Apple wohl an seinem TestFlight-Tool keine größeren Änderungen vornehmen wird, weist man darauf hin, dass man niemals Apps aus unbekannten Quellen oder über unbekannte TestFlight-Links installieren soll. Zudem existiert eine Webseite mit Hinweisen, wie man betrügerischen Apps aus dem Wege gehen kann.

Neben den TestFlight-Apps versuchen die Betrüger die Nutzer auch zur Verwendung sogenannter Web-Apps zu bewegen, die sich wie eine App auf dem Homescreen des iPhone ablegen und beinahe auch so nutzen lassen, um den AppStore Reviewprozess zu umgehen. Hier gelten natürlich dieselben Vorsichtsmaßnahmen. Beide Beispiele zeigen jedoch eindrucksvoll, wie sinnvoll Apples AppStore-Konzept ist und wie gefährlich das Sideloading von Apps, wie es beispielsweise bei Android problemlos möglich ist, sein kann.

Betatests via TestFlight nun auch für Mac-Apps möglich

iOS-Entwickler und ihre Betatester kennen Apples TestFlight-Plattform bereits seit Jahren. Hierüber haben die Entwickler die Möglichkeit, auf einfache Art und Weise Vorabversionen ihrer Apps einem bestimmten Nutzerkreis zum Testen zur Verfügung zu stellen, ehe diese final in den AppStore kommen. In der vergangenen Nacht nun hat Apple die Entwickler informiert, dass TestFlight nun, wie auf der WWDC angekündigt, auch für Mac-Apps zur Verfügung steht. Bereits seit August stand die Funktion selbst als Betaversion zur Verfügung, nun ist sie also endgültig in den Produktivbetrieb übergegangen.

Am Betatest einer Mac-App können bis zu 10.000 extere Tester teilnehmen, die entweder per E-Mail eingeladen werden oder sich über einen öffentlich zugänglichen Link für den Betatest anmelden können. Um anschließend Zugriff auf die Betaversionen von Apps zu erhalten, benötigen die Tester die TestFlight-App aus dem Mac AppStore.

 

Apple veröffentlicht erste Beta von TestFlight für den Mac

Auf der WWDC Anfang Juni hatte Apple angekündigt, dass es künftig auch eine Version seiner Test-Plattform TestFlight für den Mac geben wird. Seit der vergangenen Nacht steht die erste Beta-Version von TestFlight für den Mac nun für registrierte Entwickler zum Download zur Verfügung. Für den Moment lassen sich damit allerdings ausschließlich eigene Apps und  die von anderen Entwicklern unter der fünften Beta von macOS Monterey testen. Das Vorgehen ist dabei dasselbe wie auch bei der schon länger erhältlichen TestFlight-Version für iOS. Die App stellt also einen einfachen Weg zur Verfügung, Apps vor ihrer Veröffentlichung im Mac AppStore von einer gewissen Menge an ausgewählten Nutzern testen zu lassen.

Apple soll angeblich TestFlight-Plattform auf den Mac ausweiten

Kommende Woche steigt nun also das letzte Apple-Event des Jahres. Und während aller Wahrscheinlichkeit nach die ersten Macs auf Basis von Apple Silicon im Mittelpunkt der Veranstaltung stehen werden, soll Apple gerüchtehalber auch noch eine willkommene Neuerung für macOS-Entwickler in der Schublade haben. Wie die Kollegen von The Verifier berichten, soll es sich dabei um eine Ausweitung der von iOS bekannten TestFlight-Plattform für den Mac handeln. Mit TestFlight haben Entwickler die Möglichkeit, Vorabversionen ihrer Apps verschiedenen Personen vor der eigentlichen Veröffentlichung zur Verfügung zu stellen und somit einen weitreichenden Betatest durchzuführen. Derzeit steht diese Plattform allerdings nur für iOS-, watchOS- und tvOS-Apps zur Verfügung. Dies könnte sich ab der kommenden Woche ändern.

Ursprünglich, so die Kollegen, hatte Apple geplant, TestFlight für den Mac bereits auf der WWDC vorzustellen, was allerdings bekanntermaßen nicht geschehen ist. Nun soll die Einführung also auf dem Mac-Event in der kommenden Woche nachgeholt werden. Ein Hinweis hieruaf könnte auch die iOS TestFlight-App gegeben haben, als Apple sie im August mit einem neuen Icon versah, welches den Designrichtlinien für macOS Big Sur entspricht.

Apple gestattet Teilnahme an App-Betatests über öffentlich teilbare Links

Apple hat die Möglichkeit für Betatests von Apps für Entwickler abermals deutlich vereinfacht. So haben diese nun die Möglichkeit, einen öffentlichen Link für die Teilnahme an einem Betatest für ihre Apps zu erstellen und zu verteilen. Interessierte Nutzer können dann einfach auf diesen Link klicken und sich die Betaversion der App auf ihr Gerät laden. Einzige Voraussetzung hierfür ist die Installation der kostenlosen TestFlight-App. Angekündigt hatte Apple die neue Funktion bereits auf der WWDC im Juni, erst jetzt wurde sie aber freigegeben.

Bei der Erstellung der Links können die Entwickler zudem angeben, wie viele Nutzer sie zu dem Test zulassen wollen. Als Maximum hat Apple hier eine Zahl von 10.000 Testern vorgegeben. Auch an den Datenschutz hat Apple natürlich gedacht und fügt die teilnehmenden Betatester als anonyme Nutzer in iTunes Connect hinzu, sodass die Entwickler keinen Zugriff auf persönliche Daten der Teilnehmer erhalten. Möchten die Tester diese Informationen jedoch preisgeben, steht ihnen dies natürlich frei.

Neu für Entwickler: "TestFlight Public Link" vereinfacht Betatests von Apps

Im Jahr 2014 hat Apple die Plattform TestFlight übernommen und damit seinen Entwicklern eine einfache Möglichkeit zur Verfügung gestellt, Betatests für unveröffentlichte Apps durchzuführen. Bislang war es hierfür nötig, die E-Mail Adressen der Tester einzuholen und diese manuell zu dem Test einzuladen. Wie Apple nun im Rahmen der WWDC bekanntgegeben hat, wird es an diesem Prozess künftig willkommene Veränderungen vornehmen. Ein neues Feature namens "TestFlight Public Link" bietet nun die Möglichkeit, eine eindeutige URL zu erzeugen, die dann den Testern mitgeteilt wird und über die diese die Beta-Version der App herunterladen können. Der Link wird schnell und einfach über das neue AppStore Connect erstellt einer Gruppe von Testern, sowie einen Build der App zugewiesen. Wird ein neuer Build veröffentlicht, wird dieser automatisch mit dem Link verknüpft.

Über TestFlight Public Link können Apps von bis zu 10.000 Testern vor ihrer Veröffentlichung auf Herz und Nieren geprüft werden. Entwickler können diese Zahl aber manuell begrenzen, um ein unkontrolliertes Diffundieren des Links zu verhindern. Selbstverständlich kann der öffentlicht Link auch jederzeit wieder deaktiviert werden.

Weitere Updates: Xcode 9, Swift Playgrounds 1.6, TestFlight 2 und Safari 11

Im Sog der "großen" Updates des heutigen Abends auf iOS 11, tvOS 11 und watchOS 4 hat Apple auch einige weitere Updates veröffentlicht. Das vermutlich Wichtigste darunter ist die Aktualisierung auf Safari 11 am Mac. Apple empfiehlt das Update allen Nutzern von macOS Sierra und macOS El Capitan, da es Verbesserungen für Datenschutz, Kompatibiltät und Sicherheit enthält. Darüber hinaus verhindert Safari 11 nun von Haus aus das automatische Abspielen von Inhalten auf den meisten Webseiten und verbessert generell Leistung und Effizient. Die Aktualisierung auf Safari 11 kann ab sofort über den Update-Bereich des Mac AppStore geladen werden.

Ebenfalls für den Mac, dort aber vornehmlich für Entwickler, steht auch das erwartete Update auf Xcode 9 zum Download bereit. Diese neue Version von Apples Entwicklungsumgebung begleitete iOS 11 und macOS High Sierra auch während ihrer Betaphasen seit der WWDC. Enthalten ist neben Swift 4 natürlich auch die komplette Unterstützung für die neuen Betriebssysteme. Zudem enthält Xcode 9 diverse Verbesserungen und Erleichterungen bei der App-Entwicklung. Auch diese Aktualisierung kann aus dem Update-Bereich des Mac AppStore bzw. aus Apples Developer Center geladen werden.

Aus dem iOS AppStore lassen sich ebenfalls zwei Updates laden. Hier stehen neue Versionen von TestFlight (kostenlos im AppStore) und Swift Playgrounds (kostenlos im AppStore). TestFlight bekommt dabei sein erstes großes Update spendiert und erhält dabei auch direkt ein neues, an iOS 11 angepasstes User Interface, sowie weiteren kleinen Verbesserungen. Apples Swift-Lernapp für das iPad mit Namen Swift Playgrounds erhält in der neuen Version unter anderem neue Optionen für Augmented-Reality-Apps und Zugriff auf die iPad-Kamera. Beide Aktualisierungen können direkt aus dem Update-Bereich des iOS AppStore geladen werden.

Apple erhöht das Limit für Betatester über Testflight

Kleine, aber feine Änderung, über die sich der eine oder andere Entwickler durchaus freuen dürfte. Apple hat in der vergangenen Nacht bekanntgegeben, dass das Limit für die Anzahl der möglichen Beta-Tester von Apps über TestFlight (kostenlos im AppStore) von bislang 2.000 auf nun 10.000 hochgesetzt wird. Somit kann nun eine noch höhere Zahl von freiwilligen Testern neue Versionen von iOS-, watchOS-, tvOS-, und iMessage-Apps auf Herz und Nieren testen, ehe diese in den AppStore kommen. Der Schritt aus der vergnagenen Nacht markiert die erste Aufstockung der Maximalzahl von Beta-Testern seit 2015.