Russische Banken umgehen App Store Review-Prozess

[Jan Gruber]

Jan Gruber
In einer jüngsten Entwicklung haben einige russische Banken fragwürdige Methoden angewandt, um ihre Apps trotz der aktuellen politischen Spannungen und Sanktionen zurück in den Apple App Store zu schleusen. Diese Vorfälle offenbaren eine mögliche Anfälligkeit des App Stores für Umgehungsversuche und stellen Apples Fähigkeit, seine Richtlinien durchzusetzen, auf die Probe.

Trojanisches Pferd im App Store​

Die russischen Banken haben sich als trojanisches Pferd getarnt, um die App Store Review-Prozesse zu umgehen. So wurde beispielsweise die Banking-App „Sber“ ursprünglich als eine harmlose Kreditvergabe-App präsentiert, die nach erfolgreichem Review und einem späteren Update ihren wahren Charakter als vollwertige Banking-App offenbarte. Diese Taktik nutzt eine IP-basierte Ansicht, bei der die App je nach Standort des Nutzers unterschiedliche Funktionen zeigt.

Kreative Umgehungstaktiken​

Die Entwickler setzten auf eine standortabhängige Konfigurationsdatei von einem Server eines Drittanbieters, um die unterschiedlichen Versionen der App zu steuern. Die Größe und Funktionalität der App wurden mit jeder neuen Version schrittweise erweitert, beginnend mit einer simplen „Bibliothek“-App in Version 1, über eine „Buchhaltungs-App“ in Version 2, bis hin zur eigentlichen Banking-App in Version 3.

Nachdem die Taktik der russischen Banken aufgedeckt wurde, hat Apple schnell reagiert und die betreffende App aus dem Store entfernt. Dieser Vorfall wirft jedoch Fragen auf, wie solche Umgehungsversuche künftig verhindert werden können und inwiefern der Review-Prozess des App Stores verbessert werden muss, um ähnliche Vorfälle zu vermeiden.

Herausforderungen für den App Store​

Diese Ereignisse unterstreichen die anhaltenden Herausforderungen, mit denen Apple im Hinblick auf die Einhaltung von Sanktionen und die Sicherheit des App Stores konfrontiert ist. Während die Mehrheit der Entwickler die Richtlinien des App Stores respektiert, zeigen diese Vorfälle, dass es stets Akteure geben wird, die nach Schlupflöchern suchen, um diese Vorgaben zu umgehen.

Via X (vormals Twitter)

Den Artikel im Magazin lesen.

 

[saw]

Apple hat auch eine app durchgelassen und monatelang im Store gelassen, mit der jeder illegal Filme schauen konnte.

Der Appstore ist weit entfernt davon, was Apple behauptet.

 

[MichaNbg]

Also dieser unfassbare Fokus auf Sicherheit der Apps und der Kunden bei der AppStore Prüfung. Wahnsinn.

 

[angerhome]

Danke EU, das konnte nur passieren, weil es in Zukunft AppStores von Dritten geben wird.

 

[Hammett]

Danke EU, das konnte nur passieren, weil es in Zukunft AppStores von Dritten geben wird.

Ja genau die EU ist Schuld wenn die Russen was basteln.

 

[saw]

Ja genau die EU ist Schuld wenn die Russen was basteln.

Ich werfe mal leise "Ironie" in den Raum.

Danke EU, das konnte nur passieren, weil es in Zukunft AppStores von Dritten geben wird.

Also werden demnächst sicherheitsbewusste Apple Nutzer,
alle Kontakte blockieren, die Drittanbieter Stores nutzen.
Machen die sicher bei Android Nutzern ja schon immer.
Zumindest würde ich es erwachten, bei den Bedenken, die manche haben, wenn andere die Drittanbieter Stores nutzen wollten.

 

[angerhome]

@saw , seit Apple mich sensibilisiert hat, kommt mein iPhone nicht mehr in einen Raum mit dem MacBook.
Ich lasse mir gerade eine Alubox fürs MacBook bauen.

Ja genau die EU ist Schuld wenn die Russen was basteln.

Lass uns mal zusammen überlegen, wie ich das gemeint habe:

Kann etwas, was in Zukunft passiert, Einfluss auf die Vergangenheit nehmen (Erfindung der Zeitmaschine mal außen vor)?

 

[Hammett]

Lass uns mal zusammen überlegen, wie ich das gemeint habe:

Kann etwas, was in Zukunft passiert, Einfluss auf die Vergangenheit nehmen (Erfindung der Zeitmaschine mal außen vor)?

Bei so viel geschwurbel mittlerweile überall kann man leider nicht immer von Ironie ausgehen

 

[angerhome]

Das verstehe ich.

 

[Thaddäus]

Ich lasse mir gerade eine Alubox fürs MacBook bauen.

Das MacBook IST eine Alubox... 🤣

 

[Salud]

Bei Android gab es vor zig Jahren, oder schon immer?, die Möglichkeit das Laden abseits des Playstores zu aktivieren oder es deaktiviert zu lassen.
Ich kenne einige Android Nutzer und keiner hatte bisher ein Problem mit irgendwas in Bezug auf die Sicherheit. Die EU macht auch vielfach Dinge damit man was getan hat. Sie macht auch gutes, keine Frage.

Auch die Nummer das Apple iMessage nicht aufmachen muss, wie viele Apple Geräte gibt es in Europa von Apple? Wie konnte Apple diese Nummer umgehen?

 

[Thaddäus]

wie viele Apple Geräte gibt es in Europa von Apple?

Massgebend ist für die EU wohl eher, wie verbreitet die Nutzung von iMessage in Europa ist. Die dürfte im Vergleich zu WhatsApp, Telegram und Co. wohl verschwindend gering sein (was ich eigentlich recht schade finde).

 

[Salud]

Massgebend ist für die EU wohl eher, wie verbreitet die Nutzung von iMessage in Europa ist. Die dürfte im Vergleich zu WhatsApp, Telegram und Co. wohl verschwindend gering sein (was ich eigentlich recht schade finde).

Jetzt ist nur die Frage aufgrund welcher Basis das entschieden wird, wurde. Bei Apple kann ich sagen, zum Beispiel, da gibt es 1 Mrd Geräte in der EU, alle können iMessage, wird geöffnet.

Woher weiß die EU denn wie viele Bürger WhatsApp und Konsorten nutzen? Und wenn die App installiert ist, welchen Traffic der einzelne User damit überhaupt erzeugt?

 

[Thaddäus]

Das wäre in der Tat interessant.

 

[Marcel Bresink]

Woher weiß die EU denn wie viele Bürger WhatsApp und Konsorten nutzen? Und wenn die App installiert ist, welchen Traffic der einzelne User damit überhaupt erzeugt?

Gemäß Kapitel II Artikel 3 Absatz 3 der EU-Verordnung (EU) 2022/1925 muss jedes Unternehmen des Digitalsektors, das als Torwächter im Sinne dieses Gesetzes eingestuft wurde, innerhalb von 2 Monaten melden, wenn es einen Plattformdienst anbietet,

• der von mehr als 45 Millionen Endnutzern und
• mehr als 10.000 gewerblichen Nutzern

innerhalb der EU verwendet wird. Kommt das Unternehmen der Auskunftspflicht nicht nach, darf die EU-Kommission die Daten schätzen. Die Situation wird außerdem mindestens alle 3 Jahre neu bewertet.

Geräte und Traffic spielen keine Rolle, nur das Anbieten und Nutzen eines Digitaldienstes.

 

[angerhome]

Das MacBook IST eine Alubox... 🤣

Aber das hat ein Loch rechts, zwei Schlitze und 5 kleine Metallstifte (Antennen vielleicht) links.
Ob die einfache Alubox ohne eine zusätzliche Abschirmung ausreicht bei einem Gerät mit einem Betriebssystem, das Installationen außerhalb des AppStores erlaubt?
Ich werde wohl mal eine Anfrage beim Apple-Support machen.
Phil Schiller hat doch klar gesagt, zwar nicht genau warum, aber dass die iPhones in großer Gefahr sind.

 

[dtp]

Wieso gibt es überhaupt noch Apps von Russischen Banken im App Store?

 

[Odin.666]

Bei Android gab es vor zig Jahren, oder schon immer?, die Möglichkeit das Laden abseits des Playstores zu aktivieren oder es deaktiviert zu lassen.
Ich kenne einige Android Nutzer und keiner hatte bisher ein Problem mit irgendwas in Bezug auf die Sicherheit. Die EU macht auch vielfach Dinge damit man was getan hat. Sie macht auch gutes, keine Frage.

Auch die Nummer das Apple iMessage nicht aufmachen muss, wie viele Apple Geräte gibt es in Europa von Apple? Wie konnte Apple diese Nummer umgehen?

Sideload aktivieren oder deaktivieren bei Android gab es zig Jahren aber vorher könnte man nur mit Root also ähnlich wie Jailbreak für Android.

 

[Frequenzfilter]

Wieso gibt es überhaupt noch Apps von Russischen Banken im App Store?

Ich verstehe das so, dass es diese eben nicht mehr geben soll. Und es wurde eine heimlich eingeschleust. Das flog auf.

 

[FuAn]

Ich verstehe das so, dass es diese eben nicht mehr geben soll. Und es wurde eine heimlich eingeschleust. Das flog auf.

Ne, die Apps soll es nicht per se nicht mehr geben sondern nur eben nicht mehr mit banking Funktionen, weil russische Banken, zumindest teilweise vom Bankensystem ausgeschlossen sein sollten. Daher haben sie Apps mit kleinem "erlaubten" Funktionsumfang, wie zb ein Kreditzins Rechner, in den App Review Prozess gegeben, um dann, nachdem die App freigegeben wurde, die Bankingfunktionen nachzuschieben.
Und das zeigt eben, dass Apples App Review Prozess, der ja die Sicherheit garantieren soll, auch angreifbar ist. Was in der aktuellen Diskussion um alternative App Stores durchaus problematisch ist.