Bereits am 6. August veröffentlichte die Webseite iPhone Atlas einen irgendwo im iPhone-OS versteckten Link, hinter dem eine mögliche Liste »unauthorisierter Applikationen« geführt werden könnte:
https://iphone-services.apple.com/clbl/unauthorizedApps
Hinter diesem Link ist allerdings vorerst nur folgender Platzhaltertext zu lesen:
{
„Date Generated“ = „2008-08-11 18:18:13 Etc/GMT“;
„BlackListedApps“ = {
„com.mal.icious“ = {
„Description“ = „Being really bad!“;
„App Name“ = „Malicious“;
„Date Revoked“ = „2004-02-01 08:00:00 Etc/GMT“;
};
};
}
Zwei Tage später gab es vom Daring Fireball schon so etwas wie eine Entwarnung. Es wird eine »gut informierte Quelle« zitiert, nach der diese Liste nur eine »Core Location Blacklist« sei, die Programme enthalten könne, die unerlaubt, warum auch immer, den Standort des iPhone (oder des iPod touch) abzufragen versuchen. Also eine Liste gegen mögliche Schadsoftware, die etwa die GPS-Funktion gegen den Nutzer anzuwenden versucht. Das ist doch gut, oder?
Jonathan Zdziarski, der »Entdecker« dieser leeren Liste, schreibt, dass es sich zwar nur um eine leere Liste handelt und Apple darüber keineswegs Zugriff auf ein Gerät erhält. Aber durch etwas DNS-Spoofing will er es geschafft haben, eine entsprechende Liste zu fälschen und GPS-Programme einzutragen, die daraufhin auf seinem iPhone nicht mehr funktioniert hätten – auch Google Maps. Apple habe also die Möglichkeit, Programmfunktionen »abzuschalten«. Gelöscht wurden sie nicht. Apple könne das aber auch dazu nutzen, Entwickler unter Druck zu setzen oder bestimmte Entwicklungen zu verhindern.
Und heute nun meldete das Wallstreet Journal, Apple-Chef Jobs habe bestätigt, dass die Firma durchaus die Möglichkeit habe, Software, die über den iTunes App-store installiert wurde, wieder vom iPhone zu löschen:
Zitat: »Mr. Jobs confirmed such a capability (the removal of the undesirable software from the devices) exists, but argued that Apple needs it in case it inadvertently allows a malicious program — one that stole users‘ personal data, for example — to be distributed to iPhones through the App Store. „Hopefully we never have to pull that lever, but we would be irresponsible not to have a lever like that to pull,“ he says.«
Fassen wir also zusammen: Apple scheint tatsächlich in der Lage, Software-Funktionen auf verkauften Geräten ein- und auszuschalten, Steve Jobs behauptet, dass man Programme sogar vom iPhone und vom iPod touch löschen könne, wenn man wolle; Pardon: wenn man dazu gezwungen wäre.
Das ist gruselig und die Geschichte wird uns noch einige Zeit beschäftigen. Nicht zuletzt könnte gerade diese vorgebliche Sicherheitsfunktion sich als eine der größtmöglichen Sicherheitslücken erweisen.
Zwar ist es nicht grade blöd, wenn Schadsoftware schnellstens erkannt und entfernt werden kann. Das darf aber unter keinen Umständen heimlich und ohne gleichzeitige Benachrichtigung des iPhone-Besitzers erfolgen. Gern auch mit einer »Geld-zurück«-Garantie – immerhin wurde das gekillte Programm ja zuvor von Apple für den App-store freigegeben.
Möglicherweise verhält es sich mit diesen »Möglichkeiten« ähnlich wie mit der kürzlich im fscklog erwähnten Funktion des BlackBerry OS, das eine »Certificate Revocation List« vom Blackberry-Betreiber RIM abfragt, die das Ausführen von Programmen mit entzogener Zertifikation verhindert.
Nur sollte Apple nicht vergessen, stets schnellstens die Gründe dafür zu veröffentlichen, warum ein Programm gekillt werden musste. Noch hat die Firma einen Ruf zu ruinieren.
Wir bleiben am Ball. [b]Update[/b]: Steve Jobs am 6. März 2008 ( iPhone Event ) beim Ausblick auf die iPhone 2.0 Software, das SDK und den Vertrieb der Programm über iTunes (Aufzeichnung vom Event als Podcast ebenda); aber erst nach Schluß des offiziellen Teils im sogenannten Q&A für Journalisten:
„The developers have to register with us, and for $99 they get an electronic certificate, and that tells us who they are. If they write a malicious app, we can track them down, we can tell their parents, and we will know who they are. And we can turn off the spigot if we need to.“
Wenn man muß, ist gut, daß man kann, oder?