Eine der größeren Kontroversen, die in der Tech-Branche nachhallen, ist die Kontroverse um Apples und Googles faktisches Monopol auf die Verbreitung mobiler Apps in ihren jeweiligen Ökosystemen. Auslöser war im August 2020 die Entscheidung von Epic Games, die Richtlinien beider Unternehmen absichtlich zu verletzen. Sie taten dies, indem sie beschlossen, Epics eigenes In-App-Kaufsystem für ihr äußerst beliebtes Spiel Fortnite zu verwenden, was dazu führte, dass Fortnite aus beiden App-Stores verbannt wurde. Angesichts dieses weiteren Beweises für die Macht dieser Hightech-Giganten prüfen Regierungen auf der ganzen Welt nun mögliche regulatorische Lösungen für dieses Problem.
Apple und Google verweisen auf die Gefahren des „Sideloading“ und verteidigen sich mit der Begründung, ihre App-Store-Richtlinien seien notwendig, um ihre Nutzer zu schützen. Dies wirft die Frage auf, ob das stimmt. Die Antwort lautet, dass Sideloading zwar sehr riskant sein kann, aber durch den Einsatz bewährter und effektiver Cybersicherheitstechnologien sicher durchgeführt werden kann. Eine mögliche Lösung für die App-Store-Kontroverse wäre, wenn mobile Ökosysteme mehreren vertrauenswürdigen App-Stores, die diese Technologien einsetzen, erlauben würden, Apps sicher auf ihre Geräte zu verteilen.
Die potenziellen Gefahren des Sideloading
Zunächst: Was ist Sideloading? Kurz gesagt handelt es sich dabei um das Herunterladen von Apps aus einem App Store, der vom Gerätehersteller nicht bevorzugt wird. In diesem Fall wären das Apps, die weder von Apples noch von Googles App Stores vertrieben werden.
Obwohl Smartphones zu den am besten geschützten Verbrauchergeräten auf dem Markt gehören, birgt Sideloading Risiken in Bezug auf Datenschutz und Cybersicherheit. Benutzer, die gezwungen sind, Fortnite (oder andere Apps) aus fragwürdigen App-Stores mit unbekannten Sicherheitspraktiken zu sideloaden, könnten mobiler Malware ausgesetzt sein, die Ransomware, Spyware und Trojaner enthalten könnte. Solche Szenarien wollen wir natürlich vermeiden.
So sichern Sie Apps
Das Sideloading aus App-Stores von Drittanbietern, die entsprechende Cybersicherheitsmaßnahmen verwenden, kann jedoch sicher erfolgen. Tatsächlich werden diese Maßnahmen seit Jahrzehnten in verschiedenen Formen eingesetzt, wobei Variationen sowohl von Browsern als auch von der Verteilung von PC-Apps verwendet werden.
Wenn ein App-Entwickler eine App an einen App Store sendet, muss dieser zunächst mithilfe einer Kombination aus automatisierten und manuellen Verfahren die App überprüfen, um sicherzustellen, dass sie keine Malware oder bekannte Schwachstellen enthält. Nachdem die App überprüft und zur Verteilung freigegeben wurde, muss der App Store sicherstellen, dass die vertrauenswürdige Version das Gerät des Benutzers erreicht. Dies geschieht, indem die App mit einer digitalen Signatur auf Basis einer Public Key Infrastructure (PKI) signiert wird. Die Signatur enthält einen eindeutigen Fingerabdruck oder Hash der Bits der App, der mit einem privaten PKI-Schlüssel verschlüsselt ist. Die signierte App wird dann vom App Store verteilt.
Wenn ein Benutzer die App nun auf sein Telefon herunterlädt, überprüft das Telefon, ob die digitale Signatur echt ist und nicht von einem Angreifer gefälscht wurde. Nach der Überprüfung kann die App sicher installiert und zur Laufzeit kontinuierlich überprüft werden, um dauerhaften Schutz zu gewährleisten.
So weit, so gut, aber es fehlt noch ein weiteres Puzzleteil. Ein Telefon könnte mit Malware infiziert sein, die einfach jede digitale Signatur akzeptiert, auch gefälschte, die von bösartigen Apps verwendet werden. Um dies zu verhindern, ist es am besten, Hardware-Cybersicherheitsmaßnahmen zu verwenden, die in den Hauptchipsatz des Telefons integriert sind. Der Industriestandard hierfür besteht darin, zunächst einen verifizierten öffentlichen Schlüssel (das „PK“ in PKI) auf vertrauenswürdige Weise im Telefon zu installieren, was Angriffe während der Bereitstellung sehr schwierig macht. Dieser vertrauenswürdige öffentliche Schlüssel wird verwendet, um die heruntergeladene App zu verifizieren. Dieser Schutz wird durch zusätzliche Cybersicherheitsfunktionen im Chipsatz noch weiter verbessert, um Angriffe auf den App-Verifizierungsprozess sehr schwierig zu machen.
Erstellen sicherer App-Stores von Drittanbietern
Wie bereits erwähnt, wird die oben beschriebene Methode schon seit einiger Zeit bei der Verbreitung von Internet-Apps verwendet, auch von den großen App-Stores, und es handelt sich um ein bewährtes Modell. Diese Methode kann und wird auch von App-Stores von Drittanbietern wie dem von Samsung zum Verteilen von Apps auf ihre Telefone verwendet meta verified.
Apple und Google könnten ihre Plattformen einfach öffnen, damit ihre Benutzer Apps aus verifizierten App-Stores von Drittanbietern herunterladen können, die diese und andere branchenübliche Cybersicherheitsmaßnahmen einhalten. Dies würde den Benutzern nicht nur mehr Auswahl bieten, sondern auch den Benutzern und App-Entwicklern von einem verstärkten Wettbewerb zwischen den App-Stores profitieren und zu mehr Innovation führen. Zwar könnte dies einen gewissen Druck auf die Gewinnmargen von Apple und Google ausüben, aber letzten Endes würde ein solcher Ansatz der gesamten Branche zugutekommen und möglicherweise weitere Regulierungen verhindern.
