Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/2/2016
Software gør det muligt at opdatere iOS-apps uden om Apples godkendelsesproces. Det medfører flere sikkerhedsrisici for brugerne.Sikkerhedsfirmaet FireEye har analyseret programmet JSPatch. Det er et system, der gør det muligt at opdatere en app via Javascript-kode. Når appen kører, undersøger den, om der er kommet opdateringer. Er det tilfældet, bliver de hentet og installeret.
Normalt skal en app godkendes af Apple, hver gang den bliver opdateret. Det kan tage flere dage. Derfor er JSPatch tillokkende for udviklere, da de hurtigt kan rette fejl i deres apps.
Men FireEye påpeger flere risici ved metoden.
Hvis udvikleren af en app ønsker at angribe sine brugere, kan vedkommende indlevere en ufarlig version af appen til App Store og få den godkendt. Derefter kan den blive opdateret med skadelige funktioner.
Selvom udvikleren ikke har ondt i sinde, kan JSPatch indebære en sikkerhedsrisiko. Hvis udvikleren ikke beskytter kommunikationen med opdateringsserveren tilstrækkeligt, kan en angriber udføre et man-in-the-middle-angreb og udskifte udviklerens opdatering med en skadelig version.
Der er ingen enkel metode til at afgøre, om apps anvender JSPatch.