Der Konzern Apple steht innerhalb der Europäischen Union gehörig unter Druck: Das Unternehmen muss nämlich iPhone Nutzern erlauben, dass sie auch Apps außerhalb vom offiziellen App Store herunterladen und installieren können. Während das natürlich mehr Freiheit verspricht, öffnet es aber gleichzeitig neue Einfallstore für Sicherheitsrisiken. Ein aktueller Fall zeigt, wie riskant es sein kann, wenn man Apps aus anderen Quellen bezieht. Besonders dann, wenn sie wie Flekst0re technische Abkürzungen nehmen, um den Schutzmechanismen von Apple umgehen zu können.
Neues Regelwerk der EU zwingt Apple zu Offenheit
Seit Anfang 2025 ist Apple dazu verpflichtet, dass in der Europäischen Union – der EU – der Zugang zu alternativen App-Marktplätzen möglich gemacht wird. Diese Maßnahme geht auf den europäischen Digital Markets Act – DMA – zurück. Dadurch soll der Wettbewerb im Technologiebereich gestärkt werden. Damit Nutzer Apps aus einem sogenannten Drittanbieter-Store installieren können, müssen sie jedoch aktuell einen mehrstufigen Prozess durchlaufen.
Der offizielle Weg umfasst sechs Sicherheits- und Authentifizierungsschritte, bevor ein alternativer Marktplatz wie der Epic Games Store auf einem iPhone oder iPad installiert werden kann. Apple prüft also noch immer jede App-Quelle, damit sichergestellt werden kann, dass keine Schadsoftware auf die Geräte gelangt.
Aber nicht alle Anbieter halten sich auch an diese Vorgaben. Einige versuchen, die technischen Hürden zu umgehen. Das macht die Situation gefährlich. Ein aktueller Bericht der Sicherheitsforscher von Jamf, einem bekannten Anbieter für Mobile Device Management-Lösungen, zeigt, wie gravierend die Folgen solcher Umgehungen sein können.
Flekst0re: „Jailbreak ohne Jailbreak“
Einer dieser alternativen Stores heißt Flekst0re. Dabei handelt es sich um einen Namen, der in der Sicherheitscommunity mittlerweile für Diskussionen sorgt. Das Angebot wirbt unter anderem mit dem Slogan „Jailbreak ohne Jailbreak“ und verspricht, dass Nutzer Apps installieren können, die Apple sonst nicht zulassen würde.
Doch Flekst0re nutzt nicht den offiziellen, von Apple vorgesehenen DMA Prozess. Stattdessen müssen die Nutzer ein Zertifikatsprofil manuell auf ihrem iPhone installieren. Dieses Profil ist im Prinzip nichts anderes als eine digitale Signatur, die es dem Anbieter möglich macht, Software direkt auf das Gerät zu laden. Dabei geht es direkt an der Sicherheitsüberprüfung Apples vorbei.
Laut den Experten von Jamf stellt genau dieses Vorgehen ein erhebliches Risiko für die Nutzer dar. Durch die manuelle Installation eines Profils wird eine der zentralen Schutzebenen von iOS umgangen. Apple überprüft in diesem Fall weder die Herkunft noch die Integrität der Apps, die über diesen Weg installiert werden.
Flekst0re nutzt zusätzlich Enterprise Distribution-Zertifikate. Diese sind eigentlich für Unternehmen gedacht, die firmeneigene Apps intern verteilen. In den Händen von Drittanbietern werden sie jedoch zu einem Schlupfloch, das sämtliche Sicherheitsmechanismen des Systems außer Kraft setzt.
Manipulierte Apps und dubiose Quellen
Wer außerhalb des Apple App Stores eine Anwendung herunterlädt, muss achtsam sein. Natürlich kann man auf seinem iPhone Apps herunterladen und installieren, die nicht im App Store angeboten werden – beispielsweise Online Casino Anwendungen. Es gibt viele Anbieter von Glücksspiel, die durchaus empfehlenswert sind. Bei der Wahl der passenden Online Casino App sollte man aber auch überprüfen, ob der Anbieter den eigenen Erwartungen entspricht. Wer etwa die Paysafe Einzahlungen im Casino bevorzugt, sollte unbedingt darauf achten, dass diese Zahlungsmethode angeboten wird. Wer gerne im Live Casino sein Glück testet, muss überprüfen, ob und wenn ja, welches Angebot hier zur Verfügung steht.
Das Angebot von Flekst0re wirkt auf den ersten Blick absolut seriös: Die Apps erscheinen mit ihren Original-Icons und vertrauten Namen. Doch wer genauer hinsieht, der erkennt schnell Unstimmigkeiten. Im Store finden sich sogenannte „modifizierte Versionen“ populärer Anwendungen wie Instagram, YouTube, TikTok oder WhatsApp.
Diese scheinbar harmlosen Varianten können laut Jamf jedoch schadhaften Code enthalten. Besonders heikel ist der Fund einer manipulierten WhatsApp-Version, die Chats auslesen und an externe Server weiterleiten konnte. In einem Testfall, einem sogenannten Proof of Concept, konnten Sicherheitsforscher zeigen, dass solche Apps sehr wohl in der Lage sind, persönliche Nachrichten zu kopieren, ohne dass der Nutzer etwas davon bemerkt.
Auch Spiele tauchen im Sortiment von Flekst0re auf, die offiziell nie für iOS erschienen sind. Dazu gehört etwa das beliebte „Cuphead“. Viele dieser Programme stammen aus intransparenten Quellen, deren Betreiber unbekannt sind. Das erhöht die Gefahr, dass Schadsoftware auf die Geräte gelangt, erheblich.
Jamf warnt daher ausdrücklich davor, Apps aus solchen Quellen zu installieren oder sensible Daten, beispielsweise Passwörter oder Bankinformationen, darin einzugeben. Das Fehlen eines klassischen Jailbreaks mache das System nicht automatisch sicherer, so die Forscher. „Wer Code von unbekannten Herausgebern installiert, riskiert im schlimmsten Fall den vollständigen Zugriff auf seine privaten Daten.“
Der schmale Grat zwischen Komfort und Risiko
Flekst0re selbst sieht die Kritik als unberechtigt an und weist die Vorwürfe zurück. In einer Stellungnahme gegenüber Jamf haben die Betreiber erklärt, alle angebotenen Apps würden vorab getestet werden, damit man sicher sein kann, dass sie funktionieren und keine Daten übermitteln. Zudem sehe man sich lediglich nur als „Dienstleister für das Signieren von Anwendungen“ und nicht als Anbieter oder Herausgeber der Software.
Allerdings haben die Betreiber auch zugegeben, dass sie mindestens drei weitere Repositories (App Quellen) eingebunden haben, die sie nicht direkt kontrollieren. Man stehe zwar mit deren Entwicklern in Kontakt, könne jedoch nicht garantieren, dass dort ausschließlich sichere Software vertrieben werde.
Sicherheitsforscher warnen vor neuen Angriffsmöglichkeiten
Die zunehmende Öffnung des Ökosystems von iOS stellt Apple vor ein Dilemma: Einerseits verlangt die EU mehr Wettbewerb und Wahlfreiheit für Nutzer, andererseits schwächen die neuen Regeln das bisher sehr geschlossene Sicherheitsmodell von iOS.
Jamf betont, dass gerade der manuelle Installationsprozess, wie ihn Flekst0re nutzt, durchaus gefährlich ist. Nutzer müssen einem Zertifikat vertrauen, dessen Herkunft sie nicht überprüfen können. Wird ein solches Zertifikat kompromittiert, könnten Angreifer Zugriff auf Systemfunktionen, Kamera, Mikrofon oder auch persönliche Daten erhalten.
Apple selbst warnt seit Jahren davor, Profile außerhalb des App Store-Ökosystems zu installieren. Dennoch sind viele Nutzer bereit, dieses Risiko in Kauf zu nehmen. Der Fall Flekst0re zeigt jedoch ganz klar, dass die neu gewonnene Freiheit ihren Preis hat. Denn wer den offiziellen Weg verlässt, öffnet Tür und Tor für Manipulationen, die selbst erfahrene Nutzer nicht ohne Weiteres erkennen können.
Foto von Pixabay: https://www.pexels.com/de-de/foto/ios-icon-screengrab-267392/
