Der geneigte Leser erinnert sich vielleicht
noch an meinen Eintrag
vom 28.10., in dem ich über die
Sicherheit von Anwendungen auf dem BlackBerry sprach.
Heute erst stolpere ich über einen Eintrag
auf heise.de, in dem Nicolas Seriot
interviewt wird. Der hat sich intensiv mit dem Thema Apps auf dem iPhone
auseinandergesetzt und das Ergebnis in einem kurzen, gut lesbaren Bericht
veröffentlicht.
Die Kurzfassung ist, dass Apple trotz
Prüfung nicht zu 100% sicherstellen kann, dass "Spyphone"-Apps
im App-Store veröffentlicht werden können.
Das liegt unter anderem daran, dass
diese Anwendungen auf bestimmte kritische "private" (bei RIM
heißen diese Funktionen "signed") Funktionen untersucht werden,
die unternehmenskritische Daten z.B. aus dem Speicher holen könnten.
Aber man auch ohne Aufruf dieser "privaten"
Funktionen auf mehr oder weniger kritische Daten zugreifen kann, die in
ihrer Gesamtheit unangenehm sein könnten.
Das sind unter Anderem:
- Kontakte (!)
- Geo-informationen
- Safari-Suchen
- Eingegebene Wörter (für Wortvorschläge)
- ohne Passwörter
Das kann man schon als kritisch betrachten, auch wenn es sich noch nicht um Kontodaten, Vertragsinformationen oder anderes handelt.
Selbst ohne die Kontakte lassen sich auf diese Weise detaillierte Profile über den Nutzer des Gerätes zusammenfügen.
Warum schreibe ich darüber?
Ich will keineswegs das iPhone schlecht machen - auch wenn ich dem Hype darum nicht unbedingt folgen kann/möchte - denn wie ich bereits vorher schrieb, ist das ein grundsätzliches Dilemma mobiler Anwendungen, dem sich auch RIM und andere Hersteller stellen müssen, die die Installation von zusätzlichen Applikationen erlauben.
Ich möchte viel mehr sensibilisieren.
Auf Ihrem Gerät - sei es ein iPhone, Blackberry, Nokia etc. - befinden sich Daten über Sie und Ihr Unternehmen, die Sie nicht jedem geben wollen/sollten.
Auf der anderen Seite haben Sie das berechtigte Interesse, die Benutzung Ihres Smartphones so komfortabel und produktiv wie möglich zu gestalten. Alle Smartphone-Hersteller ermöglichen es Ihnen daher inzwischen, eigene Anwendungen zu entwickeln, die den Nutzen erhöhen. Dafür wird auch der Zugriff auf Gerätefunktionen erlaubt, die eben auch sensible Daten preisgeben können.
Die Hersteller tun bereits sehr viel, um die Sicherheit zu erhöhen.
RIM und Apple verteilen Signaturen an entwickelnde Unternehmen oder Personen, die auf "signed" oder "private" Gerätefunktionen zugreifen wollen. Das macht es zumindest schon einmal möglich, den Urheber einer Anwendung zu identifizieren bzw. verhindert, dass Anwendungen, denen Sie vertrauen durch eine Hintertür geändert werden und auf einmal bösartigen Code enthalten.
Außerdem erlaubt Apple die Installation von Anwendungen nur über den App-Store, der jede Anwendung erst einmal prüft, bevor sie aufgenommen wird. In der RIM-AppWorld wird ebenfalls eine Prüfung erfolgen, aber RIM erlaubt auch die Installation über den BES oder gar den Desktop Manager. Was erst wie eine potentielle Lücke aussieht, hat den Vorteil, dass Sie maßgeschneiderte Eigenentwicklungen nicht für alle Welt zugänglich machen müssen, um sie zu installieren.
Wie Sie sehen, liegt es letztlich an Ihnen, welches Risiko Sie in Ihrem Unternehmen gestatten wollen. Vernageln Sie das Gerät, werden sich die Nutzer manchmal zu Recht, manchmal zu Unrecht beschweren, dass ihre wichtigen Anwendungen auf dem Gerät nicht installiert werden können oder nicht funktionieren. Sie vertun hier viele Chancen. Ergreifen Sie keine Vorkehrungen, werden Ihre Nutzer vielleicht auch die Fun-App aus dubioser Quelle installieren und damit große Lücken aufreißen.
