Im Rahmen seiner Worldwide Developers Conference nahm Apple eine Ankündigung vor, die von Sicherheitsexperten mit Begeisterung aufgenommen wurde. Mit Ende 2016 werde die Nutzung der im Vorjahr eingeführten "App Transport Security" für alle Apps verpflichtend, womit garantiert werden soll, dass sämtliche Datenverbindungen ausschließlich verschlüsselt erfolgen.

Umdenken

Knapp vor dem Ende dieser Frist folgt nun aber der Rückzieher: In einer kurzen Nachricht informiert Apple die iOS-Entwickler darüber, dass die Deadline vorerst ersatzlos gestrichen wird. Ein neuer Termin solle zu einem späteren Zeitpunkt verlautbart werden.

Unklare Ursachen

Einen offiziellen Grund für diese Entscheidung nennt das Unternehmen nicht. Allerdings hatten sich in den letzten Monaten immer wieder App-Entwickler darüber beschwert, dass diese Frist zu kurz bemessen sei. Gerade bei Apps, die Inhalte von mehreren Anbietern kombinieren, also auch mit multiplen Servern umgehen müssen, sei der Wechsel mit einigem Aufwand verbunden. Ein Beispiel hierfür wären etwa News-Feed-Reader oder auch Podcast-Apps.

Um der aktuellen Realität gerecht zu werden, hatte Apple aber ohnehin schon einige Ausnahmen definiert, etwa für die Einbettung von Web-Inhalten in einem Webview. Immerhin haben noch längst nicht alle Webpages auf HTTPS umgestellt. Auch das Streamen via AVFoundation war von dieser Regel explizit ausgenommen.

Hintergrund

Die App Transport Security wurde mit iOS 9 und OS X 10.11 eingeführt, und soll Entwicklern bei der Implementation verschlüsselter Verbindungen helfen, und so nicht zuletzt, Fehler bei der Implementation – und somit unabsichtliche Datenlecks – zu verhindern. Zur Verschlüsselung werden dabei TLS 1.2, AES-128 sowie SHA-2 verwendet, zudem wird Forward Secrecy garantiert, damit das nachträgliche Knacken von Schlüsseln Angreifern keinen Zugriff auf die gesamte Kommunikationsgeschichte gibt. (apo, 22.12.2016)