Apple: Keine Toleranz für Hot-Patching
Laut Nutzern des Developer-Forums wurden mehrere Entwickler von Apple darauf hingewiesen, dass ihre Apps Bestandteile enthalten, die gegen das Apple Developer Program License Agreement und die App Store Review Guideline verstoßen. Dabei geht es um alle Bestandteile, die ein Update der App nach Prüfung und Veröffentlichung durch den App Store ermöglichen. Ein Beispiel für eine solche App-Komponente ist das SDK „rollout.io“, mit dem Updates live auf Apps, die sich bereits im App Store befinden, ausgeliefert werden können.
Sicherheitsfirmen wie FireEye warnten bereits in der Vergangenheit vor den Risiken die durch Hot-Patching entstehen. Da diese Form der Updates die Sicherheitsprüfung des Store-Betreibers umgeht, ist es möglich nachträglich Schadcode einzuschleusen. Theoretisch ist es so möglich, auf Nutzerdaten sowie Inhalte von iOS-Geräten zuzugreifen und diese auf einen Server hochzuladen.
Obwohl Apple das Verwenden privater API's grundsätzlich verbietet, wurde der Einsatz derartiger Tools bisher zumindest toleriert. Das nun dagegen vorgegangen wird, könnte mit der kürzer gewordenen Review-Zeit von Apple zusammenhängen. Betrug diese vor einigen Jahren noch bis zu zwei Wochen, sind es aktuell (laut Apple) in 90 Prozent der Fälle nur noch 48 Stunden. Gut möglich, dass Apple jetzt keine Notwendigkeit mehr für Entwickler sieht, Bugfixes und dergleichen direkt und ohne lange Wartezeit einzuspielen.