Home Security Welke gevolgen heeft de Digital Markets Act voor zakelijke iOS-devices?

Welke gevolgen heeft de Digital Markets Act voor zakelijke iOS-devices?

34

Onlangs heeft Apple iOS 17.4 uitgebracht. Daarin zijn onder andere wijzigingen doorgevoerd om te voldoen aan de Digital Markets Act (DMA) die nu geldt voor grote techbedrijven die actief zijn in de EU, waaronder Apple. Deze wijzigingen kunnen gevolgen hebben voor de security van zakelijke iOS-devices bij organisaties.

Wat is de Digital Markets Act?

De Digital Markets Act (DMA) is in 2022 geïntroduceerd door de Europese Unie (EU). Het is een regelgevingskader dat eerlijke concurrentie op digitale markten moet waarborgen. Het geeft autoriteiten de bevoegdheid om bepaalde online platforms aan te wijzen als ‘gatekeepers’ en legt ze verplichtingen op om de concurrentie te bevorderen. Het uiteindelijke doel is om innovatie in de digitale sector te stimuleren.

Om te voldoen aan de regels in de DMA heeft Apple een aantal zaken aangepast in iOS:

  • Apple biedt third-party app-ontwikkelaars de mogelijkheid om apps buiten de officiële Apple App Store om aan te bieden.
  • Ontwikkelaars hebben nu de mogelijkheid om alternatieve webbrowser engines te bouwen en te gebruiken voor browsers.
  • Nadat een gebruiker zijn iPhone heeft geüpdatet naar 17.4, toont het besturingssysteem een nieuwe prompt wanneer een gebruiker Safari voor het eerst opent. Deze prompt biedt gebruikers de mogelijkheid om een andere webbrowser te kiezen.

iOS-gebruikers in de EU kunnen nu dus apps installeren van andere app stores en kunnen een andere webbrowser gebruiken, als ze dat willen. Om ervoor te zorgen dat gebruikers en organisaties de security van iOS-devices en apps goed kunnen beheren, is het belangrijk om rekening te houden met een aantal zaken.

Alleen gebruikers in EU-landen hebben de mogelijkheid om alternatieve app stores te bezoeken

De EU telt 27 lidstaten en om een alternatieve app store te bezoeken moet de eindgebruiker inwoner zijn van een van deze landen. Het is niet mogelijk om een alternatieve app store te gebruiken met een device buiten de EU of met een non-EU Apple ID. De veranderingen in iOS 17.4 zijn niet van toepassing voor Verenigd Koninkrijk, omdat dit land geen lid meer is van de EU.

Wanneer een organisatie Apple Business Manager of Apple School Manager buiten de EU draait, hebben gebruikers met een Apple ID van een Europees land nog altijd toegang tot deze alternatieve app stores. Multinationale ondernemingen, onderwijsorganisaties en andere organisaties moeten hier rekening mee houden: gebruikers met een EU Apple ID kunnen dan dus apps installeren van een niet-officiële Apple App Store, wat mogelijk securityrisico’s met zich meebrengt. De veranderingen zijn overigens alleen relevant voor iOS 17.4 en hoger. Voor iPadOS, tvOS, watchOS en visionOS verandert er niets.

Alternatieve app stores: security en privacy

De alternatieve app stores die gebruikers in de EU vanaf iOS 17.4 kunnen gebruiken, worden gehost en beheerd door derde partijen in Europa. Dit brengt enkele securityrisico’s met zich mee, die Apple heeft beschreven op zijn website. Hoewel deze wijzigingen nieuwe risico’s en kansen voor aanvallers met zich mee brengen, zal Apple nog steeds een strikte security handhaven rond alternatieve app stores.

Notarisatie komt naar iOS

Notarisatie is een securityproces dat tot nu toe alleen beschikbaar was voor macOS. Ontwikkelaars bieden een app te beoordeling aan bij Apple. Als de app wordt goedgekeurd, voorziet Apple de app van een digitaal certificaat (notarisatie). Notarisatie zorgt ervoor dat de app na de review door Apple niet kan worden gewijzigd voordat deze op het device van een eindgebruiker terechtkomt. Zo wordt gecheckt dat de app geen schadelijke code bevat en zijn gebruikers die de app downloaden en gebruiken, beschermd. Deze securitymaatregel komt nu ook naar iOS.

  • Alle apps op alternatieve app stores moeten een security certificaat van Apple hebben om op iOS-devices te kunnen draaien.
  • Ontwikkelaars van apps op een alternatieve app store moeten een legitiem ontwikkelaarsaccount bij Apple hebben. Hierbij hoort een verificatieproces om spam en aanvallers uit te sluiten.
  • Apple kan te allen tijden een ontwikkelaarscertificaat intrekken voor apps op alternatieve app stores, waardoor deze niet meer op een iOS-device gestart kunnen worden. Mochten er op zeker moment malware of schadelijke activiteiten worden ontdekt, kan Apple tussenbeide komen en gebruikers alsnog beschermen.
  • Ontwikkelaars moeten altijd de regels van Apple opvolgen omtrent de functionaliteit van alternatieve app store-apps.

Alternatieve webbrowser engines: security en privacy

Alternatieve browser engines is een andere verandering in iOS 17.4 waar Apple-beheerders in de EU zich bewust van moeten zijn. Safari is sinds de eerste iPhone uit 2007 de standaard browser van iOS. Hoewel er al langere tijd de mogelijkheid was om vanuit de App Store andere browsers te downloaden op iOS, draaiden deze browsers nog steeds op WebKit, de open-source webbrowser waarop Apple Safari is gebaseerd.

Apple staat nu toe dat third-party ontwikkelaars webbrowsers aanbieden die niet gebaseerd zijn op WebKit. Op zich is dat geen probleem, maar het betekent wel dat als gebruikers er voor kiezen om een alternatieve webbrowser te gebruiken, al hun surfverkeer verloopt via een app die is geschreven door een externe ontwikkelaar. De broncode daarvan is mogelijk ‘gesloten’, wat betekent dat het niet duidelijk is hoe gebruikersdata worden beheerd. Je moet dus vertrouwen op de ontwikkelaars van de alternatieve browser.

Tot nu toe hebben Apple-admins zich nauwelijks bezig hoeven houden met het beheer van browsers op iOS. Dit is dus een nieuw onderwerp om aandacht aan te besteden, om de security en privacy van devices en gebruikers te handhaven.

Net als bij notarisatie, komt Apple daarom met enkele nieuwe maatregelen, waaronder:

  • Ontwikkelaars van alternatieve browser engines moeten zich houden aan een aantal privacy- en securityvereisten, zoals het uitbrengen van periodieke security updates om nieuwe dreigingen en kwetsbaarheden aan te pakken.
  • Frameworks en bibliotheken die geen security-updates ontvangen om kwetsbaarheden te verhelpen, moeten door ontwikkelaars verwijderd worden.
  • Ontwikkelaars moeten het verhelpen van kwetsbaarheden prioriteit geven boven het ontwikkelen van nieuwe functies en binnen een redelijke tijd een update leveren die deze kwetsbaarheden verhelpen. Apple stelt in de meeste gevallen een periode van 30 dagen voor.

De wijzigingen die Apple in iOS heeft moeten doorvoeren in het kader van de DMA, kunnen zorgen voor een hoger securityrisico voor organisaties en hun gebruikers. Het is daarom belangrijk dat iOS-admins in de EU zich bewust zijn van de risico’s zoals hierboven beschreven en hun gebruikers hierover goed informeren.

Niels Feeleus, key account manager Jamf

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in