Apple entfernt einige Adblocker aus dem App Store
Mit der Möglichkeit des Content-Blockings in Safari unter iOS 9 löste Apple eine Flut an Adblockern aus. Wer das Geschäftsmodell eines Webseitenbetreibers nicht akzeptieren will, kann auf diese Weise Werbung und diverse Tracker direkt deaktivieren. Diese Möglichkeit war von Apple so gewollt. Nun haben einige Entwickler solcher Contentblocker allerdings nicht auf die offiziellen Möglichkeiten gesetzt, sondern auch Adblocking in Apps ermöglicht, was wiederum von Apple so nicht vorgesehen ist. Das Ganze funktioniert über die Installation eines Root-Zertifikats – und bietet somit Potential, dass Daten ausgelesen werden.
Durch die Nutzung eines Root-Zertifikats kann Werbung auch in Apps geblockt werden, hierfür wird der komplette Traffic ausgelesen und Werbung daraufhin blockiert. Das Problem dabei ist, dass auf diese Weise auch eine vorhandene Verschlüsselung der Netzaktivitäten aufgehoben wird. Im Zweifelsfall könnten Seitenbesuche und andere Informationen über die Server des Anbieters ausgelesen werden, da sie dort unverschlüsselt auftauchen. Die Funktionsweise unterscheidet sich also sehr von den typischen iOS 9 Adblockern, die über ein von Apple bereitgestelltes Framework realisiert werden.
Apple wirbt gerne mit der Sicherheit des eigenen Systems, Privatsphäre stehe an oberster Stelle. Da passt es natürlich nicht, wenn Apps ein Root-Zertifikat installieren und somit diverse Schutzmaßnahmen aushebeln. Aber, anders als in so manch anderem Fall plötzlicher App-Entfernung aus dem App Store, erklärt Apple, dass man zusammen mit den Entwicklern an einer Lösung arbeitet, damit die Apps wieder über den App Store bezogen werden können. Wie viele Apps konkret entfernt wurden, sagt Apple nicht. TechCrunch berichtet, dass zum Beispiel die App „Been Choice“ nicht mehr im App Store verfügbar ist. Ein Content-Blocker, der auch Werbung innerhalb anderer Apps deaktivierte.
Apples Statement:
[color-box color=“gray“ rounded=“1″]Apple is deeply committed to protecting customer privacy and security. We’ve removed a few apps from the App Store that install root certificates which enable the monitoring of customer network data that can in turn be used to compromise SSL/TLS security solutions. We are working closely with these developers to quickly get their apps back on the App Store, while ensuring customer privacy and security is not at risk.[/color-box]Da Apple aktuell keine Lösung bietet, um auch Werbung in Apps zu blockieren, kann man davon ausgehen, dass bei einer Rückkehr der entfernten Apps deren Funktionalität auf das Safari-Content-Blocking beschränkt sein wird, so wie es auch bei den weiterhin verfügbaren Content-Blockern der Fall ist. Was Apple allerdings nicht erklärt: wie es einer App im App Store überhaupt möglich sein kann, ein Root-Zertifikat zu installieren. Die Risiken dadurch nennt Apple ja selbst, insofern hätten solche Apps meiner Meinung nach in erster Linie schon einmal gar nichts im App Store verloren.
Wie funktioniert denn Apples Framework? Ich würde doch zuerst einfach IP’s bzw. URL’s blocken….
Aber Weblock ist immer noch im Store. Seit Jahren. Blockt Werbung in allen Apps über Proxy.
@JayJay: Funktioniert das über die Installation eines Root-Zertifikats? Wenn nicht, dürfte Apple auch kein Problem damit haben.
Das Weblock hab ich auch seit Jahren. Geht nur über WLAN. Man muss den Proxy manuell eintragen. Leider friert mein 6s ein sobald ich auf den Proxy zugreife. Auf dem 5s und dem iPad läuft es problemlos. Habe es an den Entwickler gemeldet weil ansich eine schöne App.
Weblock blockt ads auf Proxy-Ebene, funktioniert meines Wissens aber nicht, wenn man seine Datenverbindungen anstelle von WiFi nutzt. In anderen Worten – funktioniert nur mit WiFi.
Apple hat ein Problem mit diesen speziellen Blockern, weil Apple mit iAds Werbung in Apps Geld verdienen will.
Und durch die Nutzung eines Root-Zertifikats kann eben auch Werbung in Apps geblockt werden. Und das will Apple eben verhindern.
@Heinrich
Schau dir mal die Zahlen an. Die geben kaum keinen Furz auf iAd. Kaum ein Entwickler nutzt iAd. Einnahmen durch iAds tauchen nicht mal in den Quartalszahlen auf.
Apple will verhindern dass durch Root-Certs die Sicherheit kompromittiert wird. Darum geht’s hier.
Weblock blockt über eine Proxy Auto-Config (https://de.wikipedia.org/wiki/Proxy_Auto-Config). Die App erstellt einfach eine Filterliste, die in die WiFi-Konfiguration eingetragen wird (eine normale Funktion die jedes moderne Betriebssystem beherrscht und die eben auch als Ad-Blocker eingesetzt werden kann).
Traffic/Anfragen an den Ad-Server werden an einen Fake-Proxy weitergeleitet. Dieser ist aber kein Proxy, sondern Google’s DNS Server (8.8.8.8). Der lehnt die HTTP(S) Anfragen ab, da es sich um einen DNS Server handelt, nicht um einen Webserver. Der Versuch, eine Anzeige zu laden, läuft quasi ins Leere.
Die IP des Proxies kann man in den Einstellungen ändern. Es muss sich aber um eine echte IP handeln, die über das Internet erreichbar ist (lokale IP funktioniert nicht), die über das Netz erreichbar ist. Google’s DNS-Server empfielht sich aber, da er überall und sehr schnell erreichbar ist.
@Matze
Apple’s Framework nimmt sich eine Filterliste (in JSON formatiert) und konvertiert sie in bytecode. Das erhöht die Effizienz (Batterie/CPU).
ADBlock for iOS macht es über ein Root-Zertifikat
https://adblockios.com/8B5D2C2C-9CA0-43E1-94E3-AB4CFA36894A/install
Hier werden nur die Werbeseiten über den einen Dummy VPN geschickt.
Welche kann man in der PList ansehen. Das Zertifikat reicht aus um zu blocken.
Man benötigt also keine App aus dem AppStore.
@Carsten Schmidt
Aus genau diesem Grund ist die App zur Zeit nicht im Store.
Die Gefahr entsteht übrigens dadurch, dass der VPN-Server des Ad-Blockers bei einer verschlüsselten Verbindung mitlesen könnte. Er ist ermächtigt, die Schlüssel der Seite durch seine eigenen auszutauschen. Das Root-Zertifikat auf dem iOS-Gerät macht’s möglich. Auch wenn’s nur ein Dummy-VPN ist muss das nicht bedeuten dass das immer so ist.
Zertifikate installieren sich nicht von selbst sondern erfordern immer die Zusage des Nutzers. Entfernen kann man sie in Einstellungen > Allgemein > Profile. Wenn „Profile“ nicht erscheint, sind auch keine Zertifikate auf dem Gerät.