Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple maakte alle apps van ontwikkelaar onbruikbaar door intrekken certificaat

Een geautomatiseerd systeem van Apple om malware te detecteren heeft zonder menselijke tussenkomst alle apps van een bekende macOS-ontwikkelaar onbruikbaar gemaakt door het intrekken van een certificaat. De software zei dat de apps de computer zouden schaden.

Alle gebruikers kregen een melding van macOS dat de software hun computer schade zou berokkenen en suggereerde om de app te verwijderen, meldt ontwikkelaar Charlie Monroe. Het is onbekend om hoeveel gebruikers het gaat. Hij maakt apps als Downie, EON Timer en UctoX. De situatie heeft in totaal meer dan een dag geduurd.

Apple bevestigde tegenover een gebruiker dat er kwaadaardige code in de apps was gevonden. Daarom had een geautomatiseerd systeem zijn certificaat ingetrokken. Na intrekken van het certificaat is het account van de ontwikkelaar ook ontoegankelijk en toont macOS waarschuwingen bij de apps.

Apple heeft excuses aangeboden. De ontwikkelaar was bang dat het intrekken van het certificaat gebruikers zou wegjagen en daardoor het einde zou betekenen voor zijn bedrijf. Apple heeft niet openlijk gereageerd op het voorval.

Door Arnoud Wokke

Redacteur mobile

05-08-2020 • 21:11

129 Linkedin

Submitter: banditbiker

Reacties (129)

Wijzig sortering
Heeft Apple ook nog een proces om dan uitleg aan de gebruikers van die apps te geven zodat een ontwikkelaar bij dit soort fouten van Apple niet alleen last maar ook hulp van Apple krijgt?
Ik zie wel dat Apple waarschijnlijk met de beste bedoelingen haar gebruikers probeert te beschermen maar nergens lees ik dat Apple ook de beste bedoelingen heeft om de gebruikers helpt bij het maken van de juiste keuzes als Apple fouten maakt.
Ze doen niet eens een publiek excuus. Ze geven het niet eens publiek toe. Dus iedereen die de melding heeft gekregen ziet de apps nu als gevaarlijk...

Sta je dan als developer.
Tenzij er een contract is met Apple waarin staat dat bedrijf x nooit Apple mag aanklagen, zou de developer naar de rechter kunnen stappen omdat Apple onterecht een enorm slecht beeld heeft geschetst van de software producten van het bedrijf. Ik vermoed echter wel dat er zoiets ergens staat in het contract... Ik zou als developer niet keihard van de toren blazen, maar Apple netjes vragen voor een schade vergoeding, terwijl hij netjes verkoop data verzameld en vergelijkt waaruit blijkt dat er schade is geleden.

Dit soort ongein gebeurt ook regelmatig met AV welke opeens een site bestempeld als gevaarlijk en dat je er niet naartoe kan zonder aan allerlei instellingen te sleutelen als computer leek (not me). Vaak is dat terecht, maar soms is het een 'false-positive', ik vraag me af of een website eigenaar ooit zo een AV toko heeft aangeklaagd voor zo een false positive...

Elk systeem geeft valse positives, ongeacht hoe onscherp je het instelt, nu was deze developer het haasje (of het appeltje), de volgende keer zal het iemand anders zijn. De vraag is namelijk niet of het gebeurd, maar wanneer het gebeurd.
Veel plezier tegen het leger advocaten van Apple, dat ga je toch nooit winnen. Je bent al failliet voor de eerste hoorzitting nog moet beginnen.
In Amerika maak je nog redelijk kans omdat je dan “David vs de Reus” bent.
Apple weet dit ook en wilt deze PR niet, zeker niet als er een kans is dat je ook nog eens wint.
Een gewonnen zaak loopt daar soms in de miljoenen, en als een ontwikkelaar wint....

Dan is Apple vaak beter af met een simpele schade vergoeding, veel zelfstandig ontwikkelaars kunnen toch al snel blij zijn met een ton, wat voor Apple weer kleingeld is.

Tevens kan de ontwikkelaar in deze alle gebruikers op hun Apple-Id een e-mail sturen met daarin tekst en uitleg.
In Amerika maak je nog redelijk kans omdat je dan “David vs de Reus” bent.
En sinds wanneer speelt dat ook maar de kleinste rol in een rechtszaak?

JUIST in de VS kun je dit gerust vergeten. Voordat de eerste zitting is ben je een paar jaar verder door alle vertragings tactieken en ben je defacto al failliet. Een definitieve uitspraak kan gerust 10 jaar op zich laten wachten terwijl Apple je hele broodwinning al onmogelijk gemaakt heeft.

De ontwikkelaar heeft hier geen schijn van kans. Net als alles is ook het rechtssysteem in de VS gebaseerd op geld. Dat heeft Apple meer dan genoeg en die ene, 1-hoofdige, ontwikkelaar nagenoeg niet. Geen advocaat die zich daar aan gaat wagen.
En sinds wanneer speelt dat ook maar de kleinste rol in een rechtszaak?
In theorie zou dat niet mogen, maar in Amerika worden veel rechtzaken beslist door een 'jury' van 'normale' Amerikanen die eerder op dat onderbuikgevoel ingaan dan dat een rechter dat zal doen. Natuurlijk kan een rechter beslissen dat de 'jury' zijn werk niet heeft gedaan, maar dat is ook weer zo een muntje opgooien gebeuren.

Vergeet niet dat er veel partijen baad zouden hebben bij een 'win' van de developer, als je zoiets slim speelt kan zoiets prima.
een 'jury'
Dat is strafrecht.

Een zaak aanspannen vanwege mogelijke schadeverlies is volgens mij civielrechtelijk.
Niet alleen strafrecht.
Kijk maar naar de diverse rechtzaken die tussen Apple en Samsung.
daarin moest een Jury beslissen of er sprake was van een kopie.
Daarnaast kan je in de VS ook makkelijk een No Cure No Pay Advocatenkantoor vinden. Misschien willen die zo'n zaak niet, maar dit soort nieuwswaardige zaken pakken ze doorgaans met beidde handen aan.
Wellicht dat je zelf wat meer baad heb om te reageren op de inhoudelijk foute reactie... ;-)

Ga je badderen (en achter je oren te wassen) om van je eerste post in ruim 6 jaar registratie op Tweakers.net, een post te maken over een spelfout!

En als we dan toch miereneuken, dient die b in baad geen hoofdletter te zijn als eerste woord in een zin? En moet de N bij 'nederlands' ook geen hoofdletter zijn?

Weet je wat een ex-Amsterdammer en iemand uit Tilburg gemeen hebben, ze moeten het beide van IT hebben en niet van hun Nederlandse spellingvaardigheden... ;-)
Dat hangt er vanaf hoe de ontwikkelaars, gebruikers, media of politiek het brengen. Er hoeft geen leger advocaten aan te pas te komen.
Het probleem voor Apple is dat de handelspraktijken niet eerlijk lijken te zijn. Automatiseren en gebruikers proberen te beschermen moet natuurlijk niet het effect hebben dat die bescherming schade op levert, de ervaring in Apple slechter maakt of zelfs een bedrijf de kop kan kosten omdat Apple wel aan geautomatiseerde beveiliging tegen malware wil doen maar niet lijkt in te willen staan voor de negatieve kanten. Dus zolang Apple die gebruikers alleen maar waarschuwt en 'beschermt' voor problemen die Apple meent te zien maar vervolgens geen uitleg geeft dat ze het fout hadden dan denk ik dat Apple niet heel sterk staakt als een ontwikkelaar en gebruikers daar negatieve gevolgen aan dat Apple advies ervaren terwijl dat advies zelfs volgens Apple onjuist was.
Dit gebeurt continue met verschillende AV pakketten en daar gaat ook niet iedereen meteen voor naar de rechter. Het is jammer, maar er is ook vrij weinig aan te doen, het gaat nou eenmaal gebeuren.
Dat het gebeurt wil niet zeggen dat het goed is en ook niet dat Apple of een av-bedrijf geen verantwoordelijkheid hoeft te nemen als ze deze schade veroorzaken.
Ik denk alleen dat het onvermijdelijk is, en in alle redelijkheid kun je ze een bepaald basis level aan incidenten eigenlijk niet aan rekenen.
Daar gaan we weer... Het is nog altijd aan de jury (Amerika+België) of de rechter (elders) om te bepalen of iemand schuldig is of niet. Het aantal advocaten maakt daarbij helemaal niet uit (en bovendien kan deze ontwikkelaar ook één geweldige advocaat t.o.v. 5 redelijk goede van Apple zetten, wat ook al een verschil maakt).
Ik vraag me wel af of daar ook geen gevolgen aan zitten. Ik kan me voorstellen dat Apple daarna zegt dat je niets meer mag aanbieden via hun store.
En dan wordt het tijd voor een nieuwe rechtszaak, want Apple veroorzaakt meer schade welke niet reëel is. Natuurlijk hoeft een Apple geen zaken te doen met bedrijf x, maar als deze opeens na het starten van een rechtszaak het bedrijf de deur wijst dan mag daar juridisch zeer zeker wat over gezegd worden.
De ontwikkelaar heeft alleen een contract met Apple in de vorm van een Apple developer account. De apps werden echter niet via de App Store gedistribueerd, maar via de developer zelf.

Het probleem zit hem in de sinds 2 jaar voor apps die met een developer-certificaat worden ondertekend verplichte app notarization. Na het compileren van een app controleert Apple of je app wel helemaal ok is (geen malware). Dat een certificaat waar ook vele legitieme (versies) in onder zijn gebracht automatisch wordt ingetrokken is natuurlijk een flater van jewelste.
Er werd een kwaadaardige code gevonden, dan is het terecht dat het systeem ingrijpt.
Het issue, zoals ik het lees, is dat die conclusie dat het kwaadaardig code is, verkeerd is. Vandaar dat Apple ook zijn excuses heeft aangeboden.
Ongeacht of een gebruiker het wel of niet kan herkennen, die als gevaarlijk aangemerkte URL, wil je het risico nemen? Ga je het echt uitzoeken?

Bij mij ligt het aan de website. Wanneer het een website is die ik ken (waar ik vaker kom bijvoorbeeld), kan ik de waarschuwing in twijfel trekken. Bij een website die ik niet ken heb ik meestal geen eens zin om het uit te zoeken. Meestal is het niet belangrijk genoeg en zoek ik de volgende bron van informatie wel op. Dat is sneller en per slot van rekening was dat mijn doel op dat moment. Niet het uitzoeken van iets.
Dat heb je met die mega bedrijven.. Nog een wonder dat het maar 1 dag duurde en niet veel langer.

Kom ten eerste maar eens in contact met Apple en dan ook met de juiste personen. Dat is al een ellende op zich. En dan ook nog je recht krijgen dat het niet aan jou ligt..
Edit: op de verkeerde persoon gereageerd

[Reactie gewijzigd door Daoka op 6 augustus 2020 04:34]

Mja in theorie zou je met zo'n actie een klein bedrijfje aardig in de problemen kunnen brengen.

Het is een beetje wat gebeurt bij "kranten". Grote beschuldigende krantenkop over eea op de voorpagina en dan een week later een rectificatie in lettertype "waar is m'n vergrootglas" op pagina 85.
Terwijl dat zo simpel op te lossen zou zijn. Wettelijke eis dat rectificatie op dezelfde locatie en met dezelfde hoeveelheid ruimte gedaan wordt als het oorspronkelijke bericht. Misschien dat al die sensatie beluste kranten / bladen dan weer eens wat journalistieker gaan worden.

Je kunt het wat vergelijken met wanneer er een onderzoek tegen je loopt. Wanneer dat breed uitgemeten de pers bereikt en je blijkt later volledig onschuldig, zal er altijd een smet aan je hangen.
Dit is ook al jaren een probleem voor ontwikkelaars van iOS apps. Iedere update moet opnieuw gekeurd worden, waarna je een generieke melding krijgt welke regels van de ToS je geschonden zou hebben. Maar 0 inhoud welk gedeelte van de app ze dit heeft doen beslissen (of een duidelijke indicatie van wat zij missen.
Ik vind het alleen maar goed dat dit elke keer gecontroleerd wordt door Apple. Ik heb dan bij Google play store wel eens gehoord dat malware makers daar 2 of 3 keer de normale updates deed en daarna nadat ze op het vertrouwde lijstje stonden de troep erin begonnen te doen.
lees het vorige bericht nu nog eens een keer, maar dan vanuit een ander perspectief...

Wat hello123456 (mooi gevonden ;) ) nu daadwerkelijk zegt: heel mooi dat Apple geautomatiseerde systemen heeft om haar gebruikers zo goed mogelijk te beschermen. Maar waarom is Apple nou niet gewoon eens een keer duidelijk met vermelden wat er dan precies niet goed is of wat er nou precies in strijd met de geregeld veranderende regels is.
Zoals ik het lees staat er niets over dat dat hello123456 het goed of slecht vindt. Alleen dat het irritant is voor de ontwikkelaars. Dit zou je dus ook kunnen lezen als "laat vertrouwde apps toch eens met rust" (waarschijnlijk zag ik dit erin omdat ik dan die voorbeeld in me hoofd had). Daarom gaf ik een rede waarom ik het goed vind dat Apple elke versie nakijkt. Wel zou Apple inderdaad meer informatie mogen bieden waarom of zelf welke regels in de code problemen geven.
We zullen zijn echte intenties nooit weten ;-) Maar Ik denk persoonlijk niet dat hij het slecht vindt dat Apple continue blijft controleren. Het punt zit 'm meer in het feit dat van de ene op de andere dag kan Apple de ToS aanpassen en op basis daarvan zonder inhoudelijke reactie en verdere uitleg een eerder goedgekeurde applicatie afkeuren.

Het feit dat het opnieuw gecontroleerd wordt moet dan ook zeker blijven! Alleen dan het liefst met wat meer tekst en uitleg.
False dichotomy...

Er zijn oneindige mogelijkheden buiten het beleid van Apple en Google

[Reactie gewijzigd door AmazingDreams op 6 augustus 2020 08:23]

correctie, de hele reden dat de apple store zo afgesloten is, omdat het review process voornamelijk gaat om het gebruik van hun handelsmerk (zit het appeltje wel 10 px van de rand van een knop af), niet zozeer om te controleren op malware.

Nee, we krijgen nauwelijks hulp, laat staan uitleg of service als ontwikkelaars van iOS apps, ook al betalen we 100$ per jaar voor de licentie.

De laatste keer werd ik doodleuk naar een random forum verwezen om daar het antwoord maar te vinden, waar ik overigens moest betalen om te kunnen lezen.
Ja en die licentie geeft je toch ook een platform om je software op te hosten en te distribueren?
100 Dollar per jaar is echt een peuleschil.
Apple heeft excuses aangeboden. De ontwikkelaar was bang dat het intrekken van het certificaat gebruikers zou wegjagen en daardoor het einde zou betekenen voor zijn bedrijf. Apple heeft niet openlijk gereageerd op het voorval.

Niet gereageerd en toch excuses aangeboden? Dat snap ik niet zo goed.
Apple heeft excuses aangeboden aan de ontwikkelaar (besloten) maar heeft geen publiek statement of excuses naar gebruikers gegeven (openlijk).
Zit in dat woordje "openlijk". Ze hebben, als ik het zo lees, direct contact opgenomen met die developer om excuses te maken, maar hebben niet een publiek statement gemaakt dat ze fout zaten. Apple die zegt "sorry iedereen, foutje" is veel meer waard dan een developer die zegt dat Apple een foutje heeft gemaakt.
Mooi dat zo'n geautomatiseerd systeem ingrijpt.
Het is natuurlijk niet te doen om alle apps handmatig te controleren.

Dit is de eerste keer dat ik hoor over een dergelijke false positive.
Dat kan natuurlijk een keer gebeuren, al is het vervelend voor de developer.

Het komt vaker voor dat developers onbedoeld kwaadaardige code van derden in hun app stoppen, en dat afvangen voorkomt veel ellende voor de vele eindgebruikers.

Stel je voor dat het inderdaad een stuk ransomware was, dat door een beveiligingsprobleem bij de ontwikkelaar in de app was gekomen….
Dan hadden duizenden klanten van deze ontwikkelaar hun data terug hadden moeten kopen, en was de ontwikkelaar ook snel failliet gegaan aan rechtszaken.

Kies maar.
Ik vind het eigenlijk niet zo mooi in dit geval. Het is nogal ingrijpend dat een geautomatiseerd systeem alle apps van een ontwikkelaar kan blokkeren.
Mooier zou ik vinden als Apple zou een handmatige verificatie zou doen als er een nieuwe app gevonden wordt waarvan het systeem hem flagged als mogelijk schadelijk. (vanaf een bepaalde mate van onzekerheid bijvoorbeeld) Zeker als dit betekent dat alle apps van een bepaalde ontwikkelaar dan meteen als malware gemeld / geblokkeerd worden.

Het is een afweging tussen mogelijke schade van beide opties.

Je geeft skynet ook niet de sleutels tot de atoomwapens zeg maar ;-)
De vraag hier is natuurlijk hoeveel de schade is van het uitschakelen.

Om je vergelijking met Skynet even door te trekken; Dit is eigenlijk een failsafe die de atoomwapens uitschakelt bij een bedreiging van software die verdacht is. Het was binnen een dag weer goed, dus behalve mogelijke imagoschade voor de ontwikkelaar en wat irritatie bij de eindgebruikers is de impact beperkt.

Het weer aanzetten is in dit geval een handmatige aktie die een dag heeft geduurd, en als 1 app van een ontwikkelaar onbedoeld geïnfecteerd is met ransomware, hoe aannemelijk is het dan dat er meer apps van deze ontwikkelaar kunnen zijn die je preventief uit wilt schakelen voor onderzoek?

Het staat daarnaast elke ontwikkelaar vrij om Mac software buiten de Mac App store om te leveren.
Deze check is dus een dienst die de eindgebruikers veiligheid geeft en niet een blokkade.

Simpele vraag: Zou jij ongecheckte software die je niet kent zomaar installeren op een computer die atoomwapens aanstuurt of (iets dichter bij huis) waarmee jij je bankrekeningen beheert)?
Apple has called and apologized for the complications. The issue was caused by my account being erroneously flagged by automated processes as malicious and was put on hold.

Kortom het was een probleem bij Apple, en niet de apps.
Nogal vervelend als een automatisch controle bepaalde code aanwijst als schadelijk, maar dat dit vaak meer komt omdat ze gewoon een verkeerde controle uitvoeren. Het zal niet de eerste keer zijn dat makers van antimalware/virus verkeerde declaraties toevoegen.. Wij hadden het zelf ok, onze applicatie mocht alle bestanden verwijderen (een handeling van de gebruiker in ons pakket, en het verwijderen vind plaats via de standaard winapi call), maar zodra de applicatie een 1 of 2 .mdb's achter elkaar verwijderde werd deze als malware aangewezen en zonder pardoes verwijderd, crappy trendmicro. Maar het gebeurde dus ook in mijn eigen development enviroment.. We kwamen er zelf achter vanwege dat wij die troep draaide, maar aangezien TrendMicro hier niets aan wilde doen hebben we dus deze troep maar verwijderd (want ik blijf niet bezig om uitzonderingen toe te voegen)..
Mooie gratis reclame voor deze “bekende” developer, Ik kende zijn apps niet maar heb er nu wel even op gezocht.

De gebruikers die hij verliest (al betwijfel ik dat überhaupt) maakt dat wel weer goed.
Het is inmiddels opgelost: https://blog.charliemonroe.net/a-day-without-business/
Apple has called and apologized for the complications. The issue was caused by my account being erroneously flagged by automated processes as malicious and was put on hold.
"App x will damage your computer. you should move it to the trash"

Wat een afschuwelijke melding voor een fout.

Je zorgt bij onzekerheden normaal op zn minst dat het bericht naar de gebruiker ook wat ruimte voor interpretatie overlaat. Of aanvullend met wat deze damage is

[Reactie gewijzigd door Mushroomician op 6 augustus 2020 02:53]

Nergens lees ik dat het een false positieve was? Enkel uit de reacties denk ik dit af te leiden?
Hmmm... bevatte de software nu wel of geen malware? Dat kan ik niet goed opmaken uit het artikel. Maar als Apple zijn excuses heeft gemaakt zal het wel een ‘vals positief’ alarm zijn. Toch doet deze ontwikkelaar er goed aan zijn code nog eens te checken. Ik kan me niet voorstellen dat er helemaal niets aan de hand is. Er is immers ‘iets’ waardoor er alarmbellen gaan rinkelen.

Hoe het ook is, als Apple gebruiker ben ik erg blij met deze functionaliteit. Wie weet wat voor troep je op je computer krijgt door zomaar iets te downloaden? Ik download bij voorkeur uit de macappstore, juist vanwege dit soort checks van Apple.

Natuurlijk kan het een keer voorkomen dat er iets niet helemaal goed gaat. Maar better safe than sorry. Apple ligt onder een vergrootglas, de laatste jaren. Dus als er iets mis gaat (zoals hier waarschijnlijk het geval is) dan is dat meteen bekend en wordt het direct opgelost. Apple legt de prioriteit bij de veiligheid van de gebruiker. En daar moet die in mijn ogen ook liggen.

[Reactie gewijzigd door ZZP op 6 augustus 2020 08:39]

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True