Apple: 'We kunnen nieuwe risico's door extra appwinkels niet volledig wegnemen'

Apple moet vanaf deze maand apps en appwinkels buiten zijn eigen App Store om toelaten op iOS, volgens de DMA-wetgeving van Europa. Het bedrijf presenteert een reeks stappen om dat veilig te doen – zoals nieuwe meldingen – maar het zal niet meer zo veilig zijn als voorheen, waarschuwt het bedrijf.

iPhones en iPads kunnen vanaf iOS 17.4, dat deze maand verschijnt, voor het eerst apps van buiten de App Store installeren. De eerste externe appwinkel heeft zich al gemeld en Apple zegt al tal van andere gegadigden te hebben begeleid. Nu heeft Apple een whitepaper gepubliceerd waarin het precies toelicht hoe het zijn 'kernwaarden' onder de DMA-eisen zal handhaven. Apple noemt als die waarden de beveiliging van apparaten en de veilheid en privacy van gebruikers.

De whitepaper is er volgens Apple om onduidelijkheden weg te nemen, onder meer bij bedrijven en overheden. Apple zegt de afgelopen maand, sinds de bekendmaking van het 'openbreken' van de App Store, veel bericht te hebben gekregen. Overheden zijn bijvoorbeeld bezorgd dat hun ambtenaren ongecontroleerde apps op hun overheids-iPhone installeren. Banken vroegen zich af of zij hun app kunnen blokkeren zodra er ongecontroleerde apps op de iPhone van een gebruiker staan.

Basiscontrole om fraudeurs af te schrikken

Apple neemt een aantal stappen om iOS-gebruikers te beschermen tegen ransomware, malware, spyware, malafide betaaltechnieken en andere gevaren. Eén van die stappen was al bekend: ook iOS-apps die straks buiten de App Store om gaan, moeten alsnog door Apple 'gesigneerd' worden. Dat is een soort basiscontrole, om te zien of de app bijvoorbeeld geen malware bevat. Apple doet dat al langer voor Mac-apps die buiten de Mac App Store worden aangeboden.

Bij dat signeren wordt ontwikkelaars soms om identificatie gevraagd: een maatregel om bijvoorbeeld fraudeurs af te schrikken. In 2022 zorgde die maatregel ervoor dat 105.000 anders frauduleuze accounts niet aangemaakt konden worden, stelt Apple in de whitepaper. Nog eens 400.000 accounts werden later door opgeschort vanwege fraude.

Waarschuwingen voor extra bewustzijn

Naast die basiscontrole komen er ook waarschuwingen in beeld wanneer gebruikers straks een app van buiten de App Store willen installeren. Die schermvullende melding vertelt dat niet Apple maar een andere aanbieder de app en verdere updates afhandelt. Er is ook zo'n schermvullende melding als gebruikers binnen een App Store-app doorklikken naar een externe betaalmethode: ook dat is een eis die de EU voortaan stelt.

Het opwerpen van dergelijke hordes moet ervoor zorgen dat de risico's van sideloading zoveel mogelijk worden beperkt. Om aan te tonen dat die risico's bestaan, wijst Apple op stappen van concurrent Google. Dat staat sideloading op Android altijd al toe, maar wie de functie 'Geavanceerde beveiliging' wil gebruiken, kan alleen apps uit de Play Store en de appwinkel van de telefoonmaker installeren. Dus, stelt Apple, ook op Android is dat sideloaden dus de zwakste schakel.

Volgens Apple zorgt de DMA ervoor dat appmakers nu een grotere rol gaan spelen bij de bescherming van gebruikers. Tot nu toe lag die rol grotendeels bij Apple, stelt het bedrijf, maar nu moeten appmakers meer garant staan voor de veiligheid van de app die zij zelf direct aanbieden. Personeel van Apple is voorbereid op klanten die eventueel problemen krijgen door het installeren van apps van buiten de App Store om, stelt het bedrijf. Maar Apple zal niet in alle gevallen meer dezelfde mate van ondersteuning kunnen bieden, als bijvoorbeeld betaalsystemen buiten hun bereik liggen.

Meer over de App Store en download de Bright-app, nu ook voor Android, en natuurlijk voor iOS.