iOS bestaat al 17 jaar en is al die tijd een vrijwel ondoordringbaar fort geweest. Gebruikers hadden alleen toegang tot apps en functies als Apple dat toestond. Maar nu heeft het Amerikaanse bedrijf moeten toegeven aan de druk van de markt en de regelgeving door de status quo te veranderen. Op 6 maart werd de Europese Digital Markets Act (DMA) van kracht. Vanaf deze datum staat de nieuwe iOS-versie (17.4) het installeren van alternatieve marketplaces en browsers van derden op de iPhone toe, maar alleen door EU-gebruikers. Daarnaast verdwijnen bepaalde bekende functies, zoals progressieve webapps (PWA’s), die in de browser worden uitgevoerd en als pictogrammen aan het startscherm worden toegevoegd. Welke nieuwe mogelijkheden en bedreigingen brengt dit met zich mee voor gebruikers?
Hoe installeer je een alternatieve appstore?
Om eerlijke concurrentie te garanderen, hebben toezichthouders Apple verplicht om appmarketplaces van derden op de iPhone toe te staan. De gebruiker kan naar de website van een alternatieve appstore gaan en op ‘Installeren’ tikken (dat wil zeggen, de app van de appstore). De gebruiker kan dan de app van de appstore op zijn apparaat installeren, nadat hij eerst expliciet heeft aangegeven wat zijn bedoelingen zijn. De alternatieve appstore kan vervolgens worden gebruikt in plaats van de Apple App Store of als aanvulling op de Apple App Store.
Het is nog steeds onduidelijk welke apps deze alternatieve appstores bevatten, of wie er een zou willen openen. Het punt is dat deze appstores niet verplicht zijn om alle regels van Apple na te leven. Er wordt dus van hen verwacht dat ze diensten en technologie aanbieden die voorheen door Apple werden beperkt, met name betalingen buiten de App Store. Epic Games, samen met Spotify een van de belangrijkste lobbyisten achter de rechtszaak, gaat waarschijnlijk een appmarketplace opzetten, hoewel de meest recente gebeurtenis binnen het touwtrekken tussen Apple en Epic Games suggereert dat dit nog lang op zich kan laten wachten.
Belangrijk is dat Apple anarchie lijkt te willen voorkomen: om een appmarketplace te registreren, moet een maker een screening doorstaan en een documentair accreditief van € 1 miljoen verstrekken. Het uploaden van verschillende versies van dezelfde app naar zowel de App Store als alternatieve appstores is verboden. Als een ontwikkelaar zijn app in elke appstore wil publiceren, moet deze identiek zijn. Ten slotte moeten alle applicaties door Apple worden ‘gelegaliseerd’. Als het proces hetzelfde blijkt te zijn als bij de macOS-legalisatie en er geen handmatige beoordeling is, betekent dit dat Apple een geautomatiseerde scan op malware uitvoert en de naleving van bepaalde technische aanbevelingen controleert.
Gevolgen voor de veiligheid: iOS krijgt meer te maken met malware. Apple blijft de installatie van apps van derden gedeeltelijk reguleren. Je kunt namelijk niet zomaar op een knop in de instellingen tikken en een onbekende app van een louche website installeren, zoals op een Android-apparaat. Het geautomatiseerde scanproces dat door de Cupertino-ingenieurs is ontworpen voor appmarketplaces van derden kan echter nog gemakkelijker voor de gek worden gehouden dan de menselijke beheerders van de App Store. Dit betekent dat de hoeveelheid en verscheidenheid aan malware op iOS waarschijnlijk gaat toenemen.
Afgezien van de overduidelijke malware maakt Apple zich ook redelijk zorgen over het verhoogde risico dat er apps verschijnen met scamcontent en niet-transparante betalingsregelingen. Dit soort problemen kunnen niet worden gedetecteerd met geautomatiseerde scans.
Helaas helpen de nieuwe regels niet om anti-virus- en beveiligingsoplossingen op besturingssysteemniveau in Android-stijl beschikbaar te maken voor iOS, aangezien bij deze laatstgenoemde nog steeds de vereiste functionaliteit daarvoor ontbreekt. Daarom raden we je aan om er goed over na te denken als je appstores van derden wilt installeren en apps hiervan wilt downloaden. Het is waarschijnlijk veilig om een marketplace te installeren die door een groot bedrijf is gemaakt om een beroemd spel te downloaden met al tientallen miljoenen geregistreerde downloads. Het advies om waakzaam te blijven dat we eerder aan Android-gebruikers gaven, wordt nu echter ook relevant voor Europese iOS-gebruikers. Ter herinnering: vorig jaar waren er meer dan 600 miljoen downloads met malware via Google Play.
Gevolgen voor de privacy: Volgens Apple zijn trackingbeperkingen binnen apps dadelijk van toepassing op apps die worden gedownload uit appstores van derden. De privacygegevens van apps, die ontwikkelaars invullen voordat ze hun apps naar de App Store uploaden, zijn echter mogelijk minder volledig of bestaan zelfs niet in andere appstores.
Gevaren voor het ouderlijk toezicht. Hoewel schermtijdlimieten voor alle apps blijven werken, kunnen beperkingen op in-game- of gezinsaankopen en app-aankoopverzoeken waarvoor bevestiging van een ouder vereist is, niet goed werken of ontbreken in apps die zijn gedownload van alternatieve marketplaces.
Browsers van derden
Alternatieve browsers voor iOS bestaan al lang, maar voordat de DMA van kracht werd, waren het slechts skins rond de WebKit-engine van Apple. Dit was namelijk de enige beschikbare optie voor het weergeven van webinhoud op iOS. Apple staat nu andere engines toe, maar alleen nadat ze een speciale certificeringsprocedure hebben doorlopen. In werkelijkheid zijn de browserengines op andere platforms niet beter, omdat bijna elke ‘alternatieve’ browser is gebaseerd op Chromium-code (Blink-engine) die wordt onderhouden door Google. Gecko van Mozilla, dat wordt gebruikt in Firefox, heeft een aanzienlijk marktaandeel, maar dat is het zo ongeveer wat de consumentenopties betreft.
Zowel Google als Mozilla bereiden zich voor om Blink en Gecko op iOS te lanceren, dus het is zeer waarschijnlijk dat EU-gebruikers binnenkort volwaardige Firefox- en Chrome-browsers gaan zien. Wanneer gebruikers in de EU Safari voor de eerste keer openen (of een webpagina vanuit een willekeurige app) kunnen ze een standaardbrowser kiezen.
Gevolgen voor de veiligheid: dit heeft twee kanten, aangezien we bepaalde verbeteringen op het gebied van de veiligheid verwachten, en op andere gebieden een verslechtering. Naast de bekende WebKit-problemen zijn er mogelijk gebreken aanwezig in zowel Firefox als Chrome, en het valt nog te bezien hoe snel deze door hun respectievelijke ontwikkelaars worden opgelost. Ze hebben echter allebei een goede reputatie als het gaat om het patchen van kwetsbaarheden. Aan de andere kant waren zero-day-kwetsbaarheden in Apple-software, waaronder WebKit, altijd de belangrijkste vector voor aanvallen op iPhones met behulp van spyware. Dit waren zowel commerciële aanvallen, zoals met Pegasus, als gerichte aanvallen zoals met Triangulation. Tegenwoordig weten de ontwikkelaars achter deze aanvallen zeker dat de slachtoffers Safari/WebKit-browsers gebruiken. In het vervolg maakt de noodzaak om elke browseroptie te overwegen het een grotere uitdaging om deze aanvallen te ontwikkelen en uit te voeren.
Gevolgen voor de privacy: deze zijn afhankelijk van de alternatieve browser die je kiest. Als tegenhangers van Windows en macOS enige indicatie geven, zou het overstappen naar Firefox waarschijnlijk het privacyniveau verbeteren of dit op het niveau van Safari houden. Het gebruik van Chrome kan resulteren in verminderde privacy, zoals de anti-trackingtools en standaardinstellingen van deze browsers doen vermoeden.
Invloed op het ouderlijk toezicht: het is nog steeds onduidelijk hoe alternatieve browsers kinderen beschermen tegen ongewenste inhoud, maar het lijkt erop dat controles technisch moeilijker te configureren gaan zijn. Vandaar dat we twijfels hebben over de efficiëntie van deze alternatieve browsers.
Een merkbaar verlies
De DMA kan zowel goede als slechte gevolgen hebben voor Europese gebruikers. Wat dit laatste betreft: om de functionaliteit te implementeren die nodig is voor alternatieve browsers, schrapt Apple de ondersteuning voor progressieve webapps in de EU volledig. Hoewel deze apps in wezen webpagina’s zijn, zijn ze moeilijk te onderscheiden van volwaardige apps. Ze kunnen inhoud op apparaten opslaan, meldingen verzenden en zich op andere manieren zeer vergelijkbaar gedragen. Online winkels, tijdschriften en restaurants kiezen meestal voor progressieve webapps voor hun apps. Al deze mini-apps, die zo gemakkelijk aan het startscherm van een iPhone kunnen worden toegevoegd, werken niet meer in de EU na de volgende iOS-update. Niet elk bedrijf dat zijn apps met progressieve webapps heeft ingedekt, heeft voldoende tijd om zich aan de verandering aan te passen.
Beschikbaarheid van browsers en appmarketplaces van derden buiten de EU
Apple heeft veel moeite gedaan om ervoor te zorgen dat de nieuwe functionaliteit alleen beschikbaar is binnen de regio waar dit wettelijk verplicht is: de Europese Unie. Alleen gebruikers die in een van de 27 EU-lidstaten zijn geregistreerd, krijgen de iOS 17.4-updates die in dit artikel zijn beschreven. Inwoners van andere landen hebben geen last van de veranderingen, dus simpelweg een Nederlandse VPN aanzetten of op vakantie naar Cyprus gaan, is niet voldoende om de betreffende iOS-updates te krijgen. Bovendien verliezen EU-inwoners toegang tot app-updates van marketplaces van derden als ze langer dan 30 dagen het grondgebied van de Europese Unie verlaten. De updates worden weer beschikbaar zodra ze terugkeren.