computerwoche.de

Mobile & Apps

Softwareaktualisierung auf iPhone und iPad blockieren

So verhindern Sie iOS-Updates

15.09.2017
Von   
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Alle Posts des Autors Email:
Auch wenn iOS-Geräte – im Gegensatz zu den meisten Android-Devices – den großen Vorteil aufweisen, dass sie noch Jahre später Firmware-Updates erhalten: Gerade im Business-Umfeld gibt es Gründe, warum die IT-Abteilung (vorübergehend) unterbinden will, dass Firmen-iPhones und -iPads das aktuelle Betriebssystem aufgespielt bekommen. Hier einige Möglichkeiten.

Prinzipiell ist das Update auf die neueste verfügbare Version des Betriebssystems für iPhone und iPad eine gute Sache. Die Geräte erhalten nicht nur neue Funktionen, es werden häufig auch (kritische) Sicherheitslücken in iOS gestopft.

Es gibt allerdings auch Gründe, die dagegen sprechen, ein Update durchzuführen - zumindest vorübergehend. So schneidet iOS 11 beispielsweise den Support für 32-Bit-Apps ab. Sollten Sie diese vorerst weiter verwenden wollen, wäre das Unterbinden eines Software-Updates eine gute Übergangslösung, bis etwa die Apps auf den neuesten Stand gebracht und verteilt wurden.

Was sich als (temporäre) gute Idee anhört, wird in der Praxis von Apple allerdings nicht angeboten. Es gibt jedoch einige Maßnahmen, die Anwender und/oder Firmen ergreifen können, um die Updates auf den verantworteten Geräten zu unterbinden.

Insbesondere für iPad-Nutzer ist das Update auf iOS 11 attraktiv.
Insbesondere für iPad-Nutzer ist das Update auf iOS 11 attraktiv.
Foto: Apple

1. Optische Anzeige eines anstehenden Updates verhindern

Administratoren können auf via Mobile Device Management (MDM) verwalteten Geräten die Funktion "Push Benachrichtigung" für die App "Einstellungen" deaktivieren. Dies hat zur Folge, dass der Anwender keine optischen Hinweise auf das Update erhält. Ruft der Nutzer auf seinem iPhone oder iPad allerdings selbst den Dialog Einstellungen -> Allgemein -> Softwareupdate auf, kann er die neue iOS-Version jedoch weiterhin auf seinem Gerät installieren.

Unternehmen, die keine MDM-Lösung im Einsatz haben, können über den Apple-Configurator (AC2), der kostenlos im Mac AppStore verfügbar ist, ebenfalls ein Konfigurationsprofil mit dieser Einstellung erzeugen. Dieses Konfigurationsprofil kann anschließend beispielsweise per E-Mail an die jeweiligen Geräte geschickt werden, damit diese Information ausgeblendet wird.

Via MDM oder den Apple Configurator lässt sich verhindern, dass Hinweise auf Updates angezeigt werden.
Via MDM oder den Apple Configurator lässt sich verhindern, dass Hinweise auf Updates angezeigt werden.

2. Automatischen Download verhindern

Damit das iPhone oder iPad die Datei nicht ein anstehendes Update auf das Gerät lädt und damit Platz verbraucht, lässt sich auch der automatische Download deaktivieren. Im Bereich Einstellungen -> iTunes & App Store können Sie in im Untermenü "Automatische Downloads" das eigenständige Laden von Updates ausschalten.

Einmal geladene Updates können, falls Sie den Speicherplatz freigeben wollen, ebenfalls gelöscht werden. Dazu öffnen Sie in den Einstellungen -> Allgemein den Bereich "Speicher- & iCloud-Nutzung". Unter "Speicher verwalten" lässt sich das anstehende Update auswähle und löschen.

3. Umleiten des Update-Servers

Eine nahezu todsichere Methode, das ungewollte Installieren einer neuen iOS-Version zu verhindern, ist die Umleitung des Update-Servers. Hintergrund ist, dass von iOS viele unterschiedliche Ableger existieren. Die Derivate tvOS und watchOS haben enge Verwandtschaft mit iOS selbst. Haben Sie Zugriff auf das Entwicklerportal (developer.apple.com), können Sie aktuell die Möglichkeit, Konfigurationsprofile herunterzuladen, um am Beta-Programm neuer Softwareversionen von iOS, macOS und tvOS teilzunehmen.

Laden Sie das Konfigurationsprofil für tvOS herunter und verteilen Sie dieses per MDM oder E-Mail an Ihre Geräte. iOS sucht nun auf dem tvOS-Updateserver nach neuen iOS Versionen - natürlich vergeblich. Das Ganze kann natürlich auch wieder rückgängig gemacht werden, indem man das Konfigurationsprofil einfach wieder löscht.

Gewusst wie: Anstelle von iOS 11 das Konfigurationsprofil für tvOS laden.
Gewusst wie: Anstelle von iOS 11 das Konfigurationsprofil für tvOS laden.

4. Sperren des Update-Servers

Eine weitere Möglichkeit, das Update komplett zu verhindern ist, den Zugang zum Update-Server zu sperren. Hierzu können Administratoren über ein IKEv2 VPN oder durch eine Global Proxy Proxy.PAC Auto-Konfiguration den Zugriff auf den Updateserver (mesu.apple.com) auf localhost (127.0.0.1:8080) umleiten.

Beipiel für proxy.pac

function FindProxyForURL(url, host)If (host =="mesu.apple.com") return "PROXY 127.0.0.1:8080";else return "DIRECT"; }

Fazit

Es gibt ein paar Wege, die einem die Chance geben, das nächste iOS-Update zu verhindern. Grundsätzlich bin ich aber kein Freund davon, eher im Gegenteil: Dass man mit dieser Praxis, auf neue Funktionen und Features verzichtet, ist nur ein Punkt und möglicherweise vernachlässigbar. Es ist allerdings hochgradig riskant, die in der neuen Version eingeschlossenen Sicherheits-Updates auszusetzen.

Da es sicherlich Gründe geben mag, habe ich die mir bekannten Optionen in diesem Artikel zusammengefasst. Diese erheben keinen Anspruch auf Vollständigkeit. Auch gibt es keine Garantie, dass diese zu 100% funktionieren, da sich das System (mit jedem Update) ändert und sich neue Chancen und Herausforderungen ergeben.