iOS erlaubt in Japan erstmals alternative Browser-Engines

(developer.apple.com)

8 Punkte von GN⁺ 2026-01-02 | Noch keine Kommentare. | Auf WhatsApp teilen

Apps für Nutzer in Japan können unter iOS 26.2 und höher andere Browser-Engines als WebKit verwenden; erlaubt sind zwei Arten: vollständige Browser-Apps und Apps mit eingebetteter Browser-Engine
Apple gewährt genehmigten Entwicklern Zugriff auf Systemtechnologien für die Implementierung leistungsfähiger Browser-Engines, darunter JIT-Kompilierung und Multiprozess-Unterstützung
Wegen der Sicherheitsrisiken erteilt Apple diese Berechtigung nur Entwicklern, die strenge Sicherheits- und Datenschutzanforderungen erfüllen und fortlaufende Sicherheitsupdates zusagen
Sowohl Browser-Apps als auch In-App-Browsing-Apps müssen detaillierte Kriterien wie Test-Erfolgsquote, Speichersicherheit, Reaktion auf Schwachstellen und Richtlinien zum Blockieren von Cookies erfüllen
Die Maßnahme wird als politische Änderung bewertet, die im japanischen Markt die Auswahl bei Browser-Engines erweitert und zugleich die Sicherheit der Nutzer wahren soll

Überblick über die Zulassung alternativer Browser-Engines in iOS 26.2

In Versionen ab iOS 26.2 ist für Nutzer in Japan die Verwendung anderer Browser-Engines als WebKit zulässig
- Zugelassen sind zwei App-Typen:
  1. Dedizierte Browser-App (bietet ein vollständiges Web-Browsing-Erlebnis)
  2. In-App-Browsing-App eines browser engine steward (verwendet eine eingebettete Engine)
Apple gewährt genehmigten Entwicklern Zugriff auf zentrale Systemtechnologien wie JIT-Kompilierung und Multiprozess-Unterstützung
Da Browser-Engines schädlichen Inhalten und sensiblen Nutzerdaten ausgesetzt sind, genehmigt Apple nur Entwickler, die bestimmte Kriterien erfüllen und laufende Sicherheitsanforderungen einhalten

Mit dieser Berechtigung können Browser-Apps entwickelt werden, die alternative Browser-Engines verwenden
- Vor der Beantragung müssen die Voraussetzungen geprüft und anschließend ein Antrag bei Apple eingereicht werden
- Als technische Referenzen werden BrowserEngineKit, BrowserEngineCore und der Leitfaden zur Konfiguration des Standardbrowsers bereitgestellt

Die App darf nur für iOS in Japan vertrieben werden und muss als separate Binärdatei von anderen Apps aufgebaut sein, die eine vom System bereitgestellte Engine verwenden
Die App muss über das Default Browser Entitlement verfügen
Funktionsanforderungen:
- mindestens 90 % bei Web Platform Tests, mindestens 80 % bei Test262
- Dieselben Anforderungen müssen auch bei deaktiviertem JIT (z. B. im Lockdown Mode) erfüllt werden

Einführung eines sicheren Entwicklungsprozesses und Überwachung von Schwachstellen in der Lieferkette
Bereitstellung einer URL für die Richtlinie zur Offenlegung von Schwachstellen sowie eines Meldekanals für Dritte
Pflicht zu schneller Reaktion, darunter Maßnahmen zur Eindämmung von Schwachstellen innerhalb von 30 Tagen
Betrieb einer Seite zur Offenlegung behobener Schwachstellen
Veröffentlichung der Richtlinie für Root-Zertifikate und Teilnahme am CA/Browser Forum
Unterstützung aktueller TLS-Protokolle ist verpflichtend

Verwendung einer speichersicheren Sprache oder von Sicherheitsfunktionen
Einsatz aktueller Schutzmechanismen wie Pointer Authentication Codes (PAC) und Memory Integrity Enforcement (MIE)
Prozesstrennung und Verifikation von IPC, vorrangige Behebung von Schwachstellen
Keine Verwendung von Bibliotheken, deren Sicherheitsupdates eingestellt wurden

Drittanbieter-Cookies standardmäßig blockieren, nur mit Zustimmung des Nutzers zulassen
Speicherisolierung pro Website und Blockierung von websiteübergreifendem Zugriff
Keine Synchronisierung des Status zwischen Apps, nur mit ausdrücklicher Zustimmung des Nutzers erlaubt
Keine Weitergabe von Gerätekennungen, Kennzeichnung im App Privacy Report ist verpflichtend
APIs für den Zugriff auf PII erfordern Nutzeraktivierung und Zustimmung

Eine alternative Browser-Engine kann in eine App eingebettet werden, um Webinhalte anzuzeigen
- In-App-Browsing ist auf die Anzeige von Inhalten beschränkt, die auch in einem Webbrowser zugänglich sind
- Die UI muss den Großteil des Bildschirms einnehmen und einen Button zum Öffnen im Standardbrowser sowie die Anzeige von Domain/URL enthalten

Der Antragsteller muss ein browser engine steward sein
- eine Organisation, die direkt die Verantwortung für Betrieb und Sicherheitsreaktionen der Engine trägt
- es muss sich um eine separate Engine mit unabhängiger Architektur und Unterstützung für Web APIs handeln

Sicherer Entwicklungsprozess, Richtlinie zur Offenlegung von Schwachstellen, Reaktion innerhalb von 30 Tagen, TLS-Unterstützung usw. wie bei dedizierten Browser-Apps
Pflicht zur Verwendung speichersicherer Sprachen, zum Einsatz aktueller Sicherheitsmechanismen und zur vorrangigen Behebung von Schwachstellen
Keine Verwendung von Bibliotheken, deren Sicherheitsupdates eingestellt wurden

Blockierung von Drittanbieter-Cookies, Speicherisolierung pro Website, keine Weitergabe von Gerätekennungen
Kennzeichnung im App Privacy Report sowie Nutzerzustimmung beim Zugriff auf PII erforderlich

Bei der Einreichung der App müssen Name und Versionsnummer der eingebetteten Engine angegeben werden
Nach Veröffentlichung einer neuen Engine-Version muss innerhalb von 15 Tagen ein App-Update eingereicht werden

Secure SDLC: sicherheitsorientierte Entwicklung mit Bedrohungsmodellierung, Code-Audits, Fuzzing-Tests usw. empfohlen
Memory Safety: Nutzung der standardmäßigen Speichersicherheit von Swift sowie von std::span und der Option -fbounds-safety in C/C++
Vulnerability Management: Verwaltung veröffentlichter Schwachstellen auf Basis von CVE-ID und schnelle Bereitstellung von Patches erforderlich
Network Security: Verwendung des Network framework und der SecTrust API des iOS SDK empfohlen
- Unterstützung für TLS 1.2 und 1.3 ist verpflichtend; bei Verwendung älterer Protokolle ist eine Nutzerwarnung erforderlich