开发者企业证书被滥用:App Store上涉黄涉赌App泛滥
据外媒报道,Facebook和谷歌远远不是仅有的两个公开滥用苹果企业证书的应用开发商。苹果企业证书旨在让企业提供员工专用的应用程序。
科技博客TechCrunch的一项调查在苹果应用商店中发现了十几个色情应用程序和十几个赌博应用程序。这些应用程序逃脱了苹果的监管。
开发商通过了苹果企业证书薄弱的筛选程序,或者利用合法的批准程序避开了App Store和苹果的旨在确保iOS应用程序适合家庭下载使用的传统安全措施。
在没有适当监督的情况下,他们能够操作这些公然违反苹果内容政策的涉黄涉毒应用程序。
这种情况进一步表明,苹果忽视了监管企业证书程序的责任,导致一些企业利用苹果企业证书程序绕过其应用商店的规则。
苹果首席执行官蒂姆-库克(Tim Cook)经常批评竞争对手滥用数据和政策失误,比如Facebook被卷入“剑桥分析公司”(Cambridge Analytica)数据丑闻。而现在,苹果自己也未能发现和阻止这些色情和赌博应用程序,这表明它自己也有很多工作要做。
苹果企业证书政策未得到充分执行
TechCrunch上周爆出消息称,Facebook和谷歌违反了苹果企业证书项目的规定,分发了安装有VPN或要求网络访问根证书的应用程序。这些应用程序旨在收集用户的所有上网信息和电话活动,以获取竞争情报。
这导致苹果短暂地撤销了Facebook和谷歌的证书,从而让这些公司合法的员工专用应用程序也无法运行,这导致了这两家公司内部出现混乱。
苹果发布了一份措辞强烈的声明,称“Facebook一直在利用其会员资格向消费者分发数据收集应用程序,这明显违反了他们与苹果的协议。”
“任何使用他们的企业证书向消费者分发应用程序的开发商都会被吊销他们的证书。这就是我们在这种情况下为保护我们的用户和他们的数据所做的事情。”
与此同时,数十个被禁止的应用程序仍然可以从这些开发商的网站上进行下载。
这个问题始于苹果在企业证书计划中采用了宽松的接纳企业的标准。该计划针对的是公司只向其员工分发的应用程序,其政策明确规定“你们不得将你们内部使用的应用程序提供给你们的用户使用。”
然而,苹果并没有充分执行这些政策。
开发商只需填写一份在线表格,然后向苹果支付299美元即可。该表格只要求开发商承诺,它们正在开发一个仅供内部员工使用的应用程序,他们拥有注册业务的合法权限,提供企业开发者账号(D-U-N-S邓白氏编码),并拥有最新的Mac电脑。
你可以轻易地通过谷歌搜索引擎查到一家企业的详细地址信息,并查找他们的企业开发者账号与苹果提供的工具。
在建立苹果账户并同意其服务条款后,企业等待一至四周就会接到苹果电话,要求他们再次确认他们只会在企业内部分发应用程序,并有权代表他们的业务。
只要在电话和网络上撒几个谎,再加上一些可通过谷歌搜索到的公共信息,开发商就能够获得苹果企业证书。
涉黄涉赌App泛滥
考虑到大量违反苹果政策的应用程序正在分发给企业员工以外的人,很明显,苹果需要加强对企业证书计划的监督。
TechCrunch发现了数千个提供企业应用程序下载的网站,仅对其中一个网站进行调查就会发现很多滥用苹果企业证书的现象。
使用标准的未越狱iPhone,TechCrunch在过去一周下载并验证了12个色情应用程序和12个赌博应用程序。这些应用程序滥用了苹果的企业证书,提供了苹果应用商店禁止的应用程序。
这些应用程序要么提供在线直播或按次付费的色情内容,要么允许用户存钱、赌博和取款——如果这些应用程序是通过苹果应用商店分发的,那么它们都应该被禁止。
在TechCrunch对Facebook和谷歌违反苹果企业证书规定的行为进行调查后,苹果为了加大政策执行力度,关闭了其中一些应用程序。但仍有许多类似的应用程序在运行。
TechCrunch发现的色情应用程序目前包括Swag、PPAV、Banana Video、iPorn(IP)、Pear、Poshow和AVBobo。而目前还可以运行的赌博应用包括RD扑克和RiverPoker。
这些应用程序的企业证书很少注册到与其真正用途相关的公司名称下。唯一的例子是Lucky8赌博应用程序。
许多应用程序都使用了无害的名称,如Interprener、Mohajer国际通讯、Sungate和AsianLiveTech。
然而,另一些人似乎伪造或窃取了苹果企业证书,以完全无关但却合法的企业名义注册登记。Dragon Gaming登记到美国砾石供应商CSL-Loma名下。至于色情应用,PPAV应用程序的企业证书则登记到了南京建邺区信息中心名下。
Douyin Didi应用程序登记到了莫斯科摩托车公司Akura OOO名下,中国应用Pear则登记到了哥斯达黎加的Grupo Arcavi Sociedad Anonima公司名下,AVBobo应用程序登记到了一家总部位于弗雷斯诺的一家名为Chaney Cabinet & Furniture Co的公司名下。
苹果拒绝解释这些应用程序是如何混入苹果企业证书应用程序中的。该公司拒绝透露是否对该项目的开发人员进行了任何后续合规审计,也没有说明是否计划改变其企业会员接收程序。
不过,苹果的一位发言人确实提供了如下声明,表示该公司将致力于关闭这些应用程序,并可能禁止相关开发者再开发iOS产品:
“滥用我们企业证书的开发商违反了苹果开发者企业计划的协议,他们的证书将被吊销,如果必要,他们将被彻底从我们的开发者计划中删除。我们正不断评估滥用我们规定的情况,并准备立即采取行动。”
“猫捉老鼠的游戏”
TechCrunch要求Guardian Mobile Firewall公司的安全专家威尔-斯特拉法(Will Strafach)查看其发现的应用程序和它们的证书。斯特拉法对这些应用程序的初步分析没有发现任何明显的证据表明这些应用程序盗用了数据,但它们都违反了苹果的企业证书政策,并提供了应用程序商店禁止的内容。
“目前,我已经注意到,对于那些在独立网站可以下载的应用程序,苹果的行动相对较慢。”
斯特拉法解释了“很多用于签署公开应用程序的大量企业证书被私下称为‘流氓证书’,因为它们通常与指定的公司无关。没有确凿的证据可以证实这些证书是如何获得的,但个人确实可以获得原本属于一家公司的企业证书。然后,在一些市场上,企业证书签名服务正在悄无声息地销售,导致有时会有5到10个(或更多)不同的应用程序使用相同的企业证书进行签名。”
TechCrunch发现Sungate和Mohajer证书正是以这种方式外包给多个应用程序使用的。
斯特拉法指出:“根据我的经验,独立网站上提供的苹果企业证书签署的应用程序,从某种意义上说并没有对用户构成伤害,但是它们违反了苹果的规定。然而,苹果企业证书签署的这些应用程序可谓鱼龙混杂。以Zoe为例,在许多情况下,我们已经注意到这样的应用程序被插入了额外的跟踪和广告软件代码。”
有趣的是,我们发现的限制访问的应用程序中,没有一个要求用户安装像谷歌Screenwise这样的VPN,更不用说像Facebook Research这样的网络访问根证书。
TechCrunch本月报告称,这两个应用程序都付钱给用户,以换取他们的私人数据。但是,在TechCrunch曝光了iOS版本的违规行为后,它们被苹果禁止了。苹果还暂时关闭了Facebook和谷歌的仅限员工使用的iOS应用程序权限,从而在Facebook和谷歌的办公室造成了混乱。
事实上,这两家美国科技巨头在收集用户数据方面比一些色情和赌博应用程序更具侵略性。
“这是一个猫捉老鼠的游戏。”斯特拉法在谈到苹果努力屏蔽这些应用程序时得出结论说。
但鉴于滥用活动的猖獗,苹果似乎可以很容易地在其企业证书程序中添加更强大的验证过程和更多的核验流程。开发商应该做更多的事情来证明他们的应用程序与企业证书持有者的联系,苹果应该定期审核其企业证书,看看他们支持的是哪种应用程序。
当Facebook卷入剑桥分析公司数据丑闻的时候,有人问库克,如果他处于马克-扎克伯格的处境,那么他应该怎么做。库克坦率地回答说:“我不会让自己陷入这种困境。”
但如果苹果不能让色情和赌场应用程序远离iOS,那么库克也许就没有资格教训别人了。