最新消息2月13日消息 事实证明,滥用Apple的企业证书计划的不仅仅有Facebook和谷歌,大量色情和赌博应用同样利用该计划来分发没有通过App Store审批流程的应用程序。
外媒Techcrunch发现,数百家公司正在使用专为内部使用而设计的证书系统向公众分发色情和赌博应用程序。他们调查发现了十几个色情应用程序和十几个赌博应用程序,这些应用程序逃脱了苹果的监管。这些开发人员通过了Apple的企业证书筛选流程,或者依靠合法的批准,允许他们回避App Store和Cupertino的传统安全措施。如果没有适当的监督,他们就能够运行这些公然违反苹果内容政策的恶意应用程序。
这一情况进一步证明,苹果从未正视监管企业证书项目的责任,导致该项目被利用,以规避App Store上的规则和禁止类别。考虑到公司首席执行官蒂姆·库克(Tim Cook)经常公开批评竞争对手滥用数据等,苹果自己未能发现并禁止这些色情和赌博应用,表明公司自身也有诸多需要完善之处。
▲图自TechCrunch
根据Calvium的指南,开发者只需在线填写一份表格然后向苹果支付299美元即可申请该证书。表格仅要求开发者承诺他们开发的企业证书应用仅供内部员工使用,他们拥有注册业务的合法权限,并提供D-U-N-S企业号码,且拥有最新的Mac。设置好苹果账户,并同意该服务条款后,企业会在一到四周后接到苹果的电话,要求他们再次确认,他们仅在内部发布应用。
在电话和网络表格中撒几个谎,再加上网上可搜索到的公共信息,随便什么开发者都可以申请到苹果的企业证书。
获得证书后,它经常被多个不相关的发布者使用。可从网站下载到的应用程序包括Swag,PPAV,Banana Video,iPorn(iP),Pear,Poshow和AVBobo,RD Poker和RiverPoke,这些应用都违反了苹果的内容政策。
以下为TechCrunch发现的违反应用完整清单:
▲图自TechCrunch
苹果公司表示他们将调查滥用行为,并表示:
滥用我们企业证书的开发人员违反了Apple Developer Enterprise计划协议,我们会终止其证书,并且如果合适,他们在开发人员计划中完全被去除。我们会不断评估滥用情况,并时刻准备采取行动。
TechCrunch还请Guardian Mobile Firewall的安全专家威尔·斯特拉法(Will Strafach)查看了其发现的应用及这些应用的证书。斯特拉法的初步分析并未发现任何明显证明,表明这些应用滥用数据,但这些应用确实全部都违反了苹果的证书政策并且提供的内容也是App Store明令禁止的。
斯特拉法称,“很多被用来注册外部可访问之应用的企业证书被在坊间被称为‘流氓证书’,因为这些证书通常与指定公司无任何瓜葛。尽管这些证书究竟是如何获得的没有确凿证据,但这些最终导致个人拥有企业证书控制权的初始步骤往往来自中国内地或者香港。”
“根据我的经验,独立网站上提供的企业证书签名应用通常对用户无恶意损害,仅仅是违反了某些规则而已,”斯特拉法说,“这些来自中国‘helper’工具的企业证书签名应用,是一个混合包。在多数情况下,我们发现这些嵌入额外跟踪和广告软件代码的应用重新打包后再次上线。”
▲图自TechCrunch
有趣的是,TechCrunch发现的这些违禁应用均未要求用户安装类似Google Screenwise的VPN,更不用说类似Facebook Research的那种根网络访问。“这好比一场猫捉耗子游戏,”斯特拉法在谈及苹果打击这些应用时总结说。但是,鉴于滥用行为如此猖獗,苹果明显可以针对企业证书项目采取更为严格的审核流程以及实施更多的检查。比如,开发者须要进一步证明他们的应用与证书持有者之间的关系,以及苹果可以定期检查证书签名应用。
当Facebook未能及时阻止剑桥分析对公司平台的滥用时,库克曾被问及,如果他处在这个情况下会如何处理。库克回答:“我不会让自己陷入如此困境。”但倘若苹果无法清理iOS上的色情和赌博应用,库克再发表类似评论时或许难免会显得底气不足。