被色情和赌博应用滥用的苹果企业证书

下一篇文章

蒂姆·库克投资的淋浴初创公司 Nebia 推出二代节水花洒

被色情和赌博应用滥用的苹果企业证书

Facebook 和谷歌远远不是仅有的两家 滥用苹果“企业证书”计划 的应用开发者。苹果这项计划目的是为了帮助企业提供员工专用的应用。TechCrunch 在一项调查中发现,数十个色情应用和赌博应用通过这种方式逃脱了苹果的审查。这些应用的开发者通过了苹果孱弱的企业证书审核流程,或是借用了合法证书,从而避开 App Store 和苹果传统的家庭用户保护措施。在没有适当监督的情况下,这些开发者可以运营公然违反苹果内容政策的色情应用。

这种情况进一步表明,苹果未能很好地承担对企业证书计划的管理责任,导致有人利用该计划,绕开了应用商店的规则。苹果 CEO 蒂姆·库克(Tim Cook)经常批评竞争对手滥用数据和政策失误,例如 Facebook 在剑桥分析丑闻中的做法。然而,苹果也未能发现并拦截这些色情和赌博应用,这表明该公司有自己的工作要做。

TechCrunch上周报道 称,Facebook 和谷歌违反了苹果企业证书计划的规定,分发安装 VPN 或要求根网络权限的应用。这些应用会收集用户流量以及在手机上的操作,以获取竞争情报。苹果短暂撤销了 Facebook 和谷歌的证书,导致这些公司合法的员工专用应用无法使用,引发了混乱。

苹果随后还发表了措辞激烈的声明,称“Facebook 一直在利用其成员资格,向用户分发会收集数据的应用,这样做明显违反了与苹果之间的协议。任何使用企业证书向用户分发应用的开发者都会被吊销证书,在这起事件中我们也在这样做,以保护我们的用户和他们的数据。”然而,数十个被禁止的应用仍可以通过这种方式,从可疑开发者的网站上下载。

问题根源是苹果企业计划的宽松标准。该计划面向只提供给员工的企业应用,其政策明确规定“不得使用、分发或以其他方式使你的内部应用被外部用户使用”。然而,苹果并未充分执行这些政策。

开发者只需填写在线表格,随后向苹果支付 299 美元即可(详情请参考 Calvium 的这份指南)。该表格要求开发者承诺,正在开发的企业证书应用仅供内部员工使用,他们有法律权限去注册该公司,能提供 D-U-N-S 企业识别号,并拥有最新的 Mac 电脑。你可以很容易地通过谷歌找到某家企业的详细地址,并使用苹果提供的工具查找它们的 D-U-N-S 识别号。在设置 Apple ID 并同意服务条款后,企业需要等待一到四周,随后苹果会致电确认,这些应用只会在企业内部分发,而开发者有权代表该企业。

只需要在电话中和网上撒几个谎,再加上一些可以谷歌搜索到的公开信息,开发者就能获得苹果企业证书的批准。

目前,许多违规应用被分发给与开发者企业无关的用户,因此很明显苹果需要加强对企业证书计划的监督。TechCrunch 已经发现数千个提供此类企业应用下载的网站,仅仅对其中一个样本进行调查就发现了许多滥用行为。使用标准的未越狱 iPhone,TechCrunch 在过去一周中下载并验证了 12 个色情应用和 12 个赌博应用。这些应用滥用了苹果的企业证书系统,提供被 App Store 禁止的应用。这些应用要么提供按观看付费的色情内容,要么就允许用户存钱赌博。如果需要通过 App Store,那么所有这些应用都会被封禁。

在 TechCrunch 对 Facebook 和谷歌的企业证书违规行为进行调查之后,苹果似乎加大了审核力度,在过去几天中封禁了一些应用,但还有许多应用仍然存在。我们发现,目前还可以使用的色情应用包括 Swag、PPAV、Banana Video、iPorn(iP)、Pear、Poshow 和 AVBobo,目前仍可以使用的赌博应用包括 RD Poker 和 RiverPoker。

这里所有的应用都是在 App Store 之外下载的

这些应用使用的企业证书很少能反映应用的真实目的。唯一的例外是赌博应用 Lucky8。许多应用都使用了看起来无害的名称,例如 Interprener、Mohajer 国际通信、Sungate 和 AsianLiveTech。还有些应用似乎伪造或窃取了其他公司的信息,以完全无关但合法的企业名义去申请证书。Dragon Gaming 注册到了美国砾石供应商 CSL-LOMA 名下。至于色情应用,PPAV 使用的证书是分配给南京市建邺区信息中心的,Douyin Didi 使用了莫斯科摩托车公司 Akura OOO 的证书,中文应用 Pear 注册到了哥斯达黎加的 Grupo Arcavi Sociedad Anonima,而 AVBobo 通过一家总部位于弗雷斯诺、名为 Chaney 橱柜家具的公司来掩盖踪迹。

以下你可以查看我们发现的违规应用完整列表:

苹果拒绝解释,这些应用是如何进入企业证书项目的,也拒绝透露是否对参与该项目的开发者进行过任何后续合规审核,以及该公司是否计划调整审批程序。不过,苹果发言人提供了以下声明,表示将努力封禁这些应用,并可能彻底禁止相关开发者开发 iOS 产品:

“滥用我们企业证书的开发者违反了苹果开发者企业项目协议,他们的证书将被终止。在适当情况下,他们将在我们的开发者项目中被彻底除名。我们正持续评估滥用情况,并准备好采取立即行动。”

TechCrunch 邀请 Guardian Mobile Firewall 的信息安全专家威尔·斯特拉法赫(Will Strafach)查看我们发现的应用及其证书。斯特拉法赫对这些应用的初步分析没有发现,有任何证据表明这些应用滥用了数据,但都违反了苹果的证书政策,并提供被 App Store 禁止的内容。

斯特拉法赫介绍,许多企业证书被用于给公开应用签名,这些证书也因此被称作“流氓证书”,因为它们通常与名义上的公司无关。没有确凿事实可以证实这些证书的来源,但第一步的结果是,个人能获得属于某家公司(通常是中国大陆或香港的公司)的控制权。随后,代码服务会在中文市场上悄悄地销售,导致有些时候会有 5 到 10 个,甚至更多应用使用相同的企业证书。我们发现的 Sungate 和 Mohajer 的证书正是以这种方式被多个应用使用。

斯特拉法赫表示:“根据我的经验,独立网站上提供的企业证书签名应用从某种意义上来说对用户并没有危害,只是违反了规则。然而来自一些中文助手工具的企业证书签名应用可能存在问题。以 Zoe 为例,在许多情况下,我们已经注意到,此类应用存在额外的追踪和广告软件代码。”

有趣的是,在我们发现的此类应用中,没有应用要求用户安装像谷歌 Screenwise 这样的 VPN 工具,更不用说像 Facebook Research 一样的根网络访问权限。TechCrunch 本月早些时候报道称,这两款应用都在付费让用户提供自己的个人数据。在违规行为被曝光之后,这两款应用都已经 被苹果禁止 。实际上,这两家美国科技巨头在收集用户数据方面比可疑的中文色情和赌博应用更具危害性。斯特拉法赫认为,“这是一场猫捉老鼠的游戏。”然而考虑到滥用行为非常猖獗,苹果似乎应该在该项目中引入更强大的验证程序和更多审核工作。开发者需要做得更多,来证明他们的应用与证书持有者是相关的,而苹果应该定期审核证书,看看证书被用于什么样的应用。

对于 Facebook 的剑桥分析丑闻,库克 曾回应 :“我们不会处于这样的情况。”然而如果苹果无法让色情内容和赌场远离 iOS,那么库克或许也不应该教训其他人。

翻译:维金

Apple fails to block porn & gambling ‘Enterprise’ apps