北京时间2月13日午间消息,据美国科技媒体TechCrunch报道,滥用苹果开发者企业证书项目的开发者不仅仅是Facebook与谷歌。一项调查发现,十
北京时间2月13日午间消息,据美国科技媒体TechCrunch报道,滥用苹果开发者企业证书项目的开发者不仅仅是Facebook与谷歌。一项调查发现,十几个赤裸直白的色情应用与十几个现金赌博应用得以逃过苹果的监管。这些开发者要么利用苹果形同虚设的企业证书审查或依附合法审核,从而绕过App Store和公司为保持iOS生态环境健康的传统安全措施。没有合理的监管,这些开发者可以恣意运行明显违反苹果内容政策的有害应用。
这一情况进一步证明,苹果从未正视监管企业证书项目的责任,导致该项目被利用,以规避App Store上的规则和禁止类别。考虑到公司首席执行官蒂姆·库克(Tim Cook)经常公开批评竞争对手滥用数据等,苹果自己未能发现并禁止这些色情和赌博应用,表明公司自身也有诸多需要完善之处。
上周,TechCrunch曾报道,Facebook和谷歌违反了苹果的企业证书项目规则,发布可收集用户流量与收集活动的应用。这导致苹果短暂地撤销了两家公司的证书,从而使得公司合法的员工专用应用无法工作,进而造成公司内部混乱。苹果随后发布一份言辞激烈的声明,指责Facebook滥用特权,发布数据收集应用,违反与苹果的协议。还称,任何利用企业证书发布面向消费者应用的,证书将被撤销,以保护用户和他们的数据。然而,话虽如此,仍有很多被禁止的应用可以从隐藏的开发者网站上下载。
一切问题都源于苹果为企业项目制定的标准过于宽松。该项目的初衷是方便企业向发布仅限公司员工使用的应用,且其政策明确规定”企业不得使用或发布或以其他方式,允许其消费者访问内部应用”。但苹果并未充分执行这些政策。
根据Calvium的指南,开发者只需在线填写一份表格然后向苹果支付299美元即可申请该证书。表格仅要求开发者承诺他们开发的企业证书应用仅供内部员工使用,他们拥有注册业务的合法权限,并提供D-U-N-S企业号码,且拥有最新的Mac。设置好苹果账户,并同意该服务条款后,企业会在一到四周后接到苹果的电话,要求他们再次确认,他们仅在内部发布应用。
在电话和网络表格中撒几个谎,再加上网上可搜索到的公共信息,随便什么开发者都可以申请到苹果的企业证书。
考虑到违反企业证书政策之应用数量如此之多,很明显苹果需要加强对企业证书项目的监管。TechCrunch发现,成千上万个网站提供企业应用的下载,且这一次的调查仅挖掘了少数具有代表性的违法应用。TechCrunch在过去一周内,使用一台标准的非越狱iPhone,已下载并验证了12个色情应用和12个现金赌博应用。这些应用均利用苹果的企业证书系统,来提供App Store上禁止的应用。
在Facebook和谷歌被曝光违反企业证书政策后,苹果似乎在过去数天内已经禁用了部分类似应用,但仍有很多目前依旧可下载。
这些应用的企业证书持有公司的性质往往与他们的真实意图不符。很多应用都使用的是无伤大雅的名字,比如Mohajer International Communications(Mohajer国际交流)、太阳门与亚洲直播科技等。其他则通过伪造或盗取凭据,注册在根本不相关但合法的企业名下。
以下为TechCrunch发现的违反应用完整清单:
苹果拒绝解释这些应用究竟是如何成为企业证书签名应用的。公司也拒绝透露其是否对该项目中的开发者进行后续合规审查或是否有打算调整申请审核流程。但一名苹果发言人在给出的声明中表示,公司将关闭这些应用,并或可彻底禁止这些开发者开发iOS产品权限。
“滥用我们企业开发证书的开发者违反了苹果开发者企业账户协议,其拥有的证书将终止,且若适用,他们将完全从我们的开发者项目中移除。公司将不断评估滥用情况,并随时准备采取行动。”
TechCrunch还请Guardian Mobile Firewall的安全专家威尔·斯特拉法(Will Strafach)查看了其发现的应用及这些应用的证书。斯特拉法的初步分析并未发现任何明显证明,表明这些应用滥用数据,但这些应用确实全部都违反了苹果的证书政策并且提供的内容也是App Store明令禁止的。
斯特拉法称,“很多被用来注册外部可访问之应用的企业证书被在坊间被称为‘流氓证书’,因为这些证书通常与指定公司无任何瓜葛。尽管这些证书究竟是如何获得的没有确凿证据,但这些最终导致个人拥有企业证书控制权的初始步骤往往来自中国内地或者香港。”
“根据我的经验,独立网站上提供的企业证书签名应用通常对用户无恶意损害,仅仅是违反了某些规则而已,”斯特拉法说,“这些来自中国‘helper’工具的企业证书签名应用,是一个混合包。在多数情况下,我们发现这些嵌入额外跟踪和广告软件代码的应用重新打包后再次上线。”
有趣的是,TechCrunch发现的这些违禁应用均未要求用户安装类似Google Screenwise的VPN,更不用说类似Facebook Research的那种根网络访问。“这好比一场猫捉耗子游戏,”斯特拉法在谈及苹果打击这些应用时总结说。但是,鉴于滥用行为如此猖獗,苹果明显可以针对企业证书项目采取更为严格的审核流程以及实施更多的检查。比如,开发者须要进一步证明他们的应用与证书持有者之间的关系,以及苹果可以定期检查证书签名应用。
当Facebook未能及时阻止剑桥分析对公司平台的滥用时,库克曾被问及,如果他处在这个情况下会如何处理。库克回答:“我不会让自己陷入如此困境。”但倘若苹果无法清理iOS上的色情和赌博应用,库克再发表类似评论时或许难免会显得底气不足。
