開發(fā)者企業(yè)證書被濫用-App-Store上涉黃涉賭App泛濫-涉黃App-七億

開發(fā)者企業(yè)證書被濫用:AppStore上涉黃涉賭App泛濫|涉黃App七億

[摘要]TechCrunch在過去一周下載并驗證了12個色情應(yīng)用程序和12個賭博應(yīng)用程序。這些應(yīng)用程序濫用了蘋果的企業(yè)證書，提供了蘋果應(yīng)用商店禁止的應(yīng)用程序。

騰訊科技訊據(jù)外媒報道，F(xiàn)acebook和谷歌遠(yuǎn)遠(yuǎn)不是僅有的兩個公開濫用蘋果企業(yè)證書的應(yīng)用開發(fā)商。蘋果企業(yè)證書旨在讓企業(yè)提供員工專用的應(yīng)用程序。

科技博客TechCrunch的一項調(diào)查在蘋果應(yīng)用商店中發(fā)現(xiàn)了十幾個色情應(yīng)用程序和十幾個賭博應(yīng)用程序。這些應(yīng)用程序逃脫了蘋果的監(jiān)管。

開發(fā)商通過了蘋果企業(yè)證書薄弱的篩選程序，或者利用合法的批準(zhǔn)程序避開了AppStore和蘋果的旨在確保iOS應(yīng)用程序適合家庭下載使用的傳統(tǒng)安全措施。

在沒有適當(dāng)監(jiān)督的情況下，他們能夠操作這些公然違反蘋果內(nèi)容政策的涉黃涉毒應(yīng)用程序。

這種情況進(jìn)一步表明，蘋果忽視了監(jiān)管企業(yè)證書程序的責(zé)任，導(dǎo)致一些企業(yè)利用蘋果企業(yè)證書程序繞過其應(yīng)用商店的規(guī)則。

蘋果首席執(zhí)行官蒂姆-庫克(TimCook)經(jīng)常批評競爭對手濫用數(shù)據(jù)和政策失誤，比如Facebook被卷入“劍橋分析公司”(CambridgeAnalytica)數(shù)據(jù)丑聞。而現(xiàn)在，蘋果自己也未能發(fā)現(xiàn)和阻止這些色情和賭博應(yīng)用程序，這表明它自己也有很多工作要做。

蘋果企業(yè)證書政策未得到充分執(zhí)行

TechCrunch上周爆出消息稱，F(xiàn)acebook和谷歌違反了蘋果企業(yè)證書項目的規(guī)定，分發(fā)了安裝有VPN或要求網(wǎng)絡(luò)訪問根證書的應(yīng)用程序。這些應(yīng)用程序旨在收集用戶的所有上網(wǎng)信息和電話活動，以獲取競爭情報。

這導(dǎo)致蘋果短暫地撤銷了Facebook和谷歌的證書，從而讓這些公司合法的員工專用應(yīng)用程序也無法運行，這導(dǎo)致了這兩家公司內(nèi)部出現(xiàn)混亂。

蘋果發(fā)布了一份措辭強(qiáng)烈的聲明，稱“Facebook一直在利用其會員資格向消費者分發(fā)數(shù)據(jù)收集應(yīng)用程序，這明顯違反了他們與蘋果的協(xié)議。”

“任何使用他們的企業(yè)證書向消費者分發(fā)應(yīng)用程序的開發(fā)商都會被吊銷他們的證書。這就是我們在這種情況下為保護(hù)我們的用戶和他們的數(shù)據(jù)所做的事情。”

與此同時，數(shù)十個被禁止的應(yīng)用程序仍然可以從這些開發(fā)商的網(wǎng)站上進(jìn)行下載。

這個問題始于蘋果在企業(yè)證書計劃中采用了寬松的接納企業(yè)的標(biāo)準(zhǔn)。該計劃針對的是公司只向其員工分發(fā)的應(yīng)用程序，其政策明確規(guī)定“你們不得將你們內(nèi)部使用的應(yīng)用程序提供給你們的用戶使用?！?/p>

然而，蘋果并沒有充分執(zhí)行這些政策。

開發(fā)商只需填寫一份在線表格，然后向蘋果支付299美元即可。該表格只要求開發(fā)商承諾，它們正在開發(fā)一個僅供內(nèi)部員工使用的應(yīng)用程序，他們擁有注冊業(yè)務(wù)的合法權(quán)限，提供企業(yè)開發(fā)者賬號(D-U-N-S鄧白氏編碼)，并擁有最新的Mac電腦。

你可以輕易地通過谷歌搜索引擎查到一家企業(yè)的詳細(xì)地址信息，并查找他們的企業(yè)開發(fā)者賬號與蘋果提供的工具。

在建立蘋果賬戶并同意其服務(wù)條款后，企業(yè)等待一至四周就會接到蘋果電話，要求他們再次確認(rèn)他們只會在企業(yè)內(nèi)部分發(fā)應(yīng)用程序，并有權(quán)代表他們的業(yè)務(wù)。

只要在電話和網(wǎng)絡(luò)上撒幾個謊，再加上一些可通過谷歌搜索到的公共信息，開發(fā)商就能夠獲得蘋果企業(yè)證書。

涉黃涉賭App泛濫

考慮到大量違反蘋果政策的應(yīng)用程序正在分發(fā)給企業(yè)員工以外的人，很明顯，蘋果需要加強(qiáng)對企業(yè)證書計劃的監(jiān)督。

TechCrunch發(fā)現(xiàn)了數(shù)千個提供企業(yè)應(yīng)用程序下載的網(wǎng)站，僅對其中一個網(wǎng)站進(jìn)行調(diào)查就會發(fā)現(xiàn)很多濫用蘋果企業(yè)證書的現(xiàn)象。

使用標(biāo)準(zhǔn)的未越獄iPhone，TechCrunch在過去一周下載并驗證了12個色情應(yīng)用程序和12個賭博應(yīng)用程序。這些應(yīng)用程序濫用了蘋果的企業(yè)證書，提供了蘋果應(yīng)用商店禁止的應(yīng)用程序。

這些應(yīng)用程序要么提供在線直播或按次付費的色情內(nèi)容，要么允許用戶存錢、賭博和取款如果這些應(yīng)用程序是通過蘋果應(yīng)用商店分發(fā)的，那么它們都應(yīng)該被禁止。

在TechCrunch對Facebook和谷歌違反蘋果企業(yè)證書規(guī)定的行為進(jìn)行調(diào)查后，蘋果為了加大政策執(zhí)行力度，關(guān)閉了其中一些應(yīng)用程序。但仍有許多類似的應(yīng)用程序在運行。

TechCrunch發(fā)現(xiàn)的色情應(yīng)用程序目前包括Swag、PPAV、BananaVideo、iPorn(IP)、Pear、Poshow和AVBobo。而目前還可以運行的賭博應(yīng)用包括RD撲克和RiverPoker。

這些應(yīng)用程序的企業(yè)證書很少注冊到與其真正用途相關(guān)的公司名稱下。唯一的例子是Lucky8賭博應(yīng)用程序。

許多應(yīng)用程序都使用了無害的名稱，如Interprener、Mohajer國際通訊、Sungate和AsianLiveTech。

然而，另一些人似乎偽造或竊取了蘋果企業(yè)證書，以完全無關(guān)但卻合法的企業(yè)名義注冊登記。DragonGaming登記到美國礫石供應(yīng)商CSL-Loma名下。至于色情應(yīng)用，PPAV應(yīng)用程序的企業(yè)證書則登記到了南京建鄴區(qū)信息中心名下。

DouyinDidi應(yīng)用程序登記到了莫斯科摩托車公司AkuraOOO名下，中國應(yīng)用Pear則登記到了哥斯達(dá)黎加的GrupoArcaviSociedadAnonima公司名下，AVBobo應(yīng)用程序登記到了一家總部位于弗雷斯諾的一家名為ChaneyCabinet&FurnitureCo的公司名下。

下面是TechCrunch發(fā)現(xiàn)的違反蘋果政策的應(yīng)用程序完整列表：

蘋果拒絕解釋這些應(yīng)用程序是如何混入蘋果企業(yè)證書應(yīng)用程序中的。該公司拒絕透露是否對該項目的開發(fā)人員進(jìn)行了任何后續(xù)合規(guī)審計，也沒有說明是否計劃改變其企業(yè)會員接收程序。

不過，蘋果的一位發(fā)言人確實提供了如下聲明，表示該公司將致力于關(guān)閉這些應(yīng)用程序，并可能禁止相關(guān)開發(fā)者再開發(fā)iOS產(chǎn)品：

“濫用我們企業(yè)證書的開發(fā)商違反了蘋果開發(fā)者企業(yè)計劃的協(xié)議，他們的證書將被吊銷，如果必要，他們將被徹底從我們的開發(fā)者計劃中刪除。我們正不斷評估濫用我們規(guī)定的情況，并準(zhǔn)備立即采取行動?！?/p>

“貓捉老鼠的游戲”

TechCrunch要求GuardianMobileFirewall公司的安全專家威爾-斯特拉法(WillStrafach)查看其發(fā)現(xiàn)的應(yīng)用程序和它們的證書。斯特拉法對這些應(yīng)用程序的初步分析沒有發(fā)現(xiàn)任何明顯的證據(jù)表明這些應(yīng)用程序盜用了數(shù)據(jù)，但它們都違反了蘋果的企業(yè)證書政策，并提供了應(yīng)用程序商店禁止的內(nèi)容。

“目前，我已經(jīng)注意到，對于那些在獨立網(wǎng)站可以下載的應(yīng)用程序，蘋果的行動相對較慢?！?/p>

斯特拉法解釋了“很多用于簽署公開應(yīng)用程序的大量企業(yè)證書被私下稱為‘流氓證書’，因為它們通常與指定的公司無關(guān)。沒有確鑿的證據(jù)可以證實這些證書是如何獲得的，但個人確實可以獲得原本屬于一家公司的企業(yè)證書。然后，在一些市場上，企業(yè)證書簽名服務(wù)正在悄無聲息地銷售，導(dǎo)致有時會有5到10個(或更多)不同的應(yīng)用程序使用相同的企業(yè)證書進(jìn)行簽名?！?/p>

TechCrunch發(fā)現(xiàn)Sungate和Mohajer證書正是以這種方式外包給多個應(yīng)用程序使用的。

斯特拉法指出：“根據(jù)我的經(jīng)驗，獨立網(wǎng)站上提供的蘋果企業(yè)證書簽署的應(yīng)用程序，從某種意義上說并沒有對用戶構(gòu)成傷害，但是它們違反了蘋果的規(guī)定。然而，蘋果企業(yè)證書簽署的這些應(yīng)用程序可謂魚龍混雜。以Zoe為例，在許多情況下，我們已經(jīng)注意到這樣的應(yīng)用程序被插入了額外的跟蹤和廣告軟件代碼?！?/p>

有趣的是，我們發(fā)現(xiàn)的限制訪問的應(yīng)用程序中，沒有一個要求用戶安裝像谷歌Screenwise這樣的VPN，更不用說像FacebookResearch這樣的網(wǎng)絡(luò)訪問根證書。

TechCrunch本月報告稱，這兩個應(yīng)用程序都付錢給用戶，以換取他們的私人數(shù)據(jù)。但是，在TechCrunch曝光了iOS版本的違規(guī)行為后，它們被蘋果禁止了。蘋果還暫時關(guān)閉了Facebook和谷歌的僅限員工使用的iOS應(yīng)用程序權(quán)限，從而在Facebook和谷歌的辦公室造成了混亂。

事實上，這兩家美國科技巨頭在收集用戶數(shù)據(jù)方面比一些色情和賭博應(yīng)用程序更具侵略性。

“這是一個貓捉老鼠的游戲?！彼固乩ㄔ谡劦教O果努力屏蔽這些應(yīng)用程序時得出結(jié)論說。

但鑒于濫用活動的猖獗，蘋果似乎可以很容易地在其企業(yè)證書程序中添加更強(qiáng)大的驗證過程和更多的核驗流程。開發(fā)商應(yīng)該做更多的事情來證明他們的應(yīng)用程序與企業(yè)證書持有者的聯(lián)系，蘋果應(yīng)該定