《开发者企业证书被滥用_App_Store涉黄赌应用泛滥》(2)
来源:未知 时间:2019-02-14 13:55
在电话和网络表格中撒几个谎,再加上网上可搜索到的公共信息,随便什么开发者都可以申请到苹果的企业证书。
考虑到违反企业证书政策之应用数量如此之多,很明显苹果需要加强对企业证书项目的监管。TechCrunch发现,成千上万个网站提供企业应用的下载,且这一次的调查仅挖掘了少数具有代表性的违法应用。TechCrunch在过去一周内,使用一台标准的非越狱iPhone,已下载并验证了12个色情应用和12个现金赌博应用。这些应用均利用苹果的企业证书系统,来提供AppStore上禁止的应用。
在Facebook和谷歌被曝光违反企业证书政策后,苹果似乎在过去数天内已经禁用了部分类似应用,但仍有很多目前依旧可下载。
这些应用的企业证书持有公司的性质往往与他们的真实意图不符。很多应用都使用的是无伤大雅的名字,比如MohajerInternationalCommunications(Mohajer国际交流)、太阳门与亚洲直播科技等。其他则通过伪造或盗取凭据,注册在根本不相关但合法的企业名下。
以下为TechCrunch发现的违反应用完整清单:
违反应用完整清单
苹果拒绝解释这些应用究竟是如何成为企业证书签名应用的。公司也拒绝透露其是否对该项目中的开发者进行后续合规审查或是否有打算调整申请审核流程。但一名苹果发言人在给出的声明中表示,公司将关闭这些应用,并或可彻底禁止这些开发者开发iOS产品权限。
“滥用我们企业开发证书的开发者违反了苹果开发者企业账户协议,其拥有的证书将终止,且若适用,他们将完全从我们的开发者项目中移除。公司将不断评估滥用情况,并随时准备采取行动。”
TechCrunch还请GuardianMobileFirewall的安全专家威尔·斯特拉法(WillStrafach)查看了其发现的应用及这些应用的证书。斯特拉法的初步分析并未发现任何明显证明,表明这些应用滥用数据,但这些应用确实全部都违反了苹果的证书政策并且提供的内容也是AppStore明令禁止的。
斯特拉法称,“很多被用来注册外部可访问之应用的企业证书被在坊间被称为‘流氓证书’,因为这些证书通常与指定公司无任何瓜葛。尽管这些证书究竟是如何获得的没有确凿证据,但这些最终导致个人拥有企业证书控制权的初始步骤往往来自中国内地或者香港。”
“根据我的经验,独立网站上提供的企业证书签名应用通常对用户无恶意损害,仅仅是违反了某些规则而已,”斯特拉法说,“这些来自中国‘helper’工具的企业证书签名应用,是一个混合包。在多数情况下,我们发现这些嵌入额外跟踪和广告软件代码的应用重新打包后再次上线。”
