開發(fā)者企業(yè)證書被濫用：App Store上涉黃涉賭App泛濫

　　據(jù)外媒報道，F(xiàn)acebook和谷歌遠遠不是僅有的兩個公開濫用蘋果企業(yè)證書的應(yīng)用開發(fā)商。蘋果企業(yè)證書旨在讓企業(yè)提供員工專用的應(yīng)用程序。

　　科技博客TechCrunch的一項調(diào)查在蘋果應(yīng)用商店中發(fā)現(xiàn)了十幾個色情應(yīng)用程序和十幾個賭博應(yīng)用程序。這些應(yīng)用程序逃脫了蘋果的監(jiān)管。

　　開發(fā)商通過了蘋果企業(yè)證書薄弱的篩選程序，或者利用合法的批準程序避開了App Store和蘋果的旨在確保iOS應(yīng)用程序適合家庭下載使用的傳統(tǒng)安全措施。

　　在沒有適當監(jiān)督的情況下，他們能夠操作這些公然違反蘋果內(nèi)容政策的涉黃涉毒應(yīng)用程序。

　　這種情況進一步表明，蘋果忽視了監(jiān)管企業(yè)證書程序的責任，導致一些企業(yè)利用蘋果企業(yè)證書程序繞過其應(yīng)用商店的規(guī)則。

　　蘋果首席執(zhí)行官蒂姆-庫克(Tim Cook)經(jīng)常批評競爭對手濫用數(shù)據(jù)和政策失誤，比如Facebook被卷入“劍橋分析公司”(Cambridge Analytica)數(shù)據(jù)丑聞。而現(xiàn)在，蘋果自己也未能發(fā)現(xiàn)和阻止這些色情和賭博應(yīng)用程序，這表明它自己也有很多工作要做。

　　蘋果企業(yè)證書政策未得到充分執(zhí)行

　　TechCrunch上周爆出消息稱，F(xiàn)acebook和谷歌違反了蘋果企業(yè)證書項目的規(guī)定，分發(fā)了安裝有VPN或要求網(wǎng)絡(luò)訪問根證書的應(yīng)用程序。這些應(yīng)用程序旨在收集用戶的所有上網(wǎng)信息和電話活動，以獲取競爭情報。

　　這導致蘋果短暫地撤銷了Facebook和谷歌的證書，從而讓這些公司合法的員工專用應(yīng)用程序也無法運行，這導致了這兩家公司內(nèi)部出現(xiàn)混亂。

　　蘋果發(fā)布了一份措辭強烈的聲明，稱“Facebook一直在利用其會員資格向消費者分發(fā)數(shù)據(jù)收集應(yīng)用程序，這明顯違反了他們與蘋果的協(xié)議。”

　　“任何使用他們的企業(yè)證書向消費者分發(fā)應(yīng)用程序的開發(fā)商都會被吊銷他們的證書。這就是我們在這種情況下為保護我們的用戶和他們的數(shù)據(jù)所做的事情。”

　　與此同時，數(shù)十個被禁止的應(yīng)用程序仍然可以從這些開發(fā)商的網(wǎng)站上進行下載。

　　這個問題始于蘋果在企業(yè)證書計劃中采用了寬松的接納企業(yè)的標準。該計劃針對的是公司只向其員工分發(fā)的應(yīng)用程序，其政策明確規(guī)定“你們不得將你們內(nèi)部使用的應(yīng)用程序提供給你們的用戶使用。”

　　然而，蘋果并沒有充分執(zhí)行這些政策。

　　開發(fā)商只需填寫一份在線表格，然后向蘋果支付299美元即可。該表格只要求開發(fā)商承諾，它們正在開發(fā)一個僅供內(nèi)部員工使用的應(yīng)用程序，他們擁有注冊業(yè)務(wù)的合法權(quán)限，提供企業(yè)開發(fā)者賬號(D-U-N-S鄧白氏編碼)，并擁有最新的Mac電腦。

　　你可以輕易地通過谷歌搜索引擎查到一家企業(yè)的詳細地址信息，并查找他們的企業(yè)開發(fā)者賬號與蘋果提供的工具。

　　在建立蘋果賬戶并同意其服務(wù)條款后，企業(yè)等待一至四周就會接到蘋果電話，要求他們再次確認他們只會在企業(yè)內(nèi)部分發(fā)應(yīng)用程序，并有權(quán)代表他們的業(yè)務(wù)。

　　只要在電話和網(wǎng)絡(luò)上撒幾個謊，再加上一些可通過谷歌搜索到的公共信息，開發(fā)商就能夠獲得蘋果企業(yè)證書。

　　涉黃涉賭App泛濫

　　考慮到大量違反蘋果政策的應(yīng)用程序正在分發(fā)給企業(yè)員工以外的人，很明顯，蘋果需要加強對企業(yè)證書計劃的監(jiān)督。

　　TechCrunch發(fā)現(xiàn)了數(shù)千個提供企業(yè)應(yīng)用程序下載的網(wǎng)站，僅對其中一個網(wǎng)站進行調(diào)查就會發(fā)現(xiàn)很多濫用蘋果企業(yè)證書的現(xiàn)象。

　　使用標準的未越獄iPhone，TechCrunch在過去一周下載并驗證了12個色情應(yīng)用程序和12個賭博應(yīng)用程序。這些應(yīng)用程序濫用了蘋果的企業(yè)證書，提供了蘋果應(yīng)用商店禁止的應(yīng)用程序。

　　這些應(yīng)用程序要么提供在線直播或按次付費的色情內(nèi)容，要么允許用戶存錢、賭博和取款——如果這些應(yīng)用程序是通過蘋果應(yīng)用商店分發(fā)的，那么它們都應(yīng)該被禁止。

　　在TechCrunch對Facebook和谷歌違反蘋果企業(yè)證書規(guī)定的行為進行調(diào)查后，蘋果為了加大政策執(zhí)行力度，關(guān)閉了其中一些應(yīng)用程序。但仍有許多類似的應(yīng)用程序在運行。

　　TechCrunch發(fā)現(xiàn)的色情應(yīng)用程序目前包括Swag、PPAV、Banana Video、iPorn(IP)、Pear、Poshow和AVBobo。而目前還可以運行的賭博應(yīng)用包括RD撲克和RiverPoker。

　　這些應(yīng)用程序的企業(yè)證書很少注冊到與其真正用途相關(guān)的公司名稱下。唯一的例子是Lucky8賭博應(yīng)用程序。

　　許多應(yīng)用程序都使用了無害的名稱，如Interprener、Mohajer國際通訊、Sungate和AsianLiveTech。

　　然而，另一些人似乎偽造或竊取了蘋果企業(yè)證書，以完全無關(guān)但卻合法的企業(yè)名義注冊登記。Dragon Gaming登記到美國礫石供應(yīng)商CSL-Loma名下。至于色情應(yīng)用，PPAV應(yīng)用程序的企業(yè)證書則登記到了南京建鄴區(qū)信息中心名下。

　　Douyin Didi應(yīng)用程序登記到了莫斯科摩托車公司Akura OOO名下，中國應(yīng)用Pear則登記到了哥斯達黎加的Grupo Arcavi Sociedad Anonima公司名下，AVBobo應(yīng)用程序登記到了一家總部位于弗雷斯諾的一家名為Chaney Cabinet & Furniture Co的公司名下。

　　蘋果拒絕解釋這些應(yīng)用程序是如何混入蘋果企業(yè)證書應(yīng)用程序中的。該公司拒絕透露是否對該項目的開發(fā)人員進行了任何后續(xù)合規(guī)審計，也沒有說明是否計劃改變其企業(yè)會員接收程序。

　　不過，蘋果的一位發(fā)言人確實提供了如下聲明，表示該公司將致力于關(guān)閉這些應(yīng)用程序，并可能禁止相關(guān)開發(fā)者再開發(fā)iOS產(chǎn)品：

　　“濫用我們企業(yè)證書的開發(fā)商違反了蘋果開發(fā)者企業(yè)計劃的協(xié)議，他們的證書將被吊銷，如果必要，他們將被徹底從我們的開發(fā)者計劃中刪除。我們正不斷評估濫用我們規(guī)定的情況，并準備立即采取行動。”

　　“貓捉老鼠的游戲”

　　TechCrunch要求Guardian Mobile Firewall公司的安全專家威爾-斯特拉法(Will Strafach)查看其發(fā)現(xiàn)的應(yīng)用程序和它們的證書。斯特拉法對這些應(yīng)用程序的初步分析沒有發(fā)現(xiàn)任何明顯的證據(jù)表明這些應(yīng)用程序盜用了數(shù)據(jù)，但它們都違反了蘋果的企業(yè)證書政策，并提供了應(yīng)用程序商店禁止的內(nèi)容。

　　“目前，我已經(jīng)注意到，對于那些在獨立網(wǎng)站可以下載的應(yīng)用程序，蘋果的行動相對較慢。”

　　斯特拉法解釋了“很多用于簽署公開應(yīng)用程序的大量企業(yè)證書被私下稱為‘流氓證書’，因為它們通常與指定的公司無關(guān)。沒有確鑿的證據(jù)可以證實這些證書是如何獲得的，但個人確實可以獲得原本屬于一家公司的企業(yè)證書。然后，在一些市場上，企業(yè)證書簽名服務(wù)正在悄無聲息地銷售，導致有時會有5到10個(或更多)不同的應(yīng)用程序使用相同的企業(yè)證書進行簽名。”

　　TechCrunch發(fā)現(xiàn)Sungate和Mohajer證書正是以這種方式外包給多個應(yīng)用程序使用的。

　　斯特拉法指出：“根據(jù)我的經(jīng)驗，獨立網(wǎng)站上提供的蘋果企業(yè)證書簽署的應(yīng)用程序，從某種意義上說并沒有對用戶構(gòu)成傷害，但是它們違反了蘋果的規(guī)定。然而，蘋果企業(yè)證書簽署的這些應(yīng)用程序可謂魚龍混雜。以Zoe為例，在許多情況下，我們已經(jīng)注意到這樣的應(yīng)用程序被插入了額外的跟蹤和廣告軟件代碼。”

　　有趣的是，我們發(fā)現(xiàn)的限制訪問的應(yīng)用程序中，沒有一個要求用戶安裝像谷歌Screenwise這樣的VPN，更不用說像Facebook Research這樣的網(wǎng)絡(luò)訪問根證書。

　　TechCrunch本月報告稱，這兩個應(yīng)用程序都付錢給用戶，以換取他們的私人數(shù)據(jù)。但是，在TechCrunch曝光了iOS版本的違規(guī)行為后，它們被蘋果禁止了。蘋果還暫時關(guān)閉了Facebook和谷歌的僅限員工使用的iOS應(yīng)用程序權(quán)限，從而在Facebook和谷歌的辦公室造成了混亂。

　　事實上，這兩家美國科技巨頭在收集用戶數(shù)據(jù)方面比一些色情和賭博應(yīng)用程序更具侵略性。

　　“這是一個貓捉老鼠的游戲。”斯特拉法在談到蘋果努力屏蔽這些應(yīng)用程序時得出結(jié)論說。

　　但鑒于濫用活動的猖獗，蘋果似乎可以很容易地在其企業(yè)證書程序中添加更強大的驗證過程和更多的核驗流程。開發(fā)商應(yīng)該做更多的事情來證明他們的應(yīng)用程序與企業(yè)證書持有者的聯(lián)系，蘋果應(yīng)該定期審核其企業(yè)證書，看看他們支持的是哪種應(yīng)用程序。

　　當Facebook卷入劍橋分析公司數(shù)據(jù)丑聞的時候，有人問庫克，如果他處于馬克-扎克伯格的處境，那么他應(yīng)該怎么做。庫克坦率地回答說：“我不會讓自己陷入這種困境。”

　　但如果蘋果不能讓色情和賭場應(yīng)用程序遠離iOS，那么庫克也許就沒有資格教訓別人了。