據(jù)外媒報(bào)道,F(xiàn)acebook和谷歌遠(yuǎn)遠(yuǎn)不是僅有的兩個(gè)公開濫用蘋果企業(yè)證書的應(yīng)用開發(fā)商�。蘋果企業(yè)證書旨在讓企業(yè)提供員工專用的應(yīng)用程序。
科技博客TechCrunch的一項(xiàng)調(diào)查在蘋果應(yīng)用商店中發(fā)現(xiàn)了十幾個(gè)色情應(yīng)用程序和十幾個(gè)賭博應(yīng)用程序��。這些應(yīng)用程序逃脫了蘋果的監(jiān)管。
開發(fā)商通過了蘋果企業(yè)證書薄弱的篩選程序�,或者利用合法的批準(zhǔn)程序避開了App Store和蘋果的旨在確保iOS應(yīng)用程序適合家庭下載使用的傳統(tǒng)安全措施。
在沒有適當(dāng)監(jiān)督的情況下�,他們能夠操作這些公然違反蘋果內(nèi)容政策的涉黃涉毒應(yīng)用程序。
這種情況進(jìn)一步表明���,蘋果忽視了監(jiān)管企業(yè)證書程序的責(zé)任�����,導(dǎo)致一些企業(yè)利用蘋果企業(yè)證書程序繞過其應(yīng)用商店的規(guī)則�。
蘋果首席執(zhí)行官蒂姆-庫克(Tim Cook)經(jīng)常批評(píng)競(jìng)爭(zhēng)對(duì)手濫用數(shù)據(jù)和政策失誤���,比如Facebook被卷入“劍橋分析公司”(Cambridge Analytica)數(shù)據(jù)丑聞���。而現(xiàn)在,蘋果自己也未能發(fā)現(xiàn)和阻止這些色情和賭博應(yīng)用程序���,這表明它自己也有很多工作要做�����。
蘋果企業(yè)證書政策未得到充分執(zhí)行
TechCrunch上周爆出消息稱��,F(xiàn)acebook和谷歌違反了蘋果企業(yè)證書項(xiàng)目的規(guī)定�,分發(fā)了安裝有VPN或要求網(wǎng)絡(luò)訪問根證書的應(yīng)用程序。這些應(yīng)用程序旨在收集用戶的所有上網(wǎng)信息和電話活動(dòng)��,以獲取競(jìng)爭(zhēng)情報(bào)���。
這導(dǎo)致蘋果短暫地撤銷了Facebook和谷歌的證書��,從而讓這些公司合法的員工專用應(yīng)用程序也無法運(yùn)行�����,這導(dǎo)致了這兩家公司內(nèi)部出現(xiàn)混亂。
蘋果發(fā)布了一份措辭強(qiáng)烈的聲明��,稱“Facebook一直在利用其會(huì)員資格向消費(fèi)者分發(fā)數(shù)據(jù)收集應(yīng)用程序�,這明顯違反了他們與蘋果的協(xié)議。”
“任何使用他們的企業(yè)證書向消費(fèi)者分發(fā)應(yīng)用程序的開發(fā)商都會(huì)被吊銷他們的證書�����。這就是我們?cè)谶@種情況下為保護(hù)我們的用戶和他們的數(shù)據(jù)所做的事情���。”
與此同時(shí)���,數(shù)十個(gè)被禁止的應(yīng)用程序仍然可以從這些開發(fā)商的網(wǎng)站上進(jìn)行下載�。
這個(gè)問題始于蘋果在企業(yè)證書計(jì)劃中采用了寬松的接納企業(yè)的標(biāo)準(zhǔn)��。該計(jì)劃針對(duì)的是公司只向其員工分發(fā)的應(yīng)用程序���,其政策明確規(guī)定“你們不得將你們內(nèi)部使用的應(yīng)用程序提供給你們的用戶使用�����。”
然而���,蘋果并沒有充分執(zhí)行這些政策。
開發(fā)商只需填寫一份在線表格����,然后向蘋果支付299美元即可。該表格只要求開發(fā)商承諾�,它們正在開發(fā)一個(gè)僅供內(nèi)部員工使用的應(yīng)用程序,他們擁有注冊(cè)業(yè)務(wù)的合法權(quán)限����,提供企業(yè)開發(fā)者賬號(hào)(D-U-N-S鄧白氏編碼),并擁有最新的Mac電腦�。
你可以輕易地通過谷歌搜索引擎查到一家企業(yè)的詳細(xì)地址信息�����,并查找他們的企業(yè)開發(fā)者賬號(hào)與蘋果提供的工具����。
在建立蘋果賬戶并同意其服務(wù)條款后����,企業(yè)等待一至四周就會(huì)接到蘋果電話,要求他們?cè)俅未_認(rèn)他們只會(huì)在企業(yè)內(nèi)部分發(fā)應(yīng)用程序���,并有權(quán)代表他們的業(yè)務(wù)�����。
只要在電話和網(wǎng)絡(luò)上撒幾個(gè)謊,再加上一些可通過谷歌搜索到的公共信息���,開發(fā)商就能夠獲得蘋果企業(yè)證書����。
涉黃涉賭App泛濫
考慮到大量違反蘋果政策的應(yīng)用程序正在分發(fā)給企業(yè)員工以外的人���,很明顯���,蘋果需要加強(qiáng)對(duì)企業(yè)證書計(jì)劃的監(jiān)督�。
TechCrunch發(fā)現(xiàn)了數(shù)千個(gè)提供企業(yè)應(yīng)用程序下載的網(wǎng)站�,僅對(duì)其中一個(gè)網(wǎng)站進(jìn)行調(diào)查就會(huì)發(fā)現(xiàn)很多濫用蘋果企業(yè)證書的現(xiàn)象。
使用標(biāo)準(zhǔn)的未越獄iPhone���,TechCrunch在過去一周下載并驗(yàn)證了12個(gè)色情應(yīng)用程序和12個(gè)賭博應(yīng)用程序����。這些應(yīng)用程序?yàn)E用了蘋果的企業(yè)證書����,提供了蘋果應(yīng)用商店禁止的應(yīng)用程序。
這些應(yīng)用程序要么提供在線直播或按次付費(fèi)的色情內(nèi)容���,要么允許用戶存錢�����、賭博和取款——如果這些應(yīng)用程序是通過蘋果應(yīng)用商店分發(fā)的���,那么它們都應(yīng)該被禁止�����。
在TechCrunch對(duì)Facebook和谷歌違反蘋果企業(yè)證書規(guī)定的行為進(jìn)行調(diào)查后�����,蘋果為了加大政策執(zhí)行力度����,關(guān)閉了其中一些應(yīng)用程序��。但仍有許多類似的應(yīng)用程序在運(yùn)行�。
TechCrunch發(fā)現(xiàn)的色情應(yīng)用程序目前包括Swag、PPAV���、Banana Video��、iPorn(IP)���、Pear�、Poshow和AVBobo。而目前還可以運(yùn)行的賭博應(yīng)用包括RD撲克和RiverPoker。
這些應(yīng)用程序的企業(yè)證書很少注冊(cè)到與其真正用途相關(guān)的公司名稱下�����。唯一的例子是Lucky8賭博應(yīng)用程序�����。
許多應(yīng)用程序都使用了無害的名稱�,如Interprener、Mohajer國(guó)際通訊�、Sungate和AsianLiveTech。
然而�,另一些人似乎偽造或竊取了蘋果企業(yè)證書,以完全無關(guān)但卻合法的企業(yè)名義注冊(cè)登記���。Dragon Gaming登記到美國(guó)礫石供應(yīng)商CSL-Loma名下�����。至于色情應(yīng)用��,PPAV應(yīng)用程序的企業(yè)證書則登記到了南京建鄴區(qū)信息中心名下����。
Douyin Didi應(yīng)用程序登記到了莫斯科摩托車公司Akura OOO名下,中國(guó)應(yīng)用Pear則登記到了哥斯達(dá)黎加的Grupo Arcavi Sociedad Anonima公司名下�,AVBobo應(yīng)用程序登記到了一家總部位于弗雷斯諾的一家名為Chaney Cabinet & Furniture Co的公司名下。
蘋果拒絕解釋這些應(yīng)用程序是如何混入蘋果企業(yè)證書應(yīng)用程序中的�。該公司拒絕透露是否對(duì)該項(xiàng)目的開發(fā)人員進(jìn)行了任何后續(xù)合規(guī)審計(jì),也沒有說明是否計(jì)劃改變其企業(yè)會(huì)員接收程序��。
不過��,蘋果的一位發(fā)言人確實(shí)提供了如下聲明��,表示該公司將致力于關(guān)閉這些應(yīng)用程序���,并可能禁止相關(guān)開發(fā)者再開發(fā)iOS產(chǎn)品:
“濫用我們企業(yè)證書的開發(fā)商違反了蘋果開發(fā)者企業(yè)計(jì)劃的協(xié)議��,他們的證書將被吊銷��,如果必要��,他們將被徹底從我們的開發(fā)者計(jì)劃中刪除��。我們正不斷評(píng)估濫用我們規(guī)定的情況��,并準(zhǔn)備立即采取行動(dòng)���。”
“貓捉老鼠的游戲”
TechCrunch要求Guardian Mobile Firewall公司的安全專家威爾-斯特拉法(Will Strafach)查看其發(fā)現(xiàn)的應(yīng)用程序和它們的證書�。斯特拉法對(duì)這些應(yīng)用程序的初步分析沒有發(fā)現(xiàn)任何明顯的證據(jù)表明這些應(yīng)用程序盜用了數(shù)據(jù)����,但它們都違反了蘋果的企業(yè)證書政策����,并提供了應(yīng)用程序商店禁止的內(nèi)容。
“目前�,我已經(jīng)注意到,對(duì)于那些在獨(dú)立網(wǎng)站可以下載的應(yīng)用程序�,蘋果的行動(dòng)相對(duì)較慢。”
斯特拉法解釋了“很多用于簽署公開應(yīng)用程序的大量企業(yè)證書被私下稱為‘流氓證書’����,因?yàn)樗鼈兺ǔEc指定的公司無關(guān)。沒有確鑿的證據(jù)可以證實(shí)這些證書是如何獲得的����,但個(gè)人確實(shí)可以獲得原本屬于一家公司的企業(yè)證書。然后�����,在一些市場(chǎng)上����,企業(yè)證書簽名服務(wù)正在悄無聲息地銷售�,導(dǎo)致有時(shí)會(huì)有5到10個(gè)(或更多)不同的應(yīng)用程序使用相同的企業(yè)證書進(jìn)行簽名����。”
TechCrunch發(fā)現(xiàn)Sungate和Mohajer證書正是以這種方式外包給多個(gè)應(yīng)用程序使用的。
斯特拉法指出:“根據(jù)我的經(jīng)驗(yàn)���,獨(dú)立網(wǎng)站上提供的蘋果企業(yè)證書簽署的應(yīng)用程序�����,從某種意義上說并沒有對(duì)用戶構(gòu)成傷害�����,但是它們違反了蘋果的規(guī)定�。然而��,蘋果企業(yè)證書簽署的這些應(yīng)用程序可謂魚龍混雜�。以Zoe為例,在許多情況下�,我們已經(jīng)注意到這樣的應(yīng)用程序被插入了額外的跟蹤和廣告軟件代碼。”
有趣的是��,我們發(fā)現(xiàn)的限制訪問的應(yīng)用程序中,沒有一個(gè)要求用戶安裝像谷歌Screenwise這樣的VPN���,更不用說像Facebook Research這樣的網(wǎng)絡(luò)訪問根證書�����。
TechCrunch本月報(bào)告稱,這兩個(gè)應(yīng)用程序都付錢給用戶�,以換取他們的私人數(shù)據(jù)。但是����,在TechCrunch曝光了iOS版本的違規(guī)行為后,它們被蘋果禁止了�����。蘋果還暫時(shí)關(guān)閉了Facebook和谷歌的僅限員工使用的iOS應(yīng)用程序權(quán)限����,從而在Facebook和谷歌的辦公室造成了混亂。
事實(shí)上�,這兩家美國(guó)科技巨頭在收集用戶數(shù)據(jù)方面比一些色情和賭博應(yīng)用程序更具侵略性。
“這是一個(gè)貓捉老鼠的游戲���。”斯特拉法在談到蘋果努力屏蔽這些應(yīng)用程序時(shí)得出結(jié)論說���。
但鑒于濫用活動(dòng)的猖獗��,蘋果似乎可以很容易地在其企業(yè)證書程序中添加更強(qiáng)大的驗(yàn)證過程和更多的核驗(yàn)流程���。開發(fā)商應(yīng)該做更多的事情來證明他們的應(yīng)用程序與企業(yè)證書持有者的聯(lián)系,蘋果應(yīng)該定期審核其企業(yè)證書��,看看他們支持的是哪種應(yīng)用程序�����。
當(dāng)Facebook卷入劍橋分析公司數(shù)據(jù)丑聞的時(shí)候�,有人問庫克,如果他處于馬克-扎克伯格的處境��,那么他應(yīng)該怎么做���。庫克坦率地回答說:“我不會(huì)讓自己陷入這種困境����。”
但如果蘋果不能讓色情和賭場(chǎng)應(yīng)用程序遠(yuǎn)離iOS��,那么庫克也許就沒有資格教訓(xùn)別人了。
鄂公網(wǎng)安備 42112402000149號(hào)