>科技>>正文

Apple未能阻止色情和赌博“企业”应用程序

原标题:Apple未能阻止色情和赌博“企业”应用程序

Facebook和谷歌远不是唯一公开滥用苹果公司企业证书计划的开发商,该计划面向那些提供员工专用应用程序的公司。TechCrunch调查发现了十几个硬核色情应用程序和十几个真钱赌博应用程序,这些应用程序逃脱了Apple的监管。开发人员通过了Apple的弱企业证书筛选流程或者合法批准,允许他们回避App Store和Cupertino的传统安全措施,旨在保持iOS家庭的友好。如果没有适当的监督,他们就能够运行这些公然炫耀Apple内容政策的恶意应用程序。

这种情况进一步证明,苹果公司一直忽视了监管企业证书计划的责任,导致其被剥削以规避App Store规则和禁止的类别。对于一家首席执行官蒂姆·库克经常批评其竞争对手滥用数据以及像Facebook的剑桥分析公司这样的政策惨败的公司,苹果未能抓住并阻止这些色情和赌博,这表明它有自己的工作。

色情应用程序PPAV和iPorn(iP)继续滥用Apple的企业证书计划,以回避App Store禁止色情内容。由TechCrunch审查的裸体

TechCrunch上周爆料称Facebook和谷歌违反了Apple企业证书计划的规则,以分发安装应用程序或要求根网络访问以收集用户的所有流量和电话活动以获得竞争情报。这导致苹果公司暂时撤销Facebook和谷歌的证书,从而禁用公司的合法员工专用应用程序,导致办公室混乱。

苹果公司发表了一份激烈的声明,称“Facebook一直在利用其会员资格向消费者分发数据收集应用程序,这明显违反了他们与苹果的协议。任何使用他们的企业证书向消费者分发应用程序的开发者都会撤销他们的证书,这就是我们在这种情况下为保护我们的用户及其数据而做的事情。“同时,可以从阴暗的开发者网站上下载许多被禁止的应用程序。

Apple提供了一个查找工具,用于查找任何业务的DUNS编号,允许阴暗的开发人员伪造他们的企业证书应用程序

问题始于Apple对企业接受企业计划的宽松标准。该计划适用于公司仅向其员工分发应用程序,其政策明确规定“您不得使用,分发或以其他方式向您的客户提供您的内部使用应用程序”。然而,苹果公司没有充分执行这些政策。

开发人员只需填写在线表格并向Apple支付299美元,详见Calvium的本指南。该表单仅要求开发人员承诺他们正在为内部员工使用构建企业证书应用程序,他们拥有注册业务的合法权限,提供DUNS业务ID号,并拥有最新的Mac。您可以轻松地使用Apple提供的工具Google查看商家地址详细信息并查找其DUNS ID号。在设置Apple ID并同意其服务条款后,企业会等待一到四周的时间拨打Apple的电话,要求他们再次确认他们只会在内部分发应用程序,并且有权代表他们的业务。

只需通过手机和网络上的一些谎言以及一些Googleable公共信息,粗略的开发人员就可以获得Apple Enterprise证书的批准。

真钱赌博应用程序公开宣称他们拥有滥用企业证书计划的iOS版本

鉴于使用与其应用程序无关的企业的注册分发给非员工的违反政策的应用程序的数量,很明显Apple需要加强对企业证书计划的监督。TechCrunch发现成千上万的网站提供“侧载”企业应用程序的下载,并且调查了一个样本,发现了许多滥用行为。使用标准的非越狱iPhone。TechCrunch在过去一周内下载并验证了12个色情内容和12个真钱赌博应用程序,这些应用程序滥用Apple的企业证书系统来提供App Store禁止的应用程序。这些应用程序要么提供流式传输或按次付费的硬核色情内容,要么允许用户存入,赢取和提取真钱 - 如果应用程序是通过App Store分发的,则所有这些都将被禁止。

整个屏幕禁止侧载色情和赌博应用程序TechCrunch能够通过企业证书系统下载

在TechCrunch对Facebook和谷歌的企业证书违规行为进行调查之后,显然是为了加强政策执行,苹果似乎在过去几天禁用了其中一些应用程序,但许多仍在运营。我们发现目前正在使用的色情应用包括Swag,PPAV,Banana Video,iPorn(iP),Pear,Poshow和AVBobo,而目前功能性的赌博应用包括RD Poker和RiverPoker。

这些应用程序的企业证书很少注册到与其真实目的相关的公司名称。唯一的例子是Lucky8赌博。许多应用程序使用了解释器,Mohajer国际通信,Sungate和AsianLiveTech这些无害的名称。然而,其他人似乎伪造或窃取了凭据,以完全不相关但合法的企业的名义注册。Dragon Gaming在美国砾石供应商CSL-LOMA注册。至于色情应用,PPAV的证书被分配到南京建业区信息中心,Douyin Didi被莫斯科摩托车公司Akura OOO授权,中国应用程序Pear注册到哥斯达黎加的Grupo Arcavi Sociedad Anonima,AVBobo用名字覆盖其轨道位于弗雷斯诺的公司名为Chaney Cabinet&Furniture Co.

您可以查看违反以下我们发现的应用的政策的完整列表:

Apple拒绝解释这些应用程序如何进入企业证书应用程序。如果它对该计划中的开发人员进行任何后续合规性审计,或者是否计划更改入场流程,则表示拒绝。不过,苹果发言人确实提供了这一声明,表明它将关闭这些应用程序并可能禁止开发人员完全构建iOS产品:

“滥用我们企业证书的开发人员违反了Apple Developer Enterprise计划协议,并且会终止其证书,并且如果合适,他们将完全从我们的开发人员计划中删除。我们不断评估滥用情况,并准备立即采取行动。“

TechCrunch要求Guardian Mobile Firewall的安全专家Will Strafach查看我们发现的应用程序及其证书。Strafach对这些应用程序的初步分析没有发现任何明显的证据表明这些应用程序误导了数据,但它们都违反了Apple的证书政策并提供了从App Store禁止的内容。“目前,我注意到关于可从独立网站获得的应用程序的行动速度较慢,而不是这些易于抓取的应用程序目录”,偶尔会出现对大量侧载应用程序的集中访问。

色情应用程序AVBobo使用在弗雷斯诺的Chaney Cabinet&Furniture Co注册的企业证书

Strafach解释了“用于签署公开可用应用程序的大量企业证书是非正式地称为”流氓证书“,因为它们通常与指定公司无关。没有确凿证据证明这些证书的起源方式,但最初步骤的结果是个人将获得归属于公司(通常是中国/香港)的企业证书的控制权。然后,代码服务在中文市场上安静地销售,导致有时使用相同的企业证书签署5到10个(或更多)不同的应用程序。“我们发现Sungate和Mohajer证书是以这种方式被多个应用程序使用的。

“根据我的经验,在独立网站上提供的企业证书签名应用程序在恶意意义上并没有对用户造成伤害,只是在他们违反规则的意义上”Strafach指出。“然而,企业证书签署的应用程序来自这些中国'帮助'工具,是一个混合包。Zoe的例子,在很多情况下,我们注意到这些应用程序将额外的跟踪和广告软件代码注入到提供的原始现在重新打包的应用程序中。“

像Swag这样的色情应用程序公开宣传他们在iOS上的可用性

有趣的是,我们发现的禁区应用程序都没有要求用户安装,更不用说像Facebook Research这样的root网络访问了。TechCrunch本月报道说,这两个应用程序都在向用户付费以窥探他们的私人数据。但在我们暴露违规行为之后,苹果公司禁止 iOS版本,苹果公司也通过暂时关闭其员工专用的iOS应用程序而在Facebook和谷歌办公室造成混乱。事实上,这两家美国科技巨头在收集用户数据方面比那些阴暗的中国色情和赌博应用更具侵略性。“这是一场猫捉老鼠的游戏”Strafach总结道,苹果公司努力阻止这些应用。但鉴于滥用行为猖獗,苹果似乎可以轻松地为企业证书计划添加更强大的验证流程和更多检查。开发人员应该做更多的工作来证明他们的应用程序与证书持有者的联系,Apple应该定期审核证书,看看他们正在为哪些应用程序提供支持。

当Facebook错过Cambridge Analytica滥用其应用程序平台时,库克被问到他在Mark Zuckerberg的鞋子里会做些什么。“我不会在这种情况下” 库克坦率地回答道。但是,如果Apple无法将色情和赌场保留在iOS之外,那么库克不应该在其他任何人那里讲课。返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
投诉
免费获取
今日搜狐热点
今日推荐