開發者企業證書被濫用：App Store上涉黃涉賭App泛濫

　　據外媒報道，Facebook和谷歌遠遠不是僅有的兩個公開濫用蘋果企業證書的應用開發商。蘋果企業證書旨在讓企業提供員工專用的應用程序。

　　科技博客TechCrunch的一項調查在蘋果應用商店中發現了十幾個色情應用程序和十幾個賭博應用程序。這些應用程序逃脫了蘋果的監管。

　　開發商通過了蘋果企業證書薄弱的篩選程序，或者利用合法的批準程序避開了App Store和蘋果的旨在確保iOS應用程序適合家庭下載使用的傳統安全措施。

　　在沒有適當監督的情況下，他們能夠操作這些公然違反蘋果內容政策的涉黃涉毒應用程序。

　　這種情況進一步表明，蘋果忽視了監管企業證書程序的責任，導致一些企業利用蘋果企業證書程序繞過其應用商店的規則。

　　蘋果首席執行官蒂姆-庫克(Tim Cook)經常批評競爭對手濫用數據和政策失誤，比如Facebook被卷入“劍橋分析公司”(Cambridge Analytica)數據丑聞。而現在，蘋果自己也未能發現和阻止這些色情和賭博應用程序，這表明它自己也有很多工作要做。

　　蘋果企業證書政策未得到充分執行

　　TechCrunch上周爆出消息稱，Facebook和谷歌違反了蘋果企業證書項目的規定，分發了安裝有VPN或要求網絡訪問根證書的應用程序。這些應用程序旨在收集用戶的所有上網信息和電話活動，以獲取競爭情報。

　　這導致蘋果短暫地撤銷了Facebook和谷歌的證書，從而讓這些公司合法的員工專用應用程序也無法運行，這導致了這兩家公司內部出現混亂。

　　蘋果發布了一份措辭強烈的聲明，稱“Facebook一直在利用其會員資格向消費者分發數據收集應用程序，這明顯違反了他們與蘋果的協議。”

　　“任何使用他們的企業證書向消費者分發應用程序的開發商都會被吊銷他們的證書。這就是我們在這種情況下為保護我們的用戶和他們的數據所做的事情。”

　　與此同時，數十個被禁止的應用程序仍然可以從這些開發商的網站上進行下載。

　　這個問題始于蘋果在企業證書計劃中采用了寬松的接納企業的標準。該計劃針對的是公司只向其員工分發的應用程序，其政策明確規定“你們不得將你們內部使用的應用程序提供給你們的用戶使用。”

　　然而，蘋果并沒有充分執行這些政策。

　　開發商只需填寫一份在線表格，然后向蘋果支付299美元即可。該表格只要求開發商承諾，它們正在開發一個僅供內部員工使用的應用程序，他們擁有注冊業務的合法權限，提供企業開發者賬號(D-U-N-S鄧白氏編碼)，并擁有最新的Mac電腦。

　　你可以輕易地通過谷歌搜索引擎查到一家企業的詳細地址信息，并查找他們的企業開發者賬號與蘋果提供的工具。

　　在建立蘋果賬戶并同意其服務條款后，企業等待一至四周就會接到蘋果電話，要求他們再次確認他們只會在企業內部分發應用程序，并有權代表他們的業務。

　　只要在電話和網絡上撒幾個謊，再加上一些可通過谷歌搜索到的公共信息，開發商就能夠獲得蘋果企業證書。

　　涉黃涉賭App泛濫

　　考慮到大量違反蘋果政策的應用程序正在分發給企業員工以外的人，很明顯，蘋果需要加強對企業證書計劃的監督。

　　TechCrunch發現了數千個提供企業應用程序下載的網站，僅對其中一個網站進行調查就會發現很多濫用蘋果企業證書的現象。

　　使用標準的未越獄iPhone，TechCrunch在過去一周下載并驗證了12個色情應用程序和12個賭博應用程序。這些應用程序濫用了蘋果的企業證書，提供了蘋果應用商店禁止的應用程序。

　　這些應用程序要么提供在線直播或按次付費的色情內容，要么允許用戶存錢、賭博和取款——如果這些應用程序是通過蘋果應用商店分發的，那么它們都應該被禁止。

　　在TechCrunch對Facebook和谷歌違反蘋果企業證書規定的行為進行調查后，蘋果為了加大政策執行力度，關閉了其中一些應用程序。但仍有許多類似的應用程序在運行。

　　TechCrunch發現的色情應用程序目前包括Swag、PPAV、Banana Video、iPorn(IP)、Pear、Poshow和AVBobo。而目前還可以運行的賭博應用包括RD撲克和RiverPoker。

　　這些應用程序的企業證書很少注冊到與其真正用途相關的公司名稱下。唯一的例子是Lucky8賭博應用程序。

　　許多應用程序都使用了無害的名稱，如Interprener、Mohajer國際通訊、Sungate和AsianLiveTech。

　　然而，另一些人似乎偽造或竊取了蘋果企業證書，以完全無關但卻合法的企業名義注冊登記。Dragon Gaming登記到美國礫石供應商CSL-Loma名下。至于色情應用，PPAV應用程序的企業證書則登記到了南京建鄴區信息中心名下。

　　Douyin Didi應用程序登記到了莫斯科摩托車公司Akura OOO名下，中國應用Pear則登記到了哥斯達黎加的Grupo Arcavi Sociedad Anonima公司名下，AVBobo應用程序登記到了一家總部位于弗雷斯諾的一家名為Chaney Cabinet & Furniture Co的公司名下。

　　蘋果拒絕解釋這些應用程序是如何混入蘋果企業證書應用程序中的。該公司拒絕透露是否對該項目的開發人員進行了任何后續合規審計，也沒有說明是否計劃改變其企業會員接收程序。

　　不過，蘋果的一位發言人確實提供了如下聲明，表示該公司將致力于關閉這些應用程序，并可能禁止相關開發者再開發iOS產品：

　　“濫用我們企業證書的開發商違反了蘋果開發者企業計劃的協議，他們的證書將被吊銷，如果必要，他們將被徹底從我們的開發者計劃中刪除。我們正不斷評估濫用我們規定的情況，并準備立即采取行動。”

　　“貓捉老鼠的游戲”

　　TechCrunch要求Guardian Mobile Firewall公司的安全專家威爾-斯特拉法(Will Strafach)查看其發現的應用程序和它們的證書。斯特拉法對這些應用程序的初步分析沒有發現任何明顯的證據表明這些應用程序盜用了數據，但它們都違反了蘋果的企業證書政策，并提供了應用程序商店禁止的內容。

　　“目前，我已經注意到，對于那些在獨立網站可以下載的應用程序，蘋果的行動相對較慢。”

　　斯特拉法解釋了“很多用于簽署公開應用程序的大量企業證書被私下稱為‘流氓證書’，因為它們通常與指定的公司無關。沒有確鑿的證據可以證實這些證書是如何獲得的，但個人確實可以獲得原本屬于一家公司的企業證書。然后，在一些市場上，企業證書簽名服務正在悄無聲息地銷售，導致有時會有5到10個(或更多)不同的應用程序使用相同的企業證書進行簽名。”

　　TechCrunch發現Sungate和Mohajer證書正是以這種方式外包給多個應用程序使用的。

　　斯特拉法指出：“根據我的經驗，獨立網站上提供的蘋果企業證書簽署的應用程序，從某種意義上說并沒有對用戶構成傷害，但是它們違反了蘋果的規定。然而，蘋果企業證書簽署的這些應用程序可謂魚龍混雜。以Zoe為例，在許多情況下，我們已經注意到這樣的應用程序被插入了額外的跟蹤和廣告軟件代碼。”

　　有趣的是，我們發現的限制訪問的應用程序中，沒有一個要求用戶安裝像谷歌Screenwise這樣的VPN，更不用說像Facebook Research這樣的網絡訪問根證書。

　　TechCrunch本月報告稱，這兩個應用程序都付錢給用戶，以換取他們的私人數據。但是，在TechCrunch曝光了iOS版本的違規行為后，它們被蘋果禁止了。蘋果還暫時關閉了Facebook和谷歌的僅限員工使用的iOS應用程序權限，從而在Facebook和谷歌的辦公室造成了混亂。

　　事實上，這兩家美國科技巨頭在收集用戶數據方面比一些色情和賭博應用程序更具侵略性。

　　“這是一個貓捉老鼠的游戲。”斯特拉法在談到蘋果努力屏蔽這些應用程序時得出結論說。

　　但鑒于濫用活動的猖獗，蘋果似乎可以很容易地在其企業證書程序中添加更強大的驗證過程和更多的核驗流程。開發商應該做更多的事情來證明他們的應用程序與企業證書持有者的聯系，蘋果應該定期審核其企業證書，看看他們支持的是哪種應用程序。

　　當Facebook卷入劍橋分析公司數據丑聞的時候，有人問庫克，如果他處于馬克-扎克伯格的處境，那么他應該怎么做。庫克坦率地回答說：“我不會讓自己陷入這種困境。”

　　但如果蘋果不能讓色情和賭場應用程序遠離iOS，那么庫克也許就沒有資格教訓別人了。