Spoločnosť Apple nedokáže zabrániť aplikáciám typu "Podnik" v porno a hre – TechCrunch


Spoločnosti Facebook a Google boli ďaleko od jediných vývojárov, ktorí otvorene zneužívali program Apple Certifikát pre podniky, ktorý bol určený pre spoločnosti ponúkajúce iba aplikácie zamestnancov. Vyšetrovanie TechCrunch odhalilo tucet hardcore pornografických aplikácií a desiatky aplikácií týkajúcich sa hazardných hier, ktoré unikli dohľadu spoločnosti Apple. Vývojári absolvovali proces skríningu spoločnosti Apple v slabých podnikových certifikátoch, alebo sa im podarilo získať legitímne povolenie, čo im umožňuje vyhnúť sa tradičným ochranným opatreniam aplikácie App Store a Cupertino, ktoré sú určené na zachovanie priateľskej rodiny iOS. Bez riadneho dohľadu boli schopní prevádzkovať tieto aplikácie, ktoré očividne chvália obsahovú politiku spoločnosti Apple.

Situácia ukazuje ďalšie dôkazy, že spoločnosť Apple zanedbáva svoju zodpovednosť za porušenie programu Enterprise Certificate, čo vedie k jej zneužitiu s cieľom obísť pravidlá App Store a zakázané kategórie. Pre spoločnosť, ktorej generálny riaditeľ Tim Cook často kritizuje svojich konkurentov za zneužitie údajov a fízové ​​politiky, ako je Facebook Cambridge Analytica, neúspech Apple chytiť a zablokovať tieto porno a hazardné hry dokazuje, že má prácu urobiť sám.

Porn aplikácie PPAV a iPorn (iP) naďalej zneužívajú Apple Podnikový certifikát program zabrániť zákazu App Store na pornografiu. Nahota cenzurovaná spoločnosťou TechCrunch

TechCrunch minulý týždeň prelomil správy, že Facebook a Google porušili pravidlá programu Enterprise Certifikát spoločnosti Apple na distribúciu aplikácií, ktoré nainštalovali VPN alebo požadovali prístup k koreňovým sieťam, aby zhromažďovali všetku prevádzkovú a telefónnu aktivitu používateľa pre konkurenčnú inteligenciu. To viedlo spoločnosť Apple k tomu, aby krátko zrušila Facebook a certifikáty spoločnosti Google, čím zablokovala legálne aplikácie iba pre zamestnancov, ktoré spôsobili chaos v kancelárii.

Spoločnosť Apple vydala ohnivé vyhlásenie, že "spoločnosť Facebook používa svoje členstvo na distribúciu aplikácie na zhromažďovanie údajov spotrebiteľom, čo je jasným porušením ich dohody s Apple. Každý vývojár, ktorý používa podnikové certifikáty na distribúciu aplikácií pre spotrebiteľov, bude mať svoje certifikáty zrušené, čo sme v tomto prípade urobili, aby sme ochránili našich používateľov a ich údaje. "Medzitým boli k stiahnutiu z webových stránok stinných vývojárov k dispozícii desiatky zakázaných aplikácií.

Spoločnosť Apple ponúka vyhľadávací nástroj na vyhľadávanie akéhokoľvek obchodného čísla D-U-N-S, ktorý umelým vývojárom umožňuje vytvárať aplikácie Enterprise Certificate

Problém sa začína tým, že spoločnosti Apple používajú laxné štandardy na prijímanie podnikov do podnikového programu. Program je určený spoločnostiam na distribúciu aplikácií len svojim zamestnancom a v ich pravidlách sa výslovne uvádza, že "nesmiete používať, distribuovať alebo iným spôsobom sprístupňovať svoje aplikácie na interné použitie svojim zákazníkom". Napriek tomu Apple primerane nevynucuje tieto pravidlá.

Vývojári jednoducho musia vyplniť on-line formulár a zaplatiť Apple 299 dolárov, ako je to uvedené v tejto príručke spoločnosti Calvium. Formulár iba vyzýva vývojárov, aby sa zaviazali, že vytvárajú aplikáciu Enterprise Certificate pre interné používanie zamestnancov, že majú zákonnú právomoc registrovať firmu, poskytnúť ID firmy D-U-N-S a mať aktuálne Mac. Môžete ľahko zistiť podrobnosti o adrese firmy a vyhľadajte ich identifikačné číslo D-U-N-S pomocou nástroja, ktorý poskytuje spoločnosť Apple. Po nastavení ID spoločnosti Apple a súhlasu s jej zmluvnými podmienkami podnikatelia čakajú jeden až štyri týždne na telefonovanie od spoločnosti Apple a požiadajú ich, aby opätovne potvrdili, že budú distribuovať aplikácie iba interne a budú oprávnení zastupovať svoju firmu.

S niekoľkými ľuďmi na telefóne a na webe a niektorými verejnými informáciami, ktoré sa dajú získať od spoločnosti Google, môžu mať skrytí vývojári schválenie pre certifikát spoločnosti Apple Enterprise.

Aplikácie na hazardné hry v reálnych hrách otvorene propagujú, že majú k dispozícii verzie iOS, ktoré zneužívajú program Enterprise Certificate

Vzhľadom na počet aplikácií, ktoré porušujú pravidlá, ktoré sa distribuujú neplnoletým prostredníctvom registrácií pre podniky, ktoré nesúvisia s ich aplikáciami, je zrejmé, že spoločnosť Apple musí sprísniť dohľad nad programom Enterprise Certificate. Spoločnosť TechCrunch našla tisíce webových stránok, ktoré ponúkajú sťahovanie podnikových aplikácií typu "sideloaded" a skúmali len vzorku, ktorá odhalila početné zneužitia. Použitie štandardného iPhone bez únosu. Spoločnosť TechCrunch dokázala v uplynulom týždni prevziať a overiť 12 pornografií a 12 aplikácií týkajúcich sa hazardných hier za skutočné peniaze, ktoré zneužívali systém Apple Certifikát pre podniky na ponúkanie aplikácií zakázaných v App Store. Tieto aplikácie buď ponúkajú hardvérovú pornografiu streaming alebo pay-per-view, alebo umožňujú užívateľom uložiť, vyhrať a vyberať skutočné peniaze – všetky by boli zakázané, ak by aplikácie boli distribuované cez App Store.

Celá obrazovka s zakázanými aplikáciami pre pornografické hry a hazardné hry TechCrunch sa stiahla prostredníctvom systému Enterprise Certificate

V očividnej snahe posilniť presadzovanie pravidiel v nadväznosti na vyšetrovanie spoločnosti TechCrunch týkajúce sa porušenia certifikátov spoločnosti Facebook a spoločnosti Google, zdá sa, že spoločnosť Apple v posledných niekoľkých dňoch zakázala niektoré z týchto aplikácií, mnohé z nich však zostávajú funkčné. Zverejnené pornografické aplikácie, ktoré sú v súčasnosti funkčné, zahŕňajú Swag, PPAV, Banana Video, iPor (iP), Pear, Poshow a AVBobo, zatiaľ čo v súčasnosti funkčné aplikácie pre hazardné hry zahŕňajú RD Poker a RiverPoker.

Certifikáty Enterprise pre tieto aplikácie boli zriedkavo zaregistrované na názvy spoločností súvisiace s ich skutočným účelom. Jediný príklad bol Lucky8 pre hazardné hry. Mnoho aplikácií používalo neškodné mená ako Interprener, Mohajer International Communications, Sungate a AsianLiveTech. Zdá sa, že iní majú kované alebo odcudzené poverenie, aby sa zaregistrovali pod menami úplne nesúvisiacich, ale legitímnych podnikov. Dragon Gaming bol zaregistrovaný v americkom štvorcovom dodávateľovi CSL-LOMA. Pokiaľ ide o pornografické aplikácie, certifikát PPAV je pridelený okresnému informačnému centru Nanjing Jianye, spoločnosť Douyin Didi bola licencovaná v moskovskej motocykli Akura OOO, čínska aplikácia Pear je registrovaná v Grupo Arcavi Sociedad Anonima v Kostarike a AVBobo pokrýva svoje skladby s názvom spoločnosti Fresno s názvom Chaney Cabinet & Furniture Co.

Môžete vidieť úplný zoznam aplikácií porušujúcich pravidlá, ktoré sme našli nižšie:

Spoločnosť Apple odmietla vysvetliť, ako sa tieto aplikácie dostali do programu Enterprise Certificate app. Odmietol povedať, ak vykonáva akékoľvek následné kontroly dodržiavania pravidiel pre vývojárov v programe alebo ak plánuje zmenu procesu prijímania. Hovorca spoločnosti Apple však toto vyhlásenie uviedol, ale uviedol, že bude pracovať na zatvorení týchto aplikácií a potenciálne zabrániť vývojárom v budovaní produktov iOS úplne:

"Vývojári, ktorí zneužívajú naše podnikové certifikáty, porušujú Dohodu o programe Programy pre vývojárov spoločnosti Apple a budú ukončené ich certifikáty av prípade potreby ich úplne odstránia z nášho programu vývojárov. Neustále vyhodnocujeme prípady zneužitia a sme pripravení okamžite konať. "

TechCrunch požiadal bezpečnostného experta spoločnosti Guardian Mobile Firewall Will Strafach, aby sa pozrel na aplikácie, ktoré sme našli, a na ich certifikáty. Prvotná analýza aplikácií spoločnosti Strafach nenašla žiadny zjavný dôkaz, že aplikácia obsahuje nesprávne údaje, ale všetky porušujú pravidlá certifikátu spoločnosti Apple a poskytujú obsah zakázaný v App Store. "V súčasnosti som si všimol, že akcia je pomalšia, pokiaľ ide o aplikácie dostupné z nezávislých webových stránok, a nie takéto jednoducho prehľadávateľné adresáre aplikácií", ktoré sa príležitostne objavujú a ponúkajú centralizovaný prístup k množstvu aplikácií s bočnými okrajmi.

Pornová aplikácia AVBobo používa podnikový certifikát zaregistrovaný v spoločnosti Fresno's Cabinet & Furniture Co

Strafach vysvetlil, ako "značný počet podnikových certifikátov používaných na podpísanie verejne dostupných aplikácií sa neformálne označuje ako" certifikáty nečestných osôb ", pretože často nie sú spojené s uvedenou spoločnosťou. Neexistujú žiadne tvrdé fakty na potvrdenie spôsobu, akým tieto certifikáty pochádzajú, ale výsledkom počiatočného kroku je, že jednotlivci získajú kontrolu nad podnikovým certifikátom, ktorý je možné pripísať spoločnosti, zvyčajne z Číny / HK. Služby kódov sa potom predávajú na tichom trhu na čínskych jazykových trhoch, čo vedie k podpísaniu 5 až 10 (alebo viacerých) odlišných aplikácií s rovnakým podnikovým certifikátom. "Zistili sme, že certifikáty Sungate a Mohajer boli vyťažené na používanie viacerými aplikáciami týmto spôsobom.

"Podľa mojej skúsenosti, podpísané aplikácie Enterprise Certificate na nezávislých webových stránkach neboli škodlivé pre používateľov v nebezpečnom zmysle, iba v tom zmysle, že porušili pravidlá", hovorí Strafach. "Aplikácie podpísané podnikovým certifikátom z týchto čínskych" pomocných "nástrojov boli však zmiešanou taškou. Príklad spoločnosti Zoe, v mnohých prípadoch sme zaznamenali takéto aplikácie s ďalším sledovaním a adware kódom, ktorý bol vložený do pôvodne ponúkanej originálnej aplikácie. "

Porn aplikácie ako Swag otvorene propagujú svoju dostupnosť v systéme iOS

Zaujímavé je, že žiadna z aplikácií, ktoré sme objavili mimo iného, ​​nepýtali používateľov na inštaláciu VPN, ako je Google Screenwise, nieto prístup k koreňovým sieťam, ako je Facebook Research. Spoločnosť TechCrunch tento mesiac uviedla, že obe aplikácie platili používateľom, ktorí sa svedčia o svojich súkromných údajoch. Ale iOS verzie boli zakázané Apple potom, čo sme odhalili ich porušenie pravidiel, a Apple tiež spôsobil chaos na Facebooku a kancelárií Google dočasne vypnutie svojich zamestnancov iOS aplikácie len príliš. Skutočnosť, že títo dvaja americkí technickí giganti boli oveľa agresívnejší v oblasti zhromažďovania údajov používateľov než tieňové čínske porno a hazardné aplikácie, hovorí: "Toto je hra s mačkami a myšami", povedal Strafach v súvislosti s úsilím spoločnosti Apple zabrániť týmto aplikáciám. Vzhľadom na nekontrolovateľné zneužitie sa zdá, že spoločnosť Apple môže jednoducho pridať silnejšie verifikačné procesy a ďalšie kontroly programu Enterprise Certificate. Vývojári by mali robiť viac, aby dokázali, že aplikácie sú s držiteľom certifikátu, a spoločnosť Apple by mala pravidelne kontrolovať certifikáty, aby zistili, aké aplikácie napájajú.

Späť, keď spoločnosť Facebook zmeškala Cambridge Analytica zneužívanie platformy aplikácie, bol Cook požiadaný, čo by urobil v obuvi Mark Zuckerberg. "Nebol by som v takejto situácii" povedal Cook úprimne odpovedal. Ale ak Apple nemôže držať porno a kasína mimo iOS, možno Cook by nemal prednášať niekoho iného.