Apple не успява да блокира приложения за порно и хазартни игри „Enterprise“ – TechCrunch


Facebook и Google далеч не бяха единствените разработчици, които открито злоупотребяваха с програмата за сертифициране на предприятието на Apple, предназначена за компании, предлагащи приложения само за служители. Разследването на TechCrunch разкри дузина приложения за хардкор порнография и дузина приложения за хазарт в реални пари, които избягаха от надзора на Apple. Разработчиците преминаха слабия процес за проверка на сертификатите на предприятието на Apple или им предоставиха законно одобрение, което им позволи да заобиколят традиционните предпазни мерки на App Store и Cupertino, предназначени да поддържат семейството на iOS. Без подходящ надзор, те успяха да оперират с тези приложения за вице, които очевидно харесваха политиките на Apple относно съдържанието.

Ситуацията показва още едно доказателство, че Apple пренебрегва отговорността си да контролира програмата за сертифициране на предприятието, което води до неговата експлоатация, за да заобиколи правилата на App Store и забранените категории. За компания, чийто главен изпълнителен директор Тим Кук често критикува конкурентите си за злоупотреби с данни и политически финаси като Cambridge Analytica на Facebook, неуспехът на Apple да улови и блокира тези порнография и хазарт показва, че има работа.

Портфолио PPAV и iPorn (iP) продължават да злоупотребяват с Apple Програма за сертифициране на предприятия за заобикаляне на забраната за порнография на App Store. Готовността, цензурирана от TechCrunch

TechCrunch разби новината миналата седмица, че Facebook и Google са нарушили правилата на програмата за сертифициране на предприятията на Apple за разпространение на приложения, които инсталират VPN или изискват достъп до root мрежа, за да събира цялата информация за трафика на потребителите и телефонната дейност за конкурентно разузнаване. Това накара Apple да отмени накратко сертификатите на Facebook и Google, като по този начин деактивира законните приложения само на служителите, които предизвикаха хаос в офиса.

Apple публикува огнено изявление, че „Facebook използва тяхното членство, за да разпространява приложение за събиране на данни на потребителите, което е явно нарушение на споразумението им с Apple. Всеки разработчик, използващ сертификатите на предприятието си за разпространение на приложения към потребителите, ще бъде анулиран от сертификатите си, което направихме в този случай, за да защитим нашите потребители и техните данни. "Междувременно десетки забранени приложения бяха достъпни за изтегляне от уебсайтовете на сенчести разработчици.

Apple предлага инструмент за търсене за намиране на D-U-N-S номер на всеки бизнес, което позволява на сенчестите разработчици да изградят приложението си за сертификат за предприятие

Проблемът започва с неблагоприятните стандарти на Apple за приемане на предприятия в корпоративната програма. Програмата е за компаниите да разпространяват приложения само до своите служители, а политиката й изрично заявява, че "Вие не можете да използвате, разпространявате или по друг начин да предоставяте достъп до вашите вътрешни приложения на вашите клиенти". Въпреки това Apple не прилага адекватно тези политики.

Разработчиците просто трябва да попълнят онлайн формуляр и да платят $ 299 на Apple, както е описано в това ръководство от Калвиум. Формулярът само изисква от разработчиците да заявят, че създават приложение за сертификат на предприятието за вътрешно ползване само от служители, че имат законовите правомощия да регистрират бизнеса, да предоставят бизнес идентификационен номер на D-U-N-S и да разполагат с актуален Mac. Лесно можете да генерирате информация за адреса на дадена фирма и да потърсите техния идентификационен номер D-U-N-S с помощта на инструмент, който Apple осигурява. След като създадоха идентификационен номер на Apple и се съгласиха с условията за ползване на услугата, фирмите изчакват една до четири седмици за телефонно обаждане от Apple, като ги помолят да потвърдят, че ще разпространяват само вътрешно приложения и са упълномощени да представляват бизнеса си.

Само с няколко лъжа по телефона и мрежата, плюс известна обществена информация, която може да се използва от Google, схематичните разработчици могат да бъдат одобрени за сертификат на Apple Enterprise.

Приложенията за хазарт в реални пари открито рекламират, че имат налични версии на iOS, които злоупотребяват с програмата за сертифициране на предприятието

Като се има предвид броят на приложенията, нарушаващи политиката, които се разпространяват на не-служители, използващи регистрации за фирми, които не са свързани с техните приложения, ясно е, че Apple трябва да затегне контрола върху програмата за сертифициране на предприятието. TechCrunch установи, че хиляди сайтове, които предлагат изтегляне на „sideloaded“ Enterprise приложения и разследването на само една извадка, разкри многобройни злоупотреби. Използване на стандартен un-jailbroken iPhone. През последната седмица TechCrunch успя да изтегли и провери 12 порнографски и 12 приложения за хазартни игри с реални пари, които злоупотребяват с системата на Apple за сертифициране на предприятия, за да предлагат приложения, забранени от App Store. Тези приложения предлагат или стрийминг, или заплащане на хардкор порнография, или позволяват на потребителите да депозират, спечелят и изтеглят истински пари – всичко това би било забранено, ако приложенията се разпространяват чрез App Store.

Целият екран от забранените приложения за порно и хазартни игри, които TechCrunch можеше да изтегли чрез системата за сертифициране на предприятието

Очевидно в опит да засили прилагането на политиката след разследването на TechCrunch във връзка с нарушенията във Facebook и Google Enterprise сертификат, Apple изглежда е деактивирала някои от тези приложения през последните няколко дни, но много от тях продължават да функционират. Порно приложенията, които открихме, които понастоящем функционират, включват Swag, PPAV, Banana Video, iPorn (iP), Pear, Poshow и AVBobo, докато функционалните хазартни приложения включват RD Poker и RiverPoker.

Сертификатите на предприятията за тези приложения рядко са регистрирани за имена на компании, свързани с тяхната истинска цел. Единственият пример беше Lucky8 за хазарт. Много от приложенията използват безвредни имена като Interprener, Mohajer International Communications, Sungate и AsianLiveTech. Други обаче изглежда са подправили или откраднали пълномощията, за да се регистрират под имената на напълно несвързани, но законни фирми. Dragon Gaming е регистриран в САЩ доставчик на чакъл CSL-LOMA. Що се отнася до порно приложенията, сертификатът на PPAV е възложен на Областния информационен център Nanjing Jianye, Douyin Didi е лицензиран от московската компания за мотоциклети Akura OOO, китайското приложение Pear е регистрирано в Grupo Arcavi Sociedad Anonima в Коста Рика, а AVBobo покрива песните си с името на компания, базирана във Фресно, наречена Chaney Cabinet & Furniture Co.

Можете да видите пълен списък с приложенията, нарушаващи правилата, които открихме по-долу:

Apple отказа да обясни как тези приложения се вмъкнаха в програмата за сертифициране на предприятието. Той отказа да каже дали извършва някакви последващи одити за съответствие на разработчиците в програмата или ако планира да промени процеса на приемане. Говорител на Apple обаче предостави това изявление, като посочи, че ще работи за затваряне на тези приложения и потенциално забрана на разработчиците да създават изцяло iOS продукти:

„Разработчиците, които злоупотребяват с нашите фирмени сертификати, са в нарушение на Споразумението за програмата на Apple Developer Enterprise и ще прекратят сертификатите си и ако е подходящо, те ще бъдат изцяло премахнати от нашата програма за програмисти. Ние непрекъснато оценяваме случаите на злоупотреба и сме готови да предприемем незабавни действия. ”

TechCrunch поиска от експерта по сигурността на Guardian Mobile Firewall Уил Страфач да разгледа приложенията, които открихме, и техните сертификати. Първоначалният анализ на приложенията на Strafach не откри никакви явни доказателства, че приложенията злоупотребяват с данни, но всички те нарушават правилата на Apple за сертификати и предоставят съдържание, забранено от App Store. „В момента съм забелязал, че действията са по-бавни по отношение на приложенията, достъпни от независим уебсайт, а не тези лесни за изтриване директории на приложения, които понякога се появяват, предлагайки централизиран достъп до множество sideloaded приложения.

Porn app AVBobo използва сертификат за предприятие, регистриран в Fresno's Chaney Cabinet & Furniture Co

Страфах обясни, че „значителен брой сертификати на предприятието, използвани за подписване на публично достъпни приложения, са неофициално наричани„ нелоялни сертификати “, тъй като те често не са свързани с посочената компания. Няма твърди факти, които да потвърдят начина, по който тези сертификати произхождат, но резултатът от първоначалната стъпка е, че физическите лица ще получат контрол върху сертификат за предприятие, който се дължи на корпорация, обикновено базирана на Китай / HK. След това кодовите услуги се продават тихо на пазари на китайски език, в резултат на което понякога се подписват от 5 до 10 (или повече) различни приложения със същия сертификат за предприятието. ”Намерихме сертификатите Sungate и Mohajer да бъдат отглеждани за използване от множество приложения по този начин.

„По мое изживяване, приложенията за сертифициране на предприятия, достъпни на независими уебсайтове, не са вредни за потребителите в злонамерен смисъл, само в смисъл, че са нарушили правилата”, отбелязва Страфах. „Приложенията за сертифициране на предприятия от тези китайски„ помощни ”инструменти обаче са смесени. Например в няколко случая забелязахме такива приложения с допълнителен код за проследяване и рекламен код, които се инжектират в предлаганото първоначално приложение, което вече се препакетира. "

Порно приложения като Swag открито рекламират своята наличност на iOS

Интересното е, че нито една от офлайн приложенията, които открихме, не помоли потребителите да инсталират VPN като Google Screenwise, да не говорим за достъп до root мрежа като Facebook Research. TechCrunch съобщи този месец, че и двете приложения плащат на потребителите да нахлуват върху личните си данни. Но версиите на iOS бяха забранени от Apple, след като разкрихме техните нарушения на политиката, а Apple също предизвика хаос в офисите на Facebook и Google, като временно изключи техните приложения само за IOS. Фактът, че тези два американски технологични гиганта са по-агресивни по отношение на събирането на потребителски данни от сенчести китайски порно и хазартни приложения, казва: "Това е игра с котки и мишки" Страфах заключи за борбата на Apple да задържи тези приложения. Но като се има предвид буйната злоупотреба, изглежда, че Apple може лесно да добави по-силни процеси за проверка и повече проверки на програмата за сертифициране на предприятието. Разработчиците трябва да направят повече, за да докажат връзката на приложенията си с притежателя на сертификата, а Apple трябва редовно да проверяват сертификатите, за да видят какви приложения изпълняват.

Когато Facebook пропусна злоупотребата с приложението на платформата на Cambridge Analytica, Кук беше попитан какво ще прави в обувките на Марк Цукърбърг. "Няма да бъда в тази ситуация", отвърна Кук. Но ако Apple не може да поддържа порно и казина извън iOS, може би Кук не трябва да изнася лекции на никой друг.