Apple undlader at blokere porno og gambling "Enterprise" apps – TechCrunch


Facebook og Google var langt fra de eneste udviklere, der misbrugte Apples Enterprise Certificate-program, der var åbent for virksomheder, der kun tilbyder apps, der kun var medarbejdere. En TechCrunch-undersøgelse afdækkede et dusin hardcore pornography apps og et dusin rigtige penge gambling apps, der undslippede Apples tilsyn. Udviklerne bestod Apples svage Enterprise Certifikat screening proces eller piggybacked på en legitim godkendelse, så de kunne sidestep App Store og Cupertino's traditionelle sikkerhedsforanstaltninger designet til at holde iOS familie venlige. Uden ordentligt tilsyn kunne de operere disse viceapps, der blatant antyder Apples indholdspolitikker.

Situationen viser yderligere bevis for, at Apple har forsømt sit ansvar for at politiere Enterprise Certificate programmet, hvilket fører til udnyttelse af at omgå App Store regler og forbudte kategorier. For et firma, hvis administrerende direktør Tim Cook kritiserer sine konkurrenter for misbrug af data og politiske fiaskoer som Facebooks Cambridge Analytica, viser Apples manglende evne til at fange og blokere porno og gambling det have arbejde at gøre selv.

Pornapplikationer PPAV og iPorn (iP) fortsætter med at misbruge Apples Enterprise Certificate-program til at stoppe App Store's forbud mod pornografi. Nødhed censureret af TechCrunch

TechCrunch brød i nyhederne i sidste uge, at Facebook og Google havde brudt reglerne for Apples Enterprise Certificate-program for at distribuere apps, der installerede VPN'er eller krævede rootnetadgang for at samle alle en brugers trafik og telefonaktivitet til konkurrencedygtig intelligens. Det førte til, at Apple kortvarigt tilbagekaldte Facebook og Googles certifikater, og dermed deaktiverede virksomhedernes legitime personlige apps, der kun forårsagede kontorchauer.

Apple udstedte en brændende erklæring om, at "Facebook har brugt deres medlemskab til at distribuere en dataindsamlingsapp til forbrugerne, hvilket er et klart brud på deres aftale med Apple. Enhver udvikler, der bruger deres virksomhedscertifikater til at distribuere apps til forbrugere, vil have deres certifikater tilbagekaldt, hvilket er det, vi gjorde i dette tilfælde for at beskytte vores brugere og deres data. "I mellemtiden var der snesevis af forbudte apps tilgængelige for download fra skyggefulde udviklers hjemmesider.

Apple tilbyder et opsigtsværktøj til at finde virksomhedens D-U-N-S-nummer, hvilket gør det muligt for skyggefulde udviklere at smede deres Enterprise Certificate-ansøgning

Problemet starter med Apples laxstandarder for at acceptere virksomheder i virksomhedsprogrammet. Programmet er for virksomheder at distribuere apps kun til deres medarbejdere, og dets politik siger udtrykkeligt "Du må ikke bruge, distribuere eller på anden måde gøre dine interne brugsprogrammer tilgængelige for dine kunder". Men Apple håndhæver ikke disse politikker tilstrækkeligt.

Udviklere skal blot udfylde en online formular og betale $ 299 til Apple, som beskrevet i denne vejledning fra Calvium. Formularen beder kun udviklere om at løfte, at de opbygger en Enterprise Certificate app til internt brugerspørgsmål, at de har den juridiske myndighed til at registrere virksomheden, levere et D-U-N-S forretnings-id-nummer og have en opdateret Mac. Du kan nemt Google en virksomheds adresseoplysninger og kigge op på deres D-U-N-S ID nummer med et værktøj, Apple leverer. Efter at have oprettet et Apple-id og accepterer sine servicevilkår, venter virksomhederne en til fire uger for et telefonopkald fra Apple, der beder dem om at bekræfte, at de kun distribuerer apps internt og har tilladelse til at repræsentere deres forretning.

Med blot et par løgne på telefonen og internettet plus nogle Googleable offentlige oplysninger kan sketchy udviklere blive godkendt til et Apple Enterprise-certifikat.

Real-money gambling apps annoncerer åbenlyst, at de har tilgængelige iOS-versioner, der misbruger Enterprise Certificate-programmet

I betragtning af antallet af politisk overtrædende apps, der distribueres til ikke-ansatte, der bruger registreringer til virksomheder, der ikke er relateret til deres apps, er det klart, at Apple skal stramme tilsynet med Enterprise Certificate-programmet. TechCrunch har fundet tusindvis af websteder, der tilbyder downloads af "sideloaded" Enterprise apps, og undersøger blot en prøve afdækket mange misbrug. Brug af en standard un-jailbroken iPhone. TechCrunch kunne downloade og bekræfte 12 pornografi og 12 rigtige penge gambling apps i løbet af den sidste uge, der misbruger Apples Enterprise Certificate system for at tilbyde apps forbudt fra App Store. Disse apps har enten tilbudt streaming eller pay-per-view hardcore pornografi eller tillod brugere at deponere, vinde og hæve rigtige penge – alt det ville være forbudt, hvis apps blev distribueret via App Store.

En hel skærm med forbudte sideloaded porno og gambling apps TechCrunch kunne downloade gennem Enterprise Certificate systemet

I en tilsyneladende indsats for at øge politihåndhævelsen i kølvandet på TechCrunchs undersøgelse af Facebook og Googles overtrædelser af Enterprise Certificate synes Apple at have deaktiveret nogle af disse apps de sidste par dage, men mange forbliver operationelle. Pornapprogrammerne, som vi opdagede, som for tiden er funktionelle, omfatter Swag, PPAV, Banana Video, iPorn (iP), Pear, Poshow og AVBobo, mens de aktuelt funktionelle gamblingapps omfatter RD Poker og RiverPoker.

Virksomhedscertifikaterne for disse apps blev sjældent registreret til firma navne relateret til deres sande formål. Det eneste eksempel var Lucky8 for gambling. Mange af de anvendte apps uskadelige navne som Interprener, Mohajer International Communications, Sungate og AsianLiveTech. Endnu syntes andre at have smedet eller stjålet legitimationsoplysninger til at tilmelde sig navne på helt uafhængige men legitime virksomheder. Dragon Gaming blev registreret til US grusleverandør CSL-LOMA. Hvad angår porno apps, er PPAV's certifikat tildelt Nanjing Jianye District Information Center, blev Douyin Didi licenseret under Moskva motorcykel firma Akura OOO, kinesisk app Pear er registreret til Grupo Arcavi Sociedad Anonima i Costa Rica, og AVBobo dækker sine spor med navnet af et Fresno-baseret selskab kaldet Chaney Cabinet & Furniture Co.

Du kan se en komplet liste over de politisk overtrædende apps, vi fandt nedenfor:

Apple nægtede at forklare, hvordan disse apps gled ind i programmet Enterprise Certificate app. Det afviste sige, om det gør nogen opfølgningsoverensstemmelsesrevisioner på udviklere i programmet, eller hvis det planlægger at ændre optagelsesprocessen. En Apple-talsmand fremlagde denne erklæring, dog tyder på, at det vil arbejde for at lukke disse apps ned og potentielt forbyde udviklerne at bygge iOS-produkter fuldstændigt:

"Udviklere, der misbruger vores virksomhedscertifikater, overtræder Apple Developer Enterprise-programaftalen og vil få deres certifikater afsluttet, og hvis det er relevant, fjernes de fuldstændigt fra vores udviklerprogram. Vi vurderer løbende tilfælde af misbrug og er villige til at tage øjeblikkelig handling. "

TechCrunch spurgte Guardian Mobile Firewalls sikkerhedsekspert Will Strafach se på de apps, vi fandt og deres certifikater. Strafachs første analyse af apps fandt ikke noget tydeligt bevis for, at appsne misbruger data, men de bryder alle med Apples certifikatpolitik og leverer indhold, der er forbudt fra App Store. "I øjeblikket har jeg bemærket, at handlingen er langsommere med hensyn til apps, der er tilgængelige fra et uafhængigt websted, og ikke disse nemme at skrabe app-mapper", der lejlighedsvis afgrøder at tilbyde centraliseret adgang til en overflod af sideloaded apps.

Porno app AVBobo bruger et Enterprise Certificate registreret på Fresno's Chaney Cabinet & Furniture Co.

Strafach forklarede, hvordan "Et betydeligt antal Enterprise-certifikater, der bruges til at underskrive offentligt tilgængelige apps, henvises informelt til" rogue-certifikater ", da de ofte ikke er forbundet med det navngivne firma. Der er ingen hårde fakta for at bekræfte måden, hvorpå disse certifikater stammer fra, men resultatet af det indledende trin er, at enkeltpersoner får kontrol over et Enterprise Certificate, der kan henføres til et selskab, som regel Kina / HK-baseret. Kodetjenester sælges så stille på kinesiske sprogmarkeder, hvilket resulterer i undertiden 5 til 10 (eller flere) særskilte apps, der underskrives med samme Enterprise Certificate. "Vi fandt Sungate og Mohajer-certifikater blev opdrættet til brug for flere apps på denne måde.

"Efter min erfaring har Enterprise Certificate-underskrevne apps, der er tilgængelige på uafhængige websteder, ikke været skadelige for brugerne i ondsindet forstand, kun i den forstand, at de har brudt reglerne" Strafach notes. "Enterprise Certificate-underskrevne apps fra disse kinesiske" hjælper "-værktøjer har imidlertid været en blandet taske. Zoe-eksempel har vi i flere tilfælde bemærket sådanne apps med yderligere sporings- og adware-kode injiceret i den oprindelige, nu ompakket app, der tilbydes. "

Pornapplikationer som Swag annoncerer åbenlyst deres tilgængelighed på iOS

Interessant nok har ingen af ​​de begrænsede apps, vi opdagede, bedt brugerne om at installere et VPN som Google Screenwise, endsige root netværksadgang som Facebook Research. TechCrunch rapporterede i denne måned, at begge apps havde betalt brugere for at snoop på deres private data. Men iOS-versionerne blev forbudt af Apple, efter at vi udsatte deres politiske overtrædelser, og Apple forårsagede også kaos på Facebook og Googles kontorer ved midlertidigt at lukke deres medarbejder-kun iOS-apps. Det faktum, at disse to amerikanske tech-giganter var mere aggressive om at indsamle brugerdata end skyggefulde kinesiske porno- og gambling-apps, fortæller. "Dette er et kat-og-musespil" Strafach konkluderede med Apples kamp for at holde disse apps væk. Men i betragtning af det voldsomme overgreb ser det ud til, at Apple nemt kunne tilføje stærkere verifikationsprocesser og flere kontrolundersøgelser til Enterprise Certificate-programmet. Udviklere skal skulle gøre mere for at bevise deres apps forbindelse med certifikatindehaveren, og Apple bør regelmæssigt revidere certifikater for at se, hvilken type apps de driver.

Tilbage, da Facebook savnede Cambridge Analytics misbrug af sin appplatform, blev Cook spurgt, hvad han ville gøre i Mark Zuckerbergs sko. "Jeg ville ikke være i denne situation" Cook svarede ærligt. Men hvis Apple ikke kan holde porno og kasinoer væk fra iOS, må Cook måske ikke foredragte andre.