Apple ei estä pornoa ja uhkapeliä "Enterprise" -sovelluksia – TechCrunch


Facebook ja Google olivat kaukana ainoista kehittäjistä, jotka käyttivät avoimesti väärin Applen Enterprise Certificate -ohjelmaa, joka oli tarkoitettu vain työntekijöille tarkoitettuja sovelluksia tarjoaville yrityksille. TechCrunch-tutkimuksessa paljastui kymmenkunta kovaa pornografiaa sisältävää sovellusta ja kymmeniä tosiasiallisia rahapelien sovelluksia, jotka pakenivat Applen valvonnasta. Kehittäjät läpäisivät Applen heikon yritystodistuksen seulontaprosessin tai palauttivat sen oikeutetulla hyväksynnällä, minkä ansiosta he voivat ohittaa App Storen ja Cupertinon perinteiset suojatoimenpiteet, joiden tarkoituksena on pitää iOS: n perheystävällinen. Ilman asianmukaista valvontaa he pystyivät käyttämään näitä vice-sovelluksia, jotka räikeästi hittivät Applen sisältöpolitiikkaa.

Tilanne osoittaa lisää todisteita siitä, että Apple on laiminlyönyt velvollisuutensa poliisata Enterprise Certificate -ohjelmaa, mikä johtaa sen hyödyntämiseen kiertääkseen App Storen sääntöjä ja kiellettyjä luokkia. Yritykselle, jonka toimitusjohtaja Tim Cook usein arvostelee kilpailijoitaan tietojen väärinkäytöstä ja politiikan fiaskoista, kuten Facebookin Cambridge Analyticasta, Applen epäonnistuminen ja estäminen näiden porno- ja rahapelien osalta osoittaa, että sillä on työtä itse.

Porno-sovellukset PPAV ja iPorn (iP) vääristävät edelleen Applen Enterprise Certificate -ohjelman avulla App Store -yhtiön pornografiakiellon estäminen. TechCrunchin sensuroimaa alastomuutta

TechCrunch rikkoi viime viikolla tapahtuneen uutisen, että Facebook ja Google olivat rikkoneet Applen Enterprise-sertifikaattiohjelman sääntöjä jakamaan VPN: iä asennettuja sovelluksia tai vaatineet juuriverkkoa keräämään kaikki käyttäjän liikenne- ja puhelintoiminnot kilpailukykyiseen tiedusteluun. Tämä johti siihen, että Apple peruutti lyhyen aikaa Facebookin ja Googlen sertifikaatit, jolloin yritysten lailliset työntekijöiden sovellukset, jotka aiheuttivat toimistokaaosin, poistuvat käytöstä.

Apple antoi tulisen lausunnon siitä, että "Facebook on käyttänyt jäsenyyttään jakamaan tietojenkeruun sovelluksen kuluttajille, mikä on selkeä rikkomus niiden sopimuksesta Applen kanssa. Jokaisella kehittäjällä, joka käyttää yritystodistuksiaan sovellusten jakamiseksi kuluttajille, on niiden sertifikaatit peruutettu, mitä teimme tässä tapauksessa käyttäjien ja niiden tietojen suojaamiseksi. ”Samaan aikaan kymmeniä kiellettyjä sovelluksia oli ladattavissa varjoisien kehittäjien verkkosivuilta.

Apple tarjoaa hakutyökalun minkä tahansa D-U-N-S-numeron löytämiseen, jolloin varjoisat kehittäjät voivat luoda Enterprise-sertifikaattihakemuksensa

Ongelma alkaa Applen ripeistä standardeista, jotka koskevat yritysten hyväksymistä yritysohjelmaan. Ohjelma on tarkoitettu yritysten jakamaan sovelluksia vain työntekijöilleen, ja sen käytännöissä todetaan nimenomaisesti, että "et saa käyttää, jakaa tai muuten tehdä sisäisiä käyttösovelluksiasi asiakkaiden saataville". Apple ei kuitenkaan noudata näitä käytäntöjä asianmukaisesti.

Kehittäjien on yksinkertaisesti täytettävä online-lomake ja maksettava Appleille 299 dollaria, kuten tässä Calviumin oppaassa on kuvattu. Lomake vain pyytää kehittäjiä antamaan luvan rakentaa Enterprise Certificate -sovelluksen vain työntekijöiden sisäiseen käyttöön, että heillä on laillinen valtuudet rekisteröidä yritys, tarjota D-U-N-S-yrityksen tunnusnumero ja että heillä on ajan tasalla oleva Mac. Voit helposti Google-yrityksen osoitetietoja ja etsiä D-U-N-S-tunnusnumeronsa Applen tarjoamalla työkalulla. Kun olet määrittänyt Applen tunnuksen ja hyväksynyt sen käyttöehdot, yritykset odottavat 1-4 viikkoa puhelusta Appleilta pyytämällä heitä vahvistamaan uudelleen, että ne jakavat sovelluksia vain sisäisesti ja ovat oikeutettuja edustamaan liiketoimintaansa.

Vain muutama valhe on puhelimessa ja verkossa sekä joitakin Googlable julkisia tietoja, luonnollinen kehittäjät voivat saada hyväksynnän Apple Enterprise Certificate.

Real-money-pelaamista koskevat sovellukset mainostavat avoimesti, että niillä on saatavilla iOS-versioita, jotka vääristävät Enterprise Certificate -ohjelmaa

Kun otetaan huomioon, kuinka monta politiikkaa rikkovaa sovellusta jaetaan muille kuin työntekijöille, jotka käyttävät rekisteröityjä yrityksiä niiden sovelluksiin, on selvää, että Applen on tiukennettava Enterprise Certificate -ohjelman valvontaa. TechCrunch löysi tuhansia sivustoja, joissa on ladattuja "sivutettuja" Enterprise-sovelluksia, ja vain näytteen tutkiminen paljasti lukuisia väärinkäytöksiä. Käyttämällä standardia un-jailbroken iPhone. TechCrunch pystyi lataamaan ja tarkistamaan 12 pornografiaa ja 12 tosiasiallista rahapelien ohjelmaa viime viikolla, jotka käyttivät väärin Applen yritystodistusjärjestelmää tarjoamaan App Storesta kiellettyjä sovelluksia. Nämä sovellukset tarjosivat joko streaming- tai pay-per-view-pornografiaa tai sallivat käyttäjien tallettaa, voittaa ja vetää oikeaa rahaa – kaikki tämä olisi kielletty, jos sovellukset jaettiin App Storen kautta.

Koko näyttö kielletyistä sivutuotteista porno- ja rahapelien sovelluksista TechCrunch pystyi lataamaan Enterprise Certificate -järjestelmän kautta

Selvästikin pyrittäessä tehostamaan politiikan täytäntöönpanoa TechCrunchin tekemän tutkimuksen seurauksena Facebookissa ja Googlen yritystodistusten rikkomisissa, Apple näyttää poistaneen joitakin näistä sovelluksista viime päivinä, mutta monet pysyvät toiminnassa. Porno-sovellukset, jotka havaitsimme ja jotka ovat tällä hetkellä toiminnassa, ovat Swag, PPAV, Banana Video, iPorn (iP), Pear, Poshow ja AVBobo, kun taas tällä hetkellä toiminnalliset peliohjelmat sisältävät RD Pokerin ja RiverPokerin.

Näiden sovellusten Enterprise-sertifikaatit rekisteröitiin harvoin yrityksen nimiin, jotka liittyvät niiden todelliseen tarkoitukseen. Ainoa esimerkki oli Lucky8 pelaamiseen. Monet sovelluksista käyttivät vaarattomia nimiä kuten Interprener, Mohajer International Communications, Sungate ja AsianLiveTech. Toiset näyttivät kuitenkin väärentäneen tai varastaneen valtakirjat rekisteröityäkseen täysin riippumattomien, mutta laillisten yritysten nimissä. Dragon Gaming rekisteröitiin Yhdysvaltain sora-toimittajaan CSL-LOMA. Mitä tulee porno sovelluksiin, PPAV: n sertifikaatti on osoitettu Nanjing Jianye District Information Centerille, Douyin Didi oli lisensoitu Moskovan moottoripyöräyhtiön Akura OOO, kiinalainen sovellus Pear on rekisteröity Grupo Arcavi Sociedad Anonima Costa Ricassa ja AVBobo kattaa raidat nimellä Fresno-yhtiö Chaney Cabinet & Furniture Co.

Näet täydellisen luettelon seuraavista käytännöistä, jotka rikkovat sovelluksia:

Apple kieltäytyi selittämästä, miten nämä sovellukset liukastuivat Enterprise Certificate -sovellusohjelmaan. Se kieltäytyi sanomasta, onko se toteuttanut ohjelmien kehittäjiä koskevia seurantatarkastuksia tai aikooko se muuttaa osallistumisprosessia. Applen tiedottaja toimitti kuitenkin tämän lausunnon, joka osoittaa, että se pyrkii sulkemaan nämä sovellukset alas ja mahdollisesti kieltämään kehittäjät rakentamasta iOS-tuotteita kokonaan:

”Kehittäjät, jotka käyttävät yrityksen sertifikaatteja väärin, rikkovat Apple Developer Enterprise -ohjelmasopimusta ja niiden sertifikaatit päättyvät, ja tarvittaessa ne poistetaan kehittäjäohjelmistamme kokonaan. Arvioimme jatkuvasti väärinkäytön tapauksia ja olemme valmiita ryhtymään välittömästi toimiin. ”

TechCrunch pyysi Guardian Mobile Firewallin turvallisuusasiantuntijaa Will Strafachia tarkastelemaan löytämiäsi sovelluksia ja niiden varmenteita. Strafachin alustava analyysi sovelluksista ei löytänyt mitään silmiinpistävää näyttöä siitä, että sovellukset ovat väärin soveltaneet tietoja, mutta ne kaikki rikkovat Applen varmenteita ja tarjoavat sisältöä, joka on kielletty App Storesta. ”Tällä hetkellä olen huomannut, että toiminta on hitaampaa riippumattomasta verkkosivustosta saatavien sovellusten osalta, mutta ei näitä helposti kaavittavia sovellushakemistoja”, jotka satunnaisesti tuottavat keskitetyn pääsyn lukuisille sivulle siirretyille sovelluksille.

Pornovideo AVBobo käyttää yritystodistusta, joka on rekisteröity Fresnon Chaney Cabinet & Furniture Co

Strafach selitti, miten ”Merkittävä osa julkisesti saatavilla olevien sovellusten allekirjoittamiseen käytetyistä yritystodistuksista kutsutaan epävirallisesti” rogue-todistuksiksi ”, koska ne eivät usein liity nimettyyn yritykseen. Ei ole kovaa tosiasiaa, jolla vahvistettaisiin, miten nämä varmenteet ovat peräisin, mutta alkuaskel on se, että yksityishenkilöt saavat määräysvallan yrityksen todistuksesta, joka on omistettu yhtiölle, yleensä Kiinalle / HK: lle. Koodipalvelut myydään sitten hiljaa kiinankielisillä markkinapaikoilla, mikä johtaa joskus 5–10 (tai useamman) erillisen sovelluksen allekirjoittamiseen samalla Enterprise-sertifikaatilla. ”Löysimme Sungate- ja Mohajer-sertifikaatit, joita on käytetty useiden sovellusten käyttöön tällä tavalla.

”Kokemukseni mukaan riippumattomissa sivustoissa käytettävissä olevat Enterprise Certificate -sovellukset eivät ole olleet haitallisia käyttäjille haitallisessa mielessä vain siinä mielessä, että ne ovat rikkoneet säännöt” Strafach toteaa. ”Näiden kiinalaisten” auttaja ”-työkalujen yritystodistusten allekirjoittamat sovellukset ovat kuitenkin olleet sekoitettu laukku. Esimerkiksi useissa tapauksissa olemme havainneet tällaisia ​​sovelluksia, joissa on lisäseuranta ja mainosohjelmakoodi, joka on syötetty alkuperäiseen nyt uudelleen pakattuun sovellukseen.

Porno-sovellukset, kuten Swag, mainostavat avoimesti niiden saatavuutta iOS: ssa

Mielenkiintoista on, että yksikään sellaisista sovelluksista, joita havaitsimme, ei pyytänyt käyttäjiä asentamaan VPN: n, kuten Google Screenwise, puhumattakaan root-verkkoon pääsystä, kuten Facebook Research. TechCrunch kertoi tässä kuussa, että molemmat sovellukset olivat maksaneet käyttäjille henkilökohtaisia ​​tietoja. Apple kuitenkin kieltäytyi iOS-versioista, kun olemme paljastaneet politiikkansa rikkomiset, ja Apple aiheutti myös kaaosta Facebookissa ja Googlen toimistoissa sammuttamalla väliaikaisesti vain työntekijöille tarkoitetut iOS-sovellukset. Se, että nämä kaksi yhdysvaltalaisen tech-jättiläistä olivat aggressiivisempia keräämään käyttäjätietoja kuin varjoisat kiinalaiset porno- ja uhkapeli-sovellukset, kertoo. ”Tämä on kissan ja hiiren peli”, Strafach totesi, että Applen taistelu pitää nämä sovellukset pois. Mutta kun otetaan huomioon uhanalainen väärinkäyttö, näyttää siltä, ​​että Apple voisi helposti lisätä vahvempia vahvistusprosesseja ja enemmän tarkistuksia Enterprise Certificate -ohjelmaan. Kehittäjien tulee tehdä enemmän todistääkseen sovellustensa yhteyden varmenteen haltijaan, ja Applen tulisi säännöllisesti tarkastaa varmenteet, jotta he voisivat nähdä, millaisia ​​sovelluksia ne käyttävät.

Takaisin, kun Facebook jäi käyttämättä Cambridge Analytican väärinkäyttöä sovellusalustallaan, Cookille kysyttiin, mitä hän tekisi Mark Zuckerbergin kengissä. ”En olisi tässä tilanteessa” Cook vastasi rehellisesti. Mutta jos Apple ei pysty pitämään pornoa ja kasinot pois iOS: sta, Cook ei pitäisi olla luennassa kenellekään muulle.