TechCrunch: Apple не может блокировать порно

Ирина Фоменко

Facebook и Google были далеко не единственными разработчиками, открыто злоупотребляющими программой Apple Enterprise Certificate, предназначенной для компаний, предлагающих приложения только для сотрудников.

TechCrunch обнаружил десяток порнографических и игровых (на реальные деньги) приложений, которые избежали контроля Apple. Разработчики прошли процесс проверки Enterprise Certificate или воспользовались законным одобрением, что позволило им обойти App Store и традиционные средства защиты.

Apple открыто пренебрегает своей обязанностью контролировать программу Enterprise Certificate, что дало возможность использовать ее для обхода правил App Store.

111.png (394 KB)

На прошлой неделе Facebook и Google нарушили правила программы Apple Enterprise Certificate для распространения приложений, которые устанавливают VPN или требуют доступа к сети для сбора всего трафика пользователя и активности телефона.

Apple ненадолго отозвал сертификаты Facebook и Google, тем самым отключив законные приложения компаний, предназначенные только для сотрудников, что вызвало офисный хаос.

"Facebook использует свое членство для распространения приложения по сбору данных среди потребителей, что является явным нарушением соглашения с Apple. У любого разработчика, использующего корпоративные сертификаты для распространения приложений среди потребителей, будет аннулирован сертификат, что мы и сделали в этом случае для защиты наших пользователей и их данных", - заявили в Apple.

Тем временем десятки запрещенных приложений были доступны для загрузки с веб-сайтов сомнительных разработчиков.

222.png (62 KB)

Проблема кроется в слабых стандартах Apple для принятия предприятий в корпоративную программу. Она предназначена для компаний, которые распространяют приложения только среди своих сотрудников. В политике прямо говорится: "Вы не можете использовать, распространять или иным образом предоставлять доступ к своим приложениям для внутреннего пользования своим клиентам". Однако Apple не придерживается своей же политики.

Разработчики просто должны заполнить онлайн-форму и заплатить 299 долларов Apple. В заявлении нужно "пообещать", что приложение создано для внутреннего использования сотрудниками, есть законные полномочия для регистрации бизнеса, предоставить идентификационный номер компании и иметь обновленный Mac.

После настройки Apple ID и согласия с условиями обслуживания компании получают телефонный звонок от Apple в течение четырех недель с просьбой подтвердить, что разработчики будут распространять приложения только внутри предприятия.

333.png (451 KB)

TechCrunch обнаружил тысячи сайтов, предлагающих загрузку "sideloaded" приложений Enterprise. Было загружено и проверено 12 порнографических и игровых приложений, которые злоупотребляли системой Enterprise Certificate. Программы предлагали либо потоковое порно, либо плату за просмотр видео, а также возможность делать ставки на реальные деньги.

444.png (168 KB)

После расследования TechCrunch в отношении нарушений Facebook и Google Enterprise Certificate Apple заблокировал некоторые приложения на несколько дней, но многие все еще работают - Swag, PPAV, Banana Video, iPorn (iP), Pear, Poshow, AVBobo, RD Poker и RiverPoker.

Enterprise Certificates для этих приложений редко регистрировались на названия компаний, связанные с их истинным назначением. Единственным примером был Lucky8 для азартных игр. Многие приложения использовали безобидные названия, такие как Interprener, Mohajer International Communications, Sungate и AsianLiveTech. Другие подделывали или крали учетные данные, чтобы зарегистрироваться под именами совершенно несвязанных, но законных предприятий.

555.png (119 KB)

666.png (132 KB)

Apple отказался объяснить, как эти приложения попали в программу Enterprise Certificate. "Разработчики, которые злоупотребляют нашими корпоративными сертификатами, нарушают Apple Developer Enterprise Program Agreement. Их сертификаты будут аннулированы, а при необходимости - полностью удалены из нашей Developer Program. Мы постоянно оцениваем случаи неправомерного использования и готовы принять немедленные меры", - сообщил представитель компании.

Эксперт по безопасности Guardian Mobile Firewall Уилл Страфач проанализировал найденные приложения и их сертификаты: все они нарушают политику в отношении сертификатов и предоставляют контент, запрещенный в App Store.

777.png (217 KB)

"Значительное количество Enterprise Certificates, используемых для подписи общедоступных приложений, неофициально называют "мошенническими сертификатами", поскольку они часто не связаны с указанной компанией. Нет никаких веских фактов, подтверждающих способ их происхождения. Как результат - отдельные лица получат контроль над Enterprise Certificate, принадлежащим корпорации где-нибудь в Китае или Гонконге", - пояснил Страфач. – "По моему опыту, приложения с подписью Enterprise Certificate, доступные на независимых веб-сайтах, наносят вред пользователям только в смысле нарушения правил".

888.png (379 KB)

Ни одно из обнаруженных приложений не просило пользователей установить VPN, например, Google Screenwise, не говоря уже о доступе к сети, такой как Facebook Research. Оба приложения платят пользователям за отслеживание их личных данных. Но их iOS-версии Apple запретил после выявления нарушений политики.