爱思助手

苹果企业开发者证书成漏洞:盗版商发布破解版 iPhone 应用

2月14日消息,路透社发现,软件盗版商劫持了苹果公司开发的技术,在iPhone上发布破解版Spotify、《愤怒的小鸟》、《口袋妖怪GO》、《我的世界》以及其他热门应用。


非法软件分销商TutuApp、Panda Helper、AppValley以及TweakBox已经找到方法,利用数字证书访问苹果面向企业推出的一个项目。该项目允许企业在不经过苹果紧密控制的App Store面向他们的员工发布企业应用。


这就是所谓的企业开发者证书。盗版商利用苹果企业开发者证书向消费者提供修改版热门应用,让消费者在听音乐时免除广告,规避游戏中的收费和规定,令苹果和合法应用开发商蒙受收入损失。


苹果企业开发者证书成漏洞:盗版商发布破解版 iPhone 应用


盗版商此举违反了苹果开发者项目规则,后者只允许应用通过App Store向公众发布。用户下载修改版应用几乎违反了所有主要应用的服务条款。


TutuApp、Panda Helper、AppValley以及TweakBox尚未置评。


苹果无法追踪这些证书的实时发布,或者说不当修改应用在手机上的传播,但是苹果在发现证书遭滥用后可以予以取消。


“滥用企业证书的开发者违反了苹果开发者企业项目协议,证书将被终止,适当情况下会被彻底移除出我们的开发者项目,”苹果发言人称,“我们一直在评估证书滥用情况,准备立即采取行动。”


“这不会阻止这些公司通过另外一个团队,更换开发者账号再次滥用证书,”软件公司Shape Security安全主管阿米涅·哈姆巴拉(Amine Hambaba)表示。


苹果在本周三证实,将在本月底之前要求所有开发者启用双重认证登录账号,也就是密码和手机验证码。这可能有助于防止企业证书被滥用。


主要应用开发商Spotify、Rovio以及Niantic已开始发起反击。Spotify拒绝就修改版应用置评,但是该公司在本月稍早时候表示,新的服务条款将打击那些开发或发布旨在屏蔽广告的用户。


蚕食苹果收入


目前还不清楚盗版软件分销商蚕食了多少苹果和合法应用开发商的收入。


TutuApp提供了免费版《我的世界》,该游戏在苹果App Store的售价为6.99美元。AppValley则向消费者提供了免广告版的Spotify流媒体音乐服务。


这些分销商通过销售“VIP”版服务赚钱,该服务号称比免费版服务更稳定。订阅了VIP版服务的用户每年要至少支付13美元。目前还无法了解有多少用户订阅了这种服务,但是这些盗版软件分销商在Twitter上的粉丝总量超过60万。


长期以来,安全研究人员不断就企业开发者证书的滥用发出警告。企业开发者证书相当于一个数字密钥,能够告诉iPhone从网上下载的软件是可信任的,可以打开的。它们是企业应用项目的核心所在,能够让消费者在苹果不知情的情况下在iPhone上安装应用。


一些盗版应用的分销商使用了通过合法企业名称获得的证书,但是不清楚他们是如何做到的。多家盗版商伪装成了中国移动的子公司。中国移动尚未置评。


苹果在上月短暂撤下了Facebook和谷歌母公司Alphabet的企业证书,原因是发现他们利用企业证书向消费者发布数据收集应用。


科技网站TechCrunch在本周稍早时候报道称,企业证书的滥用还可以导致盗版商发布色情和赌博应用,这两种应用都是App Store明令禁止的。


图文来自凤凰科技,如有侵权请联系删除。