Facebook y Google estaban lejos de ser los únicos desarrolladores que abusaban abiertamente del programa Enterprise Certificate de Apple destinado a empresas que ofrecían aplicaciones solo para empleados. Una investigación de TechCrunch descubrió una docena de aplicaciones de pornografía hardcore y una docena de aplicaciones de apuestas con dinero real que escaparon a la supervisión de Apple. Los desarrolladores aprobaron el débil proceso de selección de certificados de empresa de Apple o se apoyaron en una aprobación legítima, lo que les permitió eludir las salvaguardas tradicionales de la App Store y Cupertino diseñadas para mantener la iOS amigable para la familia. Sin la supervisión adecuada, pudieron operar estas aplicaciones secundarias que ostentan flagrantemente las políticas de contenido de Apple.
La situación muestra evidencia adicional de que Apple ha estado descuidando su responsabilidad de controlar el programa Enterprise Certificate, lo que lleva a su explotación para eludir las reglas de la App Store y las categorías prohibidas. Para una compañía cuyo CEO, Tim Cook, critica con frecuencia a sus competidores por el uso indebido de datos y los fiascos de políticas como Cambridge Analytica de Facebook, el hecho de que Apple no atrape y bloquee esta pornografía y el juego demuestra que tiene trabajo por hacer.
TechCrunch dio la noticia la semana pasada de que Facebook y Google habían infringido las reglas del programa Enterprise Certificate de Apple para distribuir aplicaciones que instalaban VPN o exigían acceso a la red raíz para recopilar todo el tráfico y la actividad telefónica de un usuario para obtener inteligencia competitiva. Eso llevó a Apple a revocar brevemente los certificados de Facebook y Google, deshabilitando así las aplicaciones legítimas para empleados de las compañías, que causaron el caos en la oficina.
Apple emitió una declaración feroz de que "Facebook ha estado usando su membresía para distribuir una aplicación de recopilación de datos a los consumidores, lo que es una clara violación de su acuerdo con Apple. Cualquier desarrollador que use sus certificados empresariales para distribuir aplicaciones a los consumidores tendrá sus certificados revocados, que es lo que hicimos en este caso para proteger a nuestros usuarios y sus datos ". Mientras tanto, docenas de aplicaciones prohibidas estaban disponibles para descargar desde sitios web de desarrolladores turbios.
El problema comienza con los estándares laxos de Apple para aceptar negocios para el programa empresarial. El programa es para que las compañías distribuyan aplicaciones solo a sus empleados, y su política establece explícitamente que "Usted no puede usar, distribuir o hacer que sus Aplicaciones de Uso Interno estén disponibles para Sus Clientes". Sin embargo, Apple no hace cumplir adecuadamente estas políticas.
Los desarrolladores simplemente tienen que completar un formulario en línea y pagar $ 299 a Apple, como se detalla en esta guía de Calvium. El formulario simplemente le pide a los desarrolladores que se comprometan a construir una aplicación de Certificado Empresarial para uso interno exclusivo de los empleados, que tienen la autoridad legal para registrar la empresa, proporcionar un número de identificación comercial D-U-N-S y tener una Mac actualizada. Puede buscar fácilmente los detalles de la dirección de una empresa en Google y buscar su número de identificación D-U-N-S con una herramienta que Apple proporciona. Después de configurar una ID de Apple y aceptar sus términos de servicio, las empresas esperan de una a cuatro semanas para que Apple les llame y les solicite que reconfirmen que solo distribuirán las aplicaciones internamente y están autorizadas para representar su negocio.
Con solo algunas mentiras en el teléfono y la web, además de cierta información pública de Googleable, los desarrolladores incompletos pueden obtener la aprobación para un certificado de empresa de Apple.
Dada la cantidad de aplicaciones que violan las políticas que se distribuyen a no empleados que utilizan registros para empresas que no están relacionadas con sus aplicaciones, está claro que Apple necesita restringir la supervisión del programa Enterprise Certificate. TechCrunch encontró miles de sitios que ofrecen descargas de aplicaciones empresariales "cargadas" e investigando solo una muestra que descubrió numerosos abusos. Usando un iPhone estándar sin jailbreak. TechCrunch pudo descargar y verificar 12 aplicaciones de juegos pornográficos y 12 de dinero real durante la semana pasada que abusaron del sistema de certificados de empresa de Apple para ofrecer aplicaciones prohibidas en la App Store. Estas aplicaciones ofrecían streaming o pornografía hardcore de pago por visión, o permitían a los usuarios depositar, ganar y retirar dinero real, todo lo cual estaría prohibido si las aplicaciones se distribuyeran a través de la App Store.
En un esfuerzo aparente por intensificar la aplicación de políticas a raíz de la investigación de TechCrunch sobre las infracciones de certificados empresariales de Facebook y Google, parece que Apple ha desactivado algunas de estas aplicaciones en los últimos días, pero muchas siguen operativas. Las aplicaciones pornográficas que descubrimos que actualmente funcionan incluyen Swag, PPAV, Banana Video, iPorn (iP), Pear, Poshow y AVBobo, mientras que las aplicaciones de juego actualmente funcionales incluyen RD Poker y RiverPoker.
Los certificados de empresa para estas aplicaciones rara vez se registraron a nombres de compañías relacionados con su verdadero propósito. El único ejemplo fue Lucky8 para el juego. Muchas de las aplicaciones utilizan nombres inocuos como Interprener, Mohajer International Communications, Sungate y AsianLiveTech. Sin embargo, otros parecían haber falsificado o robado credenciales para inscribirse bajo los nombres de empresas completamente no relacionadas pero legítimas. Dragon Gaming fue registrado por el proveedor estadounidense de grava CSL-LOMA. En cuanto a las aplicaciones pornográficas, el certificado de PPAV está asignado al Centro de Información del Distrito de Nanjing Jianye, Douyin Didi obtuvo la licencia de la compañía de motocicletas de Moscú Akura OOO, la aplicación china Pear está registrada en el Grupo Arcavi Sociedad Anónima en Costa Rica y AVBobo cubre sus huellas con el nombre de una compañía con sede en Fresno llamada Chaney Cabinet & Furniture Co.
Puede ver una lista completa de las aplicaciones que violan la política que encontramos a continuación:
Apple se negó a explicar cómo estas aplicaciones se deslizaron en el programa de la aplicación Enterprise Certificate. Se negó a decir si realiza alguna auditoría de cumplimiento de seguimiento a los desarrolladores en el programa o si planea cambiar el proceso de admisión. Sin embargo, un portavoz de Apple proporcionó esta declaración, lo que indica que funcionará para cerrar estas aplicaciones y, potencialmente, prohibir a los desarrolladores crear productos iOS completamente:
“Los desarrolladores que abusan de los certificados de nuestra empresa infringen el Acuerdo del Programa Empresarial para Desarrolladores de Apple y se les cancelarán los certificados y, si corresponde, se eliminarán por completo de nuestro Programa de Desarrolladores. Estamos evaluando continuamente los casos de mal uso y estamos preparados para tomar medidas inmediatas ".
TechCrunch le pidió al experto en seguridad de Guardian Mobile Firewall, Will Strafach, que examinara las aplicaciones que encontramos y sus Certificados. El análisis inicial de las aplicaciones por parte de Strafach no encontró ninguna evidencia evidente de que las aplicaciones no son apropiadas para los datos, pero todas violan las políticas de Certificados de Apple y ofrecen contenido prohibido en la App Store. "En este momento, me he dado cuenta de que la acción es más lenta con respecto a las aplicaciones disponibles de un sitio web independiente y no a estos directorios de aplicaciones fáciles de descifrar" que ocasionalmente surgen ofreciendo acceso centralizado a una gran cantidad de aplicaciones cargadas.
Strafach explicó cómo “Un número significativo de los Certificados Empresariales utilizados para firmar aplicaciones públicamente disponibles se denominan informalmente como 'certificados deshonestos', ya que a menudo no están asociados con la compañía nombrada. No hay datos concretos para confirmar la manera en que se originan estos certificados, pero el resultado del paso inicial es que los individuos obtendrán el control de un Certificado de empresa atribuible a una corporación, generalmente con base en China / HK. Los servicios de código luego se venden silenciosamente en los mercados de idioma chino, lo que a veces hace que se firmen de 5 a 10 (o más) aplicaciones distintas con el mismo Certificado de Empresa. "Encontramos que los Certificados de Sungate y Mohajer se agruparon para el uso de múltiples aplicaciones de esta manera.
"En mi experiencia, las aplicaciones firmadas con Certificado Empresarial disponibles en sitios web independientes no han sido dañinas para los usuarios en un sentido malicioso, solo en el sentido de que han infringido las reglas", señala Strafach. Sin embargo, las aplicaciones firmadas con el Certificado de empresa de estas herramientas "de ayuda" chinas han sido un paquete mixto. Por ejemplo, en muchos casos, hemos notado que tales aplicaciones con seguimiento adicional y código de adware se han inyectado en la aplicación original que ahora se vuelve a empaquetar ".
Curiosamente, ninguna de las aplicaciones fuera de los límites que descubrimos pedía a los usuarios que instalaran una VPN como Google Screenwise, y mucho menos acceso a la red raíz como Facebook Research. TechCrunch informó este mes que ambas aplicaciones habían estado pagando a los usuarios para que husmearan sus datos privados. Pero Apple prohibió las versiones de iOS después de que expusiéramos sus violaciones a las políticas, y Apple también causó un caos en Facebook y en las oficinas de Google al cerrar temporalmente sus aplicaciones iOS solo para empleados. El hecho de que estos dos gigantes de la tecnología de los EE. UU. Fueran más agresivos con la recopilación de datos de los usuarios que las aplicaciones de juegos de azar y pornografía chinas es revelador. "Este es un juego del gato y el ratón", concluyó Strafach con respecto a la lucha de Apple por mantener estas aplicaciones. Pero dado el abuso desenfrenado, parece que Apple podría agregar fácilmente procesos de verificación más sólidos y más controles al programa de Certificados Empresariales. Los desarrolladores deberían tener que hacer más para probar la conexión de sus aplicaciones con el titular del Certificado, y Apple debería auditar los certificados periódicamente para ver qué tipo de aplicaciones están activando.
Cuando Facebook se perdió el abuso de Cambridge Analytica de su plataforma de aplicaciones, le preguntaron a Cook qué haría en los zapatos de Mark Zuckerberg. "No estaría en esta situación", respondió francamente Cook. Pero si Apple no puede mantener la pornografía y los casinos fuera de iOS, quizás Cook no debería estar dando conferencias a nadie más.
Source link