Apple gagal memblokir aplikasi porno & perjudian “Enterprise” – TechCrunch


Facebook dan Google jauh dari satu-satunya pengembang yang secara terbuka menyalahgunakan program Apple Enterprise Certificate yang dimaksudkan untuk perusahaan yang menawarkan aplikasi khusus karyawan. Investigasi TechCrunch menemukan selusin aplikasi pornografi hardcore dan selusin aplikasi judi uang nyata yang lolos dari pengawasan Apple. Para pengembang melewati proses penyaringan Sertifikat Perusahaan Apple yang lemah atau didukung oleh persetujuan yang sah, yang memungkinkan mereka untuk menghindari App Store dan perlindungan tradisional Cupertino yang dirancang untuk menjaga keluarga agar tetap ramah terhadap iOS. Tanpa pengawasan yang tepat, mereka dapat mengoperasikan aplikasi wakil ini yang secara terang-terangan memamerkan kebijakan konten Apple.

Situasi ini menunjukkan bukti lebih lanjut bahwa Apple telah mengabaikan tanggung jawabnya untuk mengawasi program Sertifikat Perusahaan, yang mengarah pada eksploitasi untuk menghindari aturan App Store dan kategori terlarang. Untuk sebuah perusahaan yang CEO Tim Cook sering mengkritik pesaingnya karena penyalahgunaan data dan kegagalan kebijakan seperti Facebook's Cambridge Analytica, kegagalan Apple untuk menangkap dan memblokir pornografi dan perjudian ini menunjukkan bahwa pihaknya telah bekerja untuk melakukannya sendiri.

Aplikasi porno PPAV dan iPorn (iP) terus menyalahgunakan Apple Program Enterprise Certificate untuk menghindari larangan App Store terhadap pornografi. Ketelanjangan disensor oleh TechCrunch

TechCrunch menyampaikan berita minggu lalu bahwa Facebook dan Google telah melanggar aturan program Apple Enterprise Certificate untuk mendistribusikan aplikasi yang menginstal VPN atau meminta akses jaringan root untuk mengumpulkan semua lalu lintas pengguna dan aktivitas telepon untuk intelijen kompetitif. Hal itu membuat Apple secara singkat mencabut Facebook dan Sertifikat Google, dengan demikian menonaktifkan aplikasi khusus karyawan perusahaan yang menyebabkan kekacauan kantor.

Apple mengeluarkan pernyataan berapi-api bahwa “Facebook telah menggunakan keanggotaan mereka untuk mendistribusikan aplikasi pengumpulan data kepada konsumen, yang merupakan pelanggaran jelas dari perjanjian mereka dengan Apple. Setiap pengembang yang menggunakan sertifikat perusahaan mereka untuk mendistribusikan aplikasi ke konsumen akan dicabut sertifikatnya, yang kami lakukan dalam hal ini untuk melindungi pengguna dan data mereka. ”Sementara itu, puluhan aplikasi terlarang tersedia untuk diunduh dari situs web pengembang yang teduh.

Apple menawarkan alat pencarian untuk menemukan nomor D-U-N-S bisnis apa pun, yang memungkinkan pengembang teduh untuk memalsukan aplikasi Enterprise Certificate mereka

Masalahnya dimulai dengan standar lemah Apple untuk menerima bisnis ke program perusahaan. Program ini bagi perusahaan untuk mendistribusikan aplikasi hanya kepada karyawan mereka, dan kebijakannya secara eksplisit menyatakan "Anda tidak boleh menggunakan, mendistribusikan, atau membuat Aplikasi Penggunaan Internal Anda tersedia untuk Pelanggan Anda". Namun Apple tidak menegakkan kebijakan ini secara memadai.

Pengembang hanya perlu mengisi formulir online dan membayar $ 299 ke Apple, sebagaimana dirinci dalam panduan ini dari Calvium. Formulir hanya meminta pengembang untuk berjanji mereka membangun aplikasi Enterprise Certificate untuk penggunaan internal karyawan saja, bahwa mereka memiliki otoritas hukum untuk mendaftarkan bisnis, memberikan nomor ID bisnis D-U-N-S, dan memiliki Mac terbaru. Anda dapat dengan mudah Google merinci alamat bisnis dan mencari nomor ID D-U-N-S mereka dengan alat yang disediakan Apple. Setelah menyiapkan ID Apple dan menyetujui persyaratan layanannya, perusahaan menunggu satu hingga empat minggu untuk panggilan telepon dari Apple yang meminta mereka untuk mengonfirmasi ulang bahwa mereka hanya akan mendistribusikan aplikasi secara internal dan diizinkan untuk mewakili bisnis mereka.

Dengan hanya beberapa kebohongan di telepon dan web ditambah beberapa informasi publik yang dapat Googleable, pengembang yang samar bisa mendapatkan persetujuan untuk Apple Enterprise Certificate.

Aplikasi perjudian uang sungguhan secara terbuka mengiklankan bahwa mereka memiliki versi iOS yang tersedia yang menyalahgunakan program Sertifikat Perusahaan

Mengingat jumlah aplikasi yang melanggar kebijakan yang didistribusikan kepada non-karyawan menggunakan pendaftaran untuk bisnis yang tidak terkait dengan aplikasi mereka, jelas bahwa Apple perlu memperketat pengawasan pada program Enterprise Certificate. TechCrunch menemukan ribuan situs yang menawarkan unduhan aplikasi Perusahaan "sideload", dan menyelidiki hanya sampel yang menemukan banyak pelanggaran. Menggunakan iPhone standar yang tidak dipenjara. TechCrunch dapat mengunduh dan memverifikasi 12 pornografi dan 12 aplikasi judi uang nyata selama seminggu terakhir yang menyalahgunakan sistem Sertifikat Perusahaan Apple untuk menawarkan aplikasi yang dilarang dari App Store. Aplikasi ini menawarkan streaming atau pornografi hardcore bayar per tayang, atau memungkinkan pengguna untuk menyetor, menang, dan menarik uang nyata – yang semuanya akan dilarang jika aplikasi didistribusikan melalui App Store.

Seluruh layar aplikasi porno dan perjudian sideload terlarang yang dapat diunduh TechCrunch melalui sistem Enterprise Certificate

Dalam upaya nyata untuk meningkatkan penegakan kebijakan setelah investigasi TechCrunch ke Facebook dan pelanggaran Sertifikat Perusahaan Google, Apple tampaknya telah menonaktifkan beberapa aplikasi ini dalam beberapa hari terakhir, tetapi banyak yang tetap beroperasi. Aplikasi porno yang kami temukan yang saat ini fungsional meliputi Swag, PPAV, Banana Video, iPorn (iP), Pear, Poshow, dan AVBobo, sedangkan aplikasi perjudian yang fungsional saat ini termasuk RD Poker dan RiverPoker.

Sertifikat Perusahaan untuk aplikasi ini jarang didaftarkan ke nama perusahaan yang terkait dengan tujuan sebenarnya. Satu-satunya contoh adalah Lucky8 untuk judi. Banyak aplikasi yang menggunakan nama tidak berbahaya seperti Interprener, Mohajer International Communications, Sungate, dan AsianLiveTech. Namun yang lain tampaknya telah memalsukan atau mencuri surat kepercayaan untuk mendaftar dengan nama bisnis yang sama sekali tidak terkait tetapi sah. Dragon Gaming didaftarkan ke pemasok kerikil AS CSL-LOMA. Sedangkan untuk aplikasi porno, sertifikat PPAV ditugaskan ke Pusat Informasi Distrik Jianye Nanjing, Douyin Didi dilisensikan di bawah perusahaan sepeda motor Moskow Akura OOO, aplikasi Cina Pear terdaftar di Grupo Arcavi Sociedad Anonima di Kosta Rika, dan AVBobo menutupi jejaknya dengan nama dari perusahaan berbasis Fresno bernama Chaney Cabinet & Furniture Co.

Anda dapat melihat daftar lengkap kebijakan yang melanggar aplikasi yang kami temukan di bawah:

Apple menolak menjelaskan bagaimana aplikasi ini masuk ke program aplikasi Enterprise Certificate. Itu menolak mengatakan jika ia melakukan audit kepatuhan tindak lanjut pada pengembang dalam program atau jika ia berencana untuk mengubah proses penerimaan. Seorang juru bicara Apple memang memberikan pernyataan ini, meskipun, mengindikasikan akan bekerja untuk mematikan aplikasi ini dan berpotensi melarang pengembang untuk membangun produk iOS sepenuhnya:

"Pengembang yang menyalahgunakan sertifikat perusahaan kami melanggar Perjanjian Program Perusahaan Pengembang Apple dan akan menghentikan sertifikatnya, dan jika sesuai, mereka akan dihapus dari Program Pengembang kami sepenuhnya. Kami terus mengevaluasi kasus-kasus penyalahgunaan dan siap untuk mengambil tindakan segera. "

TechCrunch meminta pakar keamanan Guardian Mobile Firewall Will Strafach untuk melihat aplikasi yang kami temukan dan Sertifikatnya. Analisis awal Strafach tentang aplikasi tidak menemukan bukti mencolok bahwa aplikasi tersebut menyalahgunakan data, tetapi semuanya melanggar kebijakan Sertifikat Apple dan menyediakan konten yang dilarang dari App Store. “Saat ini, saya telah memperhatikan bahwa tindakan lebih lambat terkait aplikasi yang tersedia dari situs web independen dan bukan direktori aplikasi yang mudah dikerik” yang sesekali muncul menawarkan akses terpusat ke sejumlah besar aplikasi yang ditransfer.

Aplikasi porno AVBobo menggunakan Sertifikat Perusahaan yang terdaftar di Chaney Cabinet & Furniture Co

Strafach menjelaskan bagaimana “Sejumlah besar Sertifikat Perusahaan yang digunakan untuk menandatangani aplikasi yang tersedia untuk publik disebut secara informal sebagai 'sertifikat jahat' karena mereka sering tidak dikaitkan dengan perusahaan yang disebutkan. Tidak ada fakta sulit untuk mengkonfirmasi bagaimana sertifikat ini berasal, tetapi hasil dari langkah awal adalah bahwa individu akan mendapatkan kendali atas Sertifikat Perusahaan yang dikaitkan dengan perusahaan, biasanya berbasis di Cina / HK. Layanan kode kemudian dijual secara diam-diam di pasar bahasa Cina, sehingga kadang-kadang 5 hingga 10 (atau lebih) aplikasi berbeda ditandatangani dengan Sertifikat Perusahaan yang sama. ”Kami menemukan Sungate dan Mohajer Certificates dikeluarkan untuk digunakan oleh beberapa aplikasi dengan cara ini.

"Dalam pengalaman saya, aplikasi yang ditandatangani oleh Sertifikat Perusahaan yang tersedia di situs web independen tidak berbahaya bagi pengguna dalam arti jahat, hanya dalam arti bahwa mereka telah melanggar aturan" catat Strafach. “Namun, sertifikat perusahaan yang ditandatangani aplikasi dari alat 'pembantu' Tiongkok ini, telah menjadi tas campuran. Contohnya Zoe, dalam banyak kasus, kami telah memperhatikan aplikasi semacam itu dengan kode pelacakan dan adware tambahan yang disuntikkan ke dalam aplikasi asli yang dikemas ulang yang ditawarkan. "

Aplikasi porno seperti Swag secara terbuka mengiklankan ketersediaan mereka di iOS

Menariknya, tidak ada aplikasi terlarang yang kami temukan meminta pengguna memasang VPN seperti Google Screenwise, apalagi root akses jaringan seperti Facebook Research. TechCrunch melaporkan bulan ini bahwa kedua aplikasi telah membayar pengguna untuk mengintip data pribadi mereka. Tetapi versi iOS dilarang oleh Apple setelah kami mengekspos pelanggaran kebijakan mereka, dan Apple juga menyebabkan kekacauan di Facebook dan kantor Google dengan menutup sementara aplikasi iOS hanya karyawan mereka juga. Fakta bahwa dua raksasa teknologi AS ini lebih agresif dalam mengumpulkan data pengguna daripada yang diberitakan oleh aplikasi pornografi dan perjudian Cina yang teduh, “Ini adalah permainan kucing-dan-tikus” Strafach menyimpulkan tentang perjuangan Apple untuk mencegah aplikasi ini. Namun mengingat penyalahgunaan yang merajalela, tampaknya Apple dapat dengan mudah menambahkan proses verifikasi yang lebih kuat dan lebih banyak pemeriksaan ke program Sertifikat Perusahaan. Pengembang harus berbuat lebih banyak untuk membuktikan koneksi aplikasi mereka dengan pemegang Sertifikat, dan Apple harus secara teratur mengaudit sertifikat untuk melihat jenis aplikasi apa yang mereka dukung.

Kembali ketika Facebook melewatkan penyalahgunaan platform aplikasi Cambridge Analytica, Cook ditanya apa yang dia lakukan dengan sepatu Mark Zuckerberg. "Aku tidak akan berada dalam situasi ini," jawab Cook jujur. Tetapi jika Apple tidak dapat mencegah porno dan kasino dari iOS, mungkin Cook tidak boleh memberi kuliah kepada orang lain.