揭秘苹果App灰产温床:涉赌、涉黄App竟可通过这种方式分发

发表于 5年以前  | 总阅读数:692 次

然而,却有一些App可以绕过苹果审核,无需上架AppStore即可发布,并且供任何苹果用户下载使用。

比如1月15日发布的三款“挑战微信”的社交软件中,“马桶MT(后改名MT)”**就并未上架AppStore。**

凑热闹下载了的朋友们可能会记得那个下载流程,MT官网中也有相关教程

首先,通过Safari进入官网,点击下载链接,将App安装到手机上。此时,如果你试图打开该App,会跳出“未受信任的企业级开发者”通知界面。

通过“设置”——“通用”——“设备管理”来找到该App的证书并选择信任,就可以打开并使用该App了,使用起来体验与通过AppStore下载的App并没什么区别,App中内购充值、交易等等也并不受限制。

在感叹“这样也行?”的同时,不知你是否想过,如果这样也行,那么对其他按部就班申请审核的企业来说是否公平?

这些未经应用商店发布的App,是否是合法合规的呢?

这就涉及一个问题——苹果为什么允许未经应用商店即可发布的App存在。

事实上,苹果iOS系统有一套完善的加密方案,在不越狱破解的情况下,非AppStore下载的App需要证书签名,才能在iOS上运行。

证书需要向苹果申请,分为几类:

像MT这样,通过Safari下载,信任证书后即可正常使用的App就是用了企业账号,即企业级开发者证书。

根据苹果官网信息,只要公司拥有邓白氏(Data Universal Numbering System)编码,填报信息通过审批,每年只要299美元,就可以获得企业级开发者资格。

但是,按照苹果相关规定,企业级开发者应用是在企业内部使用的。

比如企业开发的内部人员OA系统,用于员工考勤、收发邮件等等;又如一些公司自主开发的App推出新版本之前进行测试时,不能直接上架AppStore测试,有了企业级证书,就可以通过网页直接在员工内部分发Beta版本,对所开发App进行测试。

那么,为什么用于企业内部的企业级开发者证书,却能够出现在大众的视野里,用于一些面向公众的App分发呢?

根据苹果规定,这种行为当然是不允许的,所以可以说,所有面向大众分发的企业级开发者应用都是违反了苹果规定的。

但苹果对企业级开发者证书是否真的被用于开发企业内部App的监管,似乎有那么一些瑕疵。

苹果证书引乱象,灰色App暗流传

不止MT,许多人在使用企业级开发者证书做着不那么光明正大的事情。

首先,当你的App内容不像是能过审的样子时,企业级开发者往往证书可以为您解忧——比如一些**博彩App。**

在微博上,比如一些体育或电子竞技类微博下,经常可以看到一些小号,在发布此类宣传博彩App的广告。

不仅微博,贴吧用户也经常能够收到相关App的广告骚扰。

打开广告链接,即可直接通过手机浏览器下载相关博彩App。这些App也是通过企业级证书进行下载安装,下载后会遇到“未信任的企业级开发者”提示,解决方法也如出一辙。

打开应用后,即可选择体育、电子竞技、真人娱乐、彩票投注等多种博彩项目。

有了赌,黄自然也不甘落后,部分涉及色情或擦边的直播类App也会利用企业级证书偷偷分发。

除此之外,也有部分App本身内容并没有什么不妥,实际可以上架AppStore。但由于包含内购**,App开发方不想分成给苹果,**于是也会选择通过企业证书来分发。

根据苹果规定,如App内购买的虚拟物品是用于App本身的,比如手机游戏付费道具,或直播平台充值、会员充值等,就需要接入并且只能接入苹果的应用内购买(In-App Purchase,IAP),但通过苹果IAP产生的内购收益需要分给苹果三成。

这也是部分游戏、直播平台内购产品在iOS系统上的价格要高于安卓价格的原因。

而部分App为了更高的利润,希望避开给苹果分成的环节,直接使用微信、支付宝等第三方支付,就会用企业证书来分发App。

上文所述博彩App中的内购交易系统界面如下。通过企业证书应用进行交易,就可以避开苹果的抽成。

而不管是将一些内容违规(赌博、色情、版权、隐私等)不能上架的App外发给用户,还是试图绕过内购收益分成,对苹果来说,都属于滥用企业证书的行为。

苹果公司不允许滥用企业证书,一旦发现,**苹果会吊销企业证书,企业证书被吊销后,企业自己发布的App就不能用了。**

此外,苹果还可能将开发者(个人或公司)列入黑名单。列入黑名单后,审核通常会非常慢。不仅仅是违规App,这个开发者名下的所有App审核都会变得非常慢。

正常情况下,App平均审核时间是两三天。但黑名单上的开发者,有时会审核几周,甚至几个月。几个月不能发布新版本,对开发者来说是很大的损失。

更重的惩罚还包括将开发者名下的App全部下架。

那么,在如此严格的惩罚措施下,为什么违规App还是不少,很多滥用证书App也仍在正常运营?又是为什么获得苹果企业证书门槛如此之低,导致企业级应用鱼龙混杂呢?

——苹果不知道这些企业在背着自己滥用企业证书吗?

知情人士透露,苹果对企业证书管理还是比较严格的,但这也催生了淘宝上的生意,只要你付钱,店家就会帮你搞定企业证书。

据其介绍,其中包括一种“租售企业证书”的生意。部分App由于内容违规或其它原因不能上架,但又不想自己冒险,就会在淘宝上租借或购买其他企业证书来签名发布,跟苹果公司打“游击战”。淘宝某个企业证书暴露被封杀了,就换一个企业证书重新签名发布。

此外,有些企业为了避免被查封,有时会注册多个开发账号。这需要用不同的银行卡,因为苹果公司会将银行卡账号相同的判为同一个用户(在这里Bianews也提醒大家,勿将自己的银行卡号码借给他人注册开发者账号,不然可能会遭遇无妄之灾)。

不仅如此,还有相关网站,一条龙服务搞定企业级证书及应用分发。

围绕着企业级开发者证书已经低调地形成了产业链,默默地帮助一些灰产“暗度陈仓”。

不过,年初以来曝光的两起重大事件,终于将企业级开发者证书滥用的问题推到了苹果眼前。

这两起事件的主角分别是Facebook和谷歌。

巨头也滥用,终于警醒了苹果

1月底,Facebook被曝光通过企业证书向大众有偿分发一款App,用来收集他们使用手机时的各种数据。

根据报道,自2016年以来,Facebook每月向一些人支付不超过20美元,从而在他们的苹果或安卓手机上安装所谓的“Facebook Research”应用程序。

据悉,这款应用程序允许Facebook跟踪用户的App使用历史、私人消息和位置数据。

被曝光的这一举动不仅惹怒了用户,还激怒了苹果公司。

苹果表示,这一行为这违反了苹果相关协议。

实际上,从去年夏天开始,收集这类数据的应用程序已被视为违反苹果的隐私准则。所以,由于得不到苹果的审批通过,Facebook不可能通过App Store应用商店来提供这款App。

因此,Facebook选择了用企业级开发者资格作为挡箭牌——Facebook持有的企业级开发者证书原本是用于内部员工测试应用程序的,苹果不会像对AppStore那样审查Facebook发布的企业级App,因为默认企业内部员工下载使用。

于是,在苹果不知情的情况下,Facebook每月向一些非公司员工支付费用,来让他们下载这款App。

对此,苹果回应称:“我们设计的企业级开发者应用完全是为了在企业内部分发应用程序。Facebook一直在利用其会员身份向消费者分发一款数据收集应用程序,这显然违反了他们与苹果签署的协议。任何使用他们的企业证书向消费者分发应用程序的开发者,都会被吊销其证书。这就是我们在这种情况下的做法,这么做是为了保护我们的用户及其数据。”

尽管在此之前,Facebook已经表示,这款App的研究工作已经结束了,苹果还是发布了这份声明,这意味着苹果将不再允许Facebook发布企业级开发者应用,不仅仅是这款App,Facebook也将无法再通过企业证书向公司内部员工分发其他测试App。

无独有偶,在Facebook被曝光的同时,谷歌也被曝光了其使用企业证书发布的数据收集应用程序Screenwise Meter

随后,谷歌发表道歉声明:“Screenwise Meter iOS应用程序不应该在苹果的企业开发者程序下运行,这是错误的,我们为此道歉。”

苹果则并未因道歉而原谅,还是暂停了谷歌的企业级开发者资格,此后,谷歌员工无法访问他们正在开发的测试版iPhone应用,也无法使用与公司日程、通勤、餐饮等有关的内部应用。

谷歌发言人表示,“我们正在与苹果合作,以解决公司iOS应用上的临时中断问题。”

这两起事件的曝光让苹果意识到,运用企业级开发者证书,绕开AppStore分发应用的平台不在少数,甚至很多巨头公司牵涉其中。

灰色地带谁负责?苹果,法律,还是……

或许,未来苹果应该建立更加完善的监控手段,毕竟等着滥用证书的行为一个个曝光实在太过被动。

不过除了让巨头们得到警醒,**苹果更需要在证书发放的门槛上入手,首先对证书发放资格进行严格筛选,这样才能阻拦许多隐藏在灰色地带的“小作坊”。**

目前来看也确有此趋势,至少Bianews在询问淘宝店家是否可以搞定苹果的企业级证书时,得到的回答是“企业的最近太紧张了”,说明企业级证书的颁发标准是越来越严格的。

除了苹果之外,为此类商家提供土壤的淘宝平台,以及被相关广告“入侵”的微博、贴吧等平台,或许也应该对发布在各自平台的违规内容加大查封和检举力度。

中国电子商务研究中心研究员赵占领律师对Bianews表示,当前国内在App方面只有针对应用商店审核义务的法律法规,苹果并未作为应用商店来分发企业级开发者应用,此类应用系通过系统浏览器直接下载安装,因此,至少按照国内法律规定,苹果对于企业级开发者应用软件不存在法律上的审核义务。

不过,利用企业级开发者证书这一“盲区”来悄悄发展赌博、色情等灰色产业的现象也并非无法治理。

赵占领律师表示,如果应用软件存在违法违规内容并通过网页可以直接进行下载,那么软件运营方是需要承担法律责任的,按照现行法律可以对其进行处罚**,甚至在可能涉嫌刑事犯罪的情况下,公安机关可以立案侦查。**

因此,如果被用于进行交易和发布广告的平台们可以对违规商家和广告链接进行举报,理论上是有用的。

不知道警察蜀黍们看到了吗?

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »