信息化觀察網(wǎng)

蘋果的 App Store 有著嚴(yán)格的應(yīng)用審核標(biāo)準(zhǔn)，內(nèi)容不合格的產(chǎn)品往往會因為違規(guī)而遭到蘋果的下架處理，而更多違規(guī)應(yīng)用則連審核通過的資格都沒有。

Tumblr 就是一個典型的例子。這家以圖片分享為主的內(nèi)容平臺，曾因為蘋果嚴(yán)格的審核而「自殘」式地刪除了平臺上所有敏感內(nèi)容，以此保留在 App Store 上架的資格。

然而日前，外媒 TechCrunch 卻用一臺未經(jīng)「越獄」的普通 iPhone，代表性地下載了二十多個現(xiàn)金賭博和色情內(nèi)容的 app。TechCrunch 調(diào)查發(fā)現(xiàn)，這些 app 的傳播渠道與日前沸沸揚(yáng)揚(yáng)的蘋果下架 Facebook 和 Google 企業(yè)內(nèi)部應(yīng)用的新聞息息相關(guān)。

鉆空子

當(dāng)?shù)貢r間 2 月 12 日，外媒 TechCrunch 經(jīng)調(diào)查發(fā)現(xiàn)，有上千個網(wǎng)站提供一種「企業(yè)應(yīng)用程序」誘使用戶下載。這些 app 利用蘋果的「企業(yè)開發(fā)者項目」（Developer Enterprise Program，下面簡稱 DEP）作為擋箭牌，繞開了蘋果 App Store 的內(nèi)容審查。

只要通過 DEP 的申請，企業(yè)就可以專門為自己的員工測試和分發(fā)普通用戶無法使用的內(nèi)部版 app，這一非正常應(yīng)用分發(fā)渠道被一些開發(fā)者利用，用來將色情和賭博等違規(guī) app 分發(fā)給外部用戶。

近期，F(xiàn)acebook 和 Google 被蘋果吊銷企業(yè)開發(fā)者證書也是因為濫用了這種「特權(quán)」，蘋果調(diào)查發(fā)現(xiàn)前兩者的內(nèi)部應(yīng)用存在收集使用者的個人資料等違規(guī)行為。

諷刺的是，對 Facebook 和 Google 等大公司嚴(yán)加打擊的蘋果，卻疏于 DEP 這個項目的審核和監(jiān)督。大量不良開發(fā)者之所以如此猖獗，源頭都是因為蘋果為 DEP 設(shè)立的標(biāo)準(zhǔn)過于寬松。

輕而易舉

在 TechCrunch 展示的二十多個代表性的 app 里，色情 app 或提供流媒體訂閱服務(wù)，或按觀看內(nèi)容的次數(shù)收費(fèi)，而賭博 app 則向用戶提供了應(yīng)用內(nèi)存款、贏錢和取錢的服務(wù)。

這類 app 獲取能繞開 App Store 審核的資格非常容易。開發(fā)者只需在線填寫一份蘋果給出的表格，同時支付 299 美元即可獲得這種資格。而那份表格僅要求開發(fā)者承諾他們開發(fā)的企業(yè)應(yīng)用僅供內(nèi)部員工使用，要求申請人提供 D-U-N-S 企業(yè)號碼，且擁有最新的 Mac 設(shè)備。一到四周后，「企業(yè)」就能接到蘋果的電話，會被再次要求僅能在內(nèi)部發(fā)布 app。而這些違規(guī) app 的開發(fā)者提供給蘋果的企業(yè)資料，往往只是隨手在 Google 上搜到的公司公開信息。

Guardian Mobile Firewall 的安全專家 Will Strafach 研究了這些應(yīng)用以及它們的證書。經(jīng)過初步分析，Strafach 稱沒有明顯的跡象表明這些 app 挪用用戶數(shù)據(jù)，但這些 app 確實全都違反了蘋果的證書政策，它們提供的內(nèi)容也都是被 App Store 禁止的不友好內(nèi)容。

另外，一些第三方網(wǎng)站也直接提供企業(yè)證書，結(jié)果就是有時會有 5 至 10 個（或更多）不同的 app 使用同一個企業(yè)證書。

值得一提的是，TechCrunch 發(fā)現(xiàn)的這些違禁應(yīng)用均未要求用戶安裝類似 Google Screenwise 的 VPN，更不用說類似 Facebook Research 的那種根網(wǎng)絡(luò)訪問（root network access）。

監(jiān)管失職

今年 1 月底，據(jù)多家外媒報道，F(xiàn)acebook 在過去 3 年里，通過「企業(yè)應(yīng)用程序」收集了許多來自付費(fèi)志愿者的用戶數(shù)據(jù)。Facebook 向 13 至 25 歲的用戶支付每月 20 美元的費(fèi)用，讓這些用戶在他們的 iOS 和 Android 設(shè)備上安裝 Facebook Research app，這個 app 可以監(jiān)控用戶的手機(jī)和網(wǎng)絡(luò)活動。

Google 也在做同樣的事情。自 2012 年以來，谷歌一直在通過企業(yè)證書安裝方式提供 Screenwise Meter app，并私下邀請年滿 18 歲的用戶（或年滿 13 歲的家庭用戶成員）下載這款 app，收集關(guān)于他們使用互聯(lián)網(wǎng)方面的信息，包括用戶在不同網(wǎng)站的訪問時間，以及下載了什么應(yīng)用。

發(fā)現(xiàn)上面兩家公司的違規(guī)行為之后，蘋果短暫吊銷了這兩家公司的企業(yè)證書。蘋果聲稱：「一旦利用企業(yè)證書面向消費(fèi)者發(fā)布應(yīng)用，證書將被撤銷，從而保護(hù)用戶和他們的數(shù)據(jù)?！乖?Facebook 和 Google 被曝光違反企業(yè)證書政策后，TechCrunch 發(fā)現(xiàn)蘋果似乎在過去幾天內(nèi)已經(jīng)禁用了部分類似應(yīng)用，但目前仍存在很多可下載的應(yīng)用。

對于色情和賭博等違規(guī) app 的存在，蘋果拒絕解釋它們成為企業(yè)證書簽名應(yīng)用的具體途徑，也拒絕透露它是否對該項目中的開發(fā)者進(jìn)行后續(xù)合規(guī)審查，或是否有調(diào)整申請審核流程的打算。但一位蘋果發(fā)言人發(fā)布聲明稱，「濫用蘋果企業(yè)開發(fā)證書的開發(fā)者違反了蘋果開發(fā)者企業(yè)賬戶協(xié)議，其擁有的證書將被終止，且若適用，他們將完全從我們的開發(fā)者項目中移除。公司將不斷評估濫用情況，并隨時準(zhǔn)備采取行動?！?/p>

這類 app 獲取能繞開 App Store 審核的資格非常容易。開發(fā)者只需在線填寫一份蘋果給出的表格，同時支付 299 美元即可獲得這種資格。而那份表格僅要求開發(fā)者承諾他們開發(fā)的企業(yè)應(yīng)用僅供內(nèi)部員工使用，要求申請人提供 D-U-N-S 企業(yè)號碼，且擁有最新的 Mac 設(shè)備。一到四周后，「企業(yè)」就能接到蘋果的電話，會被再次要求僅能在內(nèi)部發(fā)布 app。而這些違規(guī) app 的開發(fā)者提供給蘋果的企業(yè)資料，往往只是隨手在 Google 上搜到的公司公開信息。

Guardian Mobile Firewall 的安全專家 Will Strafach 研究了這些應(yīng)用以及它們的證書。經(jīng)過初步分析，Strafach 稱沒有明顯的跡象表明這些 app 挪用用戶數(shù)據(jù)，但這些 app 確實全都違反了蘋果的證書政策，它們提供的內(nèi)容也都是被 App Store 禁止的不友好內(nèi)容。

另外，一些第三方網(wǎng)站也直接提供企業(yè)證書，結(jié)果就是有時會有 5 至 10 個（或更多）不同的 app 使用同一個企業(yè)證書。

值得一提的是，TechCrunch 發(fā)現(xiàn)的這些違禁應(yīng)用均未要求用戶安裝類似 Google Screenwise 的 VPN，更不用說類似 Facebook Research 的那種根網(wǎng)絡(luò)訪問（root network access）。

監(jiān)管失職

今年 1 月底，據(jù)多家外媒報道，F(xiàn)acebook 在過去 3 年里，通過「企業(yè)應(yīng)用程序」收集了許多來自付費(fèi)志愿者的用戶數(shù)據(jù)。Facebook 向 13 至 25 歲的用戶支付每月 20 美元的費(fèi)用，讓這些用戶在他們的 iOS 和 Android 設(shè)備上安裝 Facebook Research app，這個 app 可以監(jiān)控用戶的手機(jī)和網(wǎng)絡(luò)活動。

Google 也在做同樣的事情。自 2012 年以來，谷歌一直在通過企業(yè)證書安裝方式提供 Screenwise Meter app，并私下邀請年滿 18 歲的用戶（或年滿 13 歲的家庭用戶成員）下載這款 app，收集關(guān)于他們使用互聯(lián)網(wǎng)方面的信息，包括用戶在不同網(wǎng)站的訪問時間，以及下載了什么應(yīng)用。

發(fā)現(xiàn)上面兩家公司的違規(guī)行為之后，蘋果短暫吊銷了這兩家公司的企業(yè)證書。蘋果聲稱：「一旦利用企業(yè)證書面向消費(fèi)者發(fā)布應(yīng)用，證書將被撤銷，從而保護(hù)用戶和他們的數(shù)據(jù)?！乖?Facebook 和 Google 被曝光違反企業(yè)證書政策后，TechCrunch 發(fā)現(xiàn)蘋果似乎在過去幾天內(nèi)已經(jīng)禁用了部分類似應(yīng)用，但目前仍存在很多可下載的應(yīng)用。

對于色情和賭博等違規(guī) app 的存在，蘋果拒絕解釋它們成為企業(yè)證書簽名應(yīng)用的具體途徑，也拒絕透露它是否對該項目中的開發(fā)者進(jìn)行后續(xù)合規(guī)審查，或是否有調(diào)整申請審核流程的打算。但一位蘋果發(fā)言人發(fā)布聲明稱，「濫用蘋果企業(yè)開發(fā)證書的開發(fā)者違反了蘋果開發(fā)者企業(yè)賬戶協(xié)議，其擁有的證書將被終止，且若適用，他們將完全從我們的開發(fā)者項目中移除。公司將不斷評估濫用情況，并隨時準(zhǔn)備采取行動?！?/p>