苹果“偷懒”放弃安全审核不法应用要谢谢你了
当苹果公司刚推出企业开发者证书计划时(该计划是帮助企业为员工提供他们自己开发的应用程序),只能在iTunes上使用,由此出现了很多不方便,面对安全和便利这两个要素,苹果不得不开始做出艰难的抉择。之前为了安全,苹果选择发布内部应用程序,让IT经理们经历了无数麻烦。然而现在,它选择了便利,我们可以猜猜会发生什么。
媒体报道称,盗版开发者已经开始利用企业软件不正当地发布修改后的应用程序,其中包括这些相当流行火爆的应用,包括Spotify、愤怒的小鸟、Pokemon Go和《我的世界》。还有一部分人则利用该平台发布真金赌博应用以及色情应用等违规程序。而这些违规之人所要做的唯一的事就是对苹果的代表撒一个谎,谎称自己与合法企业有关联,就可以顺利发布这些程序。因为苹果不会费心去调查或验证这些答案。
苹果现在只有两条路可走:要么严格限制其企业认证程序,要么投入足够的资源,在授予访问权限之前有效地验证所有答案。任何长期关注苹果的人都知道,显然第一种方式效率更高。因为企业计划的目的是让公司更容易利用iOS设备,但它并没有带来大量的直接收入。所以在苹果还在陷于如何努力实现iPhone销售目标这个困境的时候,再去指派专人来解决这个问题似乎不太可能。
让我们深入了解一下究竟发生了什么事。首先,路透社报道了软件盗版者的消息。路透社的报道称:“这些盗版操作正在向消费者提供流行应用程序的修改版本,使他们能够在没有广告的情况下播放音乐,并规避游戏中的费用和规则,从而剥夺了苹果和合法应用程序制造商的收入。”“苹果周三证实了媒体的这篇报道,称在本月底之前登录所有开发者账户需要双重认证,即使用发送到手机的代码和密码,这可能有助于防止证书滥用。”
假设这个引用是正确的,对于苹果的这种双重认证我们有两个简单的疑义。首先,发短信是在乞求中间人攻击,而这些盗版者完全也能够做到这一点,因此其实还有更安全的双重认证选项可以选择。其次,所有这些都将验证创建该帐户的人就是现在正试图访问该帐户的人,但是这并不会解决真正的问题,因为它们最初就是欺骗性的应用程序。
色情和真金赌博应用程序的报道来自TechCrunch,鉴于苹果系统提供的“便利通道”,它让这些欺诈者有多容易实施犯罪的渠道。
TechCrunch报道:“开发者只需在网上填写一张表格,然后支付299美元给苹果公司,其它具体内容可参考Calvium指南,就可以获取权限了。该表格只是要求开发者保证他们正在开发一款企业证书应用程序,仅供内部员工使用,他们拥有注册企业的合法权限,提供一个D-U-N-S企业ID号,并拥有一台最新的Mac电脑。但是事实上,欺诈者可以很容易地通过苹果提供的工具获取一家公司的详细地址,并查询他们的D-U-N-S ID号码。”在设置好Apple ID并同意其服务条款后,企业要等上一到四周,才能接到苹果的电话,要求他们再次确认,他们只会在内部发布应用程序,并且有权代表自己的业务。而欺诈者只要在电话和网络上撒几个谎,再加上一些可搜索的公共信息,很多未经详细考证的开发人员就能获得苹果企业认证。]
虽然苹果成功地让这个验证过程变得方便,但是从安全的角度来看,这当然不会是一件好事,而从IT的角度来看,这个过程又费时又费力。更直白地说,该公司让骗子相对容易得逞,同时迫使合法的IT员工又经历重重困难。估计听到这个消息的乔布斯棺材板已经快压不住了。
虽然现在苹果已经有一个呼叫中心的代表会专门打电话确认,但还是有人疑问为什么不能直接打电话给那家企业确认呢?当然,苹果也可以直接要求联系人确保一切都是合法的,如果对方选择拒绝,那么这是拒绝批准的一个很好理由。但是,接公司电话的人可能只是个临时工,出现问题也极有可能找不到当时负责的员工。
也就是说,这种验证工作将大大增加苹果公司在认证上需要花费的人力,而目前还不清楚该程序是否能帮助苹果公司增加收入。
但是,我还是想对苹果说:”如果你想执行这些规则,那就去执行它们,这不是一件多艰难的事。但是如果你们没有人去费心验证ANS,只是让人们填写大量在线表单,然后等一个月再打电话确认真的没有任何意义。