大公司乘機收集資料,小作坊違規應用氾濫,蘋果究竟做錯了什麼?
蘋果的 App Store 有著嚴格的應用稽核標準,內容不合格的產品往往會因為違規而遭到蘋果的下架處理,而更多違規應用則連稽核通過的資格都沒有。
Tumblr 就是一個典型的例子 。這家以圖片分享為主的內容平臺,曾因為蘋果嚴格的稽核而「自殘」式地刪除了平臺上所有敏感內容,以此保留在 App Store 上架的資格。
然而日前,外媒 TechCrunch 卻用一臺未經「越獄」的普通 iPhone,代表性地下載了二十多個現金賭博和色情內容的 app。 TechCrunch 調查發現 ,這些 app 的傳播渠道與日前沸沸揚揚的蘋果下架 Facebook 和 Google 企業內部應用的新聞息息相關。
鑽空子
當地時間 2 月 12 日,外媒 TechCrunch 經調查發現,有上千個網站提供一種「企業應用程式」誘使使用者下載。這些 app 利用蘋果的「企業開發者專案」( Developer Enterprise Program ,下面簡稱 DEP)作為擋箭牌,繞開了蘋果 App Store 的內容審查。
只要通過 DEP 的申請,企業就可以專門為自己的員工測試和分發普通使用者無法使用的內部版 app,這一非正常應用分發渠道被一些開發者利用,用來將色情和賭博等違規 app 分發給外部使用者。
近期,Facebook 和 Google 被蘋果吊銷企業開發者證書也是因為濫用了這種「特權」,蘋果調查發現前兩者的內部應用存在收集使用者的個人資料等違規行為。
諷刺的是,對 Facebook 和 Google 等大公司嚴加打擊的蘋果,卻疏於 DEP 這個專案的稽核和監督。大量不良開發者之所以如此猖獗,源頭都是因為蘋果為 DEP 設立的標準過於寬鬆。
輕而易舉
在 TechCrunch 展示的二十多個代表性的 app 裡,色情 app 或提供流媒體訂閱服務,或按觀看內容的次數收費,而賭博 app 則向用戶提供了應用記憶體款、贏錢和取錢的服務。
這類 app 獲取能繞開 App Store 稽核的資格 非常容易 。開發者只需線上填寫一份蘋果給出的表格,同時支付 299 美元即可獲得這種資格。而那份表格僅要求開發者承諾他們開發的企業應用僅供內部員工使用,要求申請人提供 D-U-N-S 企業號碼,且擁有最新的 Mac 裝置。一到四周後,「企業」就能接到蘋果的電話,會被再次要求僅能在內部發布 app。而這些違規 app 的開發者提供給蘋果的企業資料,往往只是隨手在 Google 上搜到的公司公開資訊。
Guardian Mobile Firewall 的安全專家 Will Strafach 研究了這些應用以及它們的證書。經過初步分析,Strafach 稱沒有明顯的跡象表明這些 app 挪用使用者資料,但這些 app 確實全都違反了蘋果的證書政策,它們提供的內容也都是被 App Store 禁止的不友好內容。
另外,一些第三方網站也直接提供企業證書,結果就是有時會有 5 至 10 個(或更多)不同的 app 使用同一個企業證書。
值得一提的是,TechCrunch 發現的這些違禁應用均未要求使用者安裝類似 Google Screenwise 的 VPN,更不用說類似 Facebook Research 的那種根網路訪問(root network access)。
監管失職
今年 1 月底,據多家外媒 報道 ,Facebook 在過去 3 年裡,通過「企業應用程式」收集了許多來自付費志願者的使用者資料。Facebook 向 13 至 25 歲的使用者支付每月 20 美元的費用,讓這些使用者在他們的 iOS 和 Android 裝置上安裝 Facebook Research app,這個 app 可以監控使用者的手機和網路活動。
Google 也在做同樣的事情 。自 2012 年以來,谷歌一直在通過企業證書安裝方式提供 Screenwise Meter app,並私下邀請年滿 18 歲的使用者(或年滿 13 歲的家庭使用者成員)下載這款 app,收集關於他們使用網際網路方面的資訊,包括使用者在不同網站的訪問時間,以及下載了什麼應用。
發現上面兩家公司的違規行為之後,蘋果短暫吊銷了這兩家公司的企業證書。蘋果聲稱:「一旦利用企業證書面向消費者釋出應用,證書將被撤銷,從而保護使用者和他們的資料。」在 Facebook 和 Google 被曝光違反企業證書政策後,TechCrunch 發現蘋果似乎在過去幾天內已經禁用了部分類似應用,但目前仍存在很多可下載的應用。
對於色情和賭博等違規 app 的存在,蘋果拒絕解釋它們成為企業證書籤名應用的具體途徑,也拒絕透露它是否對該專案中的開發者進行後續合規審查,或是否有調整申請稽核流程的打算。但一位蘋果發言人釋出宣告稱,「濫用蘋果企業開發證書的開發者違反了蘋果開發者企業賬戶協議,其擁有的證書將被終止,且若適用,他們將完全從我們的開發者專案中移除。公司將不斷評估濫用情況,並隨時準備採取行動。」
這些問題出現的源頭在於蘋果為企業專案制定的標準過於寬鬆,雖然要求申請企業承諾僅能在內部測試和分發應用,但蘋果的確未能嚴格執行這些政策。蘋果需要做的,是更嚴格地控制企業開發資格和加強檢查制度。比如,開發者需要進一步證明他們的應用與證書持有者之間的關係,以及蘋果可以定期檢查證書籤名應用。對常常把隱私問題當作宣傳手段的蘋果而言,前不久的 FaceTime 監聽事件和近期頻發的企業開發者專案事故都為它敲響了警鐘。
責任編輯:宋德勝
題圖來源:視覺中國