苹果企业证书遭滥用 赌博app在iOS泛滥
据报道,尽管自3月底以来,有大量赌博类游戏的第三方支付通道被关停,并因此出现“开户数”的大幅下跌,但事实显示,大量用户依然可以通过多种渠道访问、下载赌博游戏的网站、应用。
“现在,网络赌博80%的用户已经转移到移动端,而移动端中,又有80%来自iOS平台。”国内司法行业人士Jenny(化名)告诉记者,“大量不法分子滥用了苹果iOS企业证书,发布大量赌博游戏APP。”
据报道,无论是根据中国法律法规,还是苹果应用商店的审核条款,非法赌博类APP均被禁止在APPStore上架。但是,苹果公司向开发者提供个人、公司、企业三种账号。
其中,企业账号收费299美元/年,持企业账号开发的应用不能提交到AppStore商店,但可以给应用签名并且提供下载链接,允许该应用在任何iOS设备上安装,且签名之后立刻可以下载安装,安装数量没有限制。
正常情况下,企业账号一般用于发布企业内部办公APP,或者用于APP的测试、分发。苹果也对企业账号进行严格的使用规定,比如,“只能用于企业内部员工安装”、“不可以进行公开下载”。
但是,由于没有下载数量的限制,且苹果没有技术手段确认下载者是否为“内部员工”,大量赌博游戏通过企业账号进行签名,然后将下载链接投放在各种推广渠道。虽然苹果公司对此类应用进行“信任风险”提醒,但并不限制安装。因此,企业账号逐渐成为赌博类游戏的重要渠道。
2017年3月,知名互联网安全新媒体FreeBuff发布了“苹果企业账号遭不法分子利用”的漏洞,并得到包括阿里聚安全在内的部分安全平台转载。FreeBuff在漏洞解读中建议苹果公司“优化证书审核机制”、“完善分发协议”。
不过,并不确定苹果是否会如此优化。Jenny告诉记者:“我已经向苹果公司投诉了接近3个月,但苹果一直在推诿,始终没有解决。”Jenny向记者提供的投诉记录显示,2017年1月底开始,Jenny不断向苹果投诉多个非法赌博应用、企业账号被滥用等情况,但苹果一直停留在“审核问题”阶段。