大公司乘机收集数据 小作坊违规应用泛滥 苹果究竟做错了什么?
苹果的 app store 有着严格的应用审核标准,内容不合格的产品往往会因为违规而遭到苹果的下架处理,而更多违规应用则连审核通过的资格都没有。
tumblr 就是一个典型的例子。这家以图片分享为主的内容平台,曾因为苹果严格的审核而「自残」式地删除了平台上所有敏感内容,以此保留在 app store 上架的资格。
然而日前,外媒 techcrunch 却用一台未经「越狱」的普通 iphone,代表性地下载了二十多个现金赌博和色情内容的 app。techcrunch 调查发现,这些 app 的传播渠道与日前沸沸扬扬的苹果下架 facebook 和 google 企业内部应用的新闻息息相关。
钻空子
当地时间 2 月 12 日,外媒 techcrunch 经调查发现,有上千个网站提供一种「企业应用程序」诱使用户下载。这些 app 利用苹果的「企业开发者项目」(developer enterprise program,下面简称 dep)作为挡箭牌,绕开了苹果 app store 的内容审查。
只要通过 dep 的申请,企业就可以专门为自己的员工测试和分发普通用户无法使用的内部版 app,这一非正常应用分发渠道被一些开发者利用,用来将色情和赌博等违规 app 分发给外部用户。
近期,facebook 和 google 被苹果吊销企业开发者证书也是因为滥用了这种「特权」,苹果调查发现前两者的内部应用存在收集使用者的个人资料等违规行为。
讽刺的是,对 facebook 和 google 等大公司严加打击的苹果,却疏于 dep 这个项目的审核和监督。大量不良开发者之所以如此猖獗,源头都是因为苹果为 dep 设立的标准过于宽松。
轻而易举
在 techcrunch 展示的二十多个代表性的 app 里,色情 app 或提供流媒体订阅服务,或按观看内容的次数收费,而赌博 app 则向用户提供了应用内存款、赢钱和取钱的服务。
这类 app 获取能绕开 app store 审核的资格非常容易。开发者只需在线填写一份苹果给出的表格,同时支付 299 美元即可获得这种资格。而那份表格仅要求开发者承诺他们开发的企业应用仅供内部员工使用,要求申请人提供 d-u-n-s 企业号码,且拥有最新的 mac 设备。一到四周后,「企业」就能接到苹果的电话,会被再次要求仅能在内部发布 app。而这些违规 app 的开发者提供给苹果的企业资料,往往只是随手在 google 上搜到的公司公开信息。
guardian mobile firewall 的安全专家 will strafach 研究了这些应用以及它们的证书。经过初步分析,strafach 称没有明显的迹象表明这些 app 挪用用户数据,但这些 app 确实全都违反了苹果的证书政策,它们提供的内容也都是被 app store 禁止的不友好内容。
另外,一些第三方网站也直接提供企业证书,结果就是有时会有 5 至 10 个(或更多)不同的 app 使用同一个企业证书。
值得一提的是,techcrunch 发现的这些违禁应用均未要求用户安装类似 google screenwise 的 vpn,更不用说类似 facebook research 的那种根网络访问(root network access)。
监管失职
今年 1 月底,据多家外媒报道,facebook 在过去 3 年里,通过「企业应用程序」收集了许多来自付费志愿者的用户数据。facebook 向 13 至 25 岁的用户支付每月 20 美元的费用,让这些用户在他们的 ios 和 android 设备上安装 facebook research app,这个 app 可以监控用户的手机和网络活动。
google 也在做同样的事情。自 2012 年以来,谷歌一直在通过企业证书安装方式提供 screenwise meter app,并私下邀请年满 18 岁的用户(或年满 13 岁的家庭用户成员)下载这款 app,收集关于他们使用互联网方面的信息,包括用户在不同网站的访问时间,以及下载了什么应用。
发现上面两家公司的违规行为之后,苹果短暂吊销了这两家公司的企业证书。苹果声称:「一旦利用企业证书面向消费者发布应用,证书将被撤销,从而保护用户和他们的数据。」在 facebook 和 google 被曝光违反企业证书政策后,techcrunch 发现苹果似乎在过去几天内已经禁用了部分类似应用,但目前仍存在很多可下载的应用。
对于色情和赌博等违规 app 的存在,苹果拒绝解释它们成为企业证书签名应用的具体途径,也拒绝透露它是否对该项目中的开发者进行后续合规审查,或是否有调整申请审核流程的打算。但一位苹果发言人发布声明称,「滥用苹果企业开发证书的开发者违反了苹果开发者企业账户协议,其拥有的证书将被终止,且若适用,他们将完全从我们的开发者项目中移除。公司将不断评估滥用情况,并随时准备采取行动。」
这些问题出现的源头在于苹果为企业项目制定的标准过于宽松,虽然要求申请企业承诺仅能在内部测试和分发应用,但苹果的确未能严格执行这些政策。苹果需要做的,是更严格地控制企业开发资格和加强检查制度。比如,开发者需要进一步证明他们的应用与证书持有者之间的关系,以及苹果可以定期检查证书签名应用。对常常把隐私问题当作宣传手段的苹果而言,前不久的 facetime 监听事件和近期频发的企业开发者项目事故都为它敲响了警钟。