揭秘蘋果App灰產溫床:涉賭、涉黃App竟可通過這種方式分發
相對於安卓系統,人們對於蘋果iOS系統上的App,印象往往是更加安全、監管更加嚴格。這是因為通常情況下,蘋果手機上的App,是通過上架蘋果AppStore,分發給蘋果用戶下載安裝的。而App上架AppStore需要經過蘋果的審核,沒有通過審核則不能上架。
然而,卻有一些App可以繞過蘋果審核,無需上架AppStore即可發布,並且供任何蘋果用戶下載使用。
比如1月15日發布的三款“挑戰微信”的社交軟件中,“馬桶MT(後改名MT)” 就並未上架AppStore。
湊熱鬧下載了的朋友們可能會記得那個下載流程,MT官網中也有相關教程。
首先,通過Safari進入官網,點擊下載鏈接,將App安裝到手機上。此時,如果你試圖打開該App,會跳出“未受信任的企業級開發者”通知界面。

通過“設置”——“通用”——“設備管理”來找到該App的證書並選擇信任,就可以打開並使用該App了,使用起來體驗與通過AppStore下載的App並沒什麼區別,App中內購充值、交易等等也並不受限制。
在感嘆“這樣也行?”的同時,不知你是否想過,如果這樣也行,那麼對其他按部就班申請審核的企業來說是否公平?
這些未經應用商店發布的App,是否是合法合規的呢?
這就涉及一個問題—— 蘋果為什麼允許未經應用商店即可發布的App存在。
事實上,蘋果iOS系統有一套完善的加密方案,在不越獄破解的情況下,非AppStore下載的App需要證書籤名,才能在iOS上運行。
證書需要向蘋果申請,分為幾類:

像MT這樣,通過Safari下載,信任證書後即可正常使用的App就是用了企業賬號,即企業級開發者證書。
根據蘋果官網信息,只要公司擁有鄧白氏(Data Universal Numbering System)編碼,填報信息通過審批,每年只要299美元,就可以獲得企業級開發者資格。
但是,按照蘋果相關規定,企業級開發者應用是在企業內部使用的。
比如企業開發的內部人員OA系統,用於員工考勤、收發郵件等等;又如一些公司自主開發的App推出新版本之前進行測試時,不能直接上架AppStore測試,有了企業級證書,就可以通過網頁直接在員工內部分發Beta版本,對所開發App進行測試。
那麼,為什麼用於企業內部的企業級開發者證書,卻能夠出現在大眾的視野裡,用於一些面向公眾的App分發呢?
根據蘋果規定,這種行為當然是不允許的,所以可以說,所有面向大眾分發的企業級開發者應用都是違反了蘋果規定的。
但蘋果對企業級開發者證書是否真的被用於開發企業內部App的監管,似乎有那麼一些瑕疵。
蘋果證書引亂象,灰色App暗流傳
不止MT,許多人在使用企業級開發者證書做著不那麼光明正大的事情。
首先,當你的App內容不像是能過審的樣子時,企業級開發者往往證書可以為您解憂——比如一些博彩App。
在微博上,比如一些體育或電子競技類微博下,經常可以看到一些小號,在發布此類宣傳博彩App的廣告。


不僅微博,貼吧用戶也經常能夠收到相關App的廣告騷擾。

打開廣告鏈接,即可直接通過手機瀏覽器下載相關博彩App。這些App也是通過企業級證書進行下載安裝,下載後會遇到“未信任的企業級開發者”提示,解決方法也如出一轍。

打開應用後,即可選擇體育、電子競技、真人娛樂、彩票投注等多種博彩項目。

有了賭,黃自然也不甘落後,部分涉及色情或擦邊的直播類App也會利用企業級證書偷偷分發。

除此之外,也有部分App本身內容並沒有什麼不妥,實際可以上架AppStore。但由於包含內購,App開發方不想分成給蘋果,於是也會選擇通過企業證書來分發。
根據蘋果規定,如App內購買的虛擬物品是用於App本身的,比如手機遊戲付費道具,或直播平台充值、會員充值等,就需要接入並且只能接入蘋果的應用內購買(In- App Purchase,IAP),但通過蘋果IAP產生的內購收益需要分給蘋果三成。
這也是部分遊戲、直播平台內購產品在iOS系統上的價格要高於安卓價格的原因。
而部分App為了更高的利潤,希望避開給蘋果分成的環節,直接使用微信、支付寶等第三方支付,就會用企業證書來分發App。
上文所述博彩App中的內購交易系統界面如下。通過企業證書應用進行交易,就可以避開蘋果的抽成。


而不管是將一些內容違規(賭博、色情、版權、隱私等)不能上架的App外發給用戶,還是試圖繞過內購收益分成,對蘋果來說,都屬於濫用企業證書的行為。
蘋果公司不允許濫用企業證書,一旦發現,蘋果會吊銷企業證書,企業證書被吊銷後,企業自己發布的App就不能用了。
此外,蘋果還可能將開發者(個人或公司)列入黑名單。列入黑名單後,審核通常會非常慢。不僅僅是違規App,這個開發者名下的所有App審核都會變得非常慢。
正常情況下,App平均審核時間是兩三天。但黑名單上的開發者,有時會審核幾週,甚至幾個月。幾個月不能發布新版本,對開發者來說是很大的損失。
更重的懲罰還包括將開發者名下的App全部下架。
那麼,在如此嚴格的懲罰措施下,為什麼違規App還是不少,很多濫用證書App也仍在正常運營?又是為什麼獲得蘋果企業證書門檻如此之低,導致企業級應用魚龍混雜呢?
——蘋果不知道這些企業在背著自己濫用企業證書嗎?
知情人士透露,蘋果對企業證書管理還是比較嚴格的,但這也催生了淘寶上的生意,只要你付錢,店家就會幫你搞定企業證書。
據其介紹,其中包括一種“租售企業證書”的生意。部分App由於內容違規或其它原因不能上架,但又不想自己冒險,就會在淘寶上租借或購買其他企業證書來簽名發布,跟蘋果公司打“游擊戰”。淘寶某個企業證書暴露被封殺了,就換一個企業證書重新簽名發布。
此外,有些企業為了避免被查封,有時會註冊多個開發賬號。這需要用不同的銀行卡,因為蘋果公司會將銀行卡賬號相同的判為同一個用戶(在這裡Bianews也提醒大家,勿將自己的銀行卡號碼借給他人註冊開發者賬號,不然可能會遭遇無妄之災)。
不僅如此,還有相關網站,一條龍服務搞定企業級證書及應用分發。

圍繞著企業級開發者證書已經低調地形成了產業鏈,默默地幫助一些灰產“暗度陳倉”。
不過,年初以來曝光的兩起重大事件,終於將企業級開發者證書濫用的問題推到了蘋果眼前。
這兩起事件的主角分別是Facebook和谷歌。
巨頭也濫用,終於警醒了蘋果
1月底,Facebook被曝光通過企業證書向大眾有償分發一款App,用來收集他們使用手機時的各種數據。
根據報導,自2016年以來,Facebook每月向一些人支付不超過20美元,從而在他們的蘋果或安卓手機上安裝所謂的“Facebook Research”應用程序。

據悉,這款應用程序允許Facebook跟踪用戶的App使用歷史、私人消息和位置數據。
被曝光的這一舉動不僅惹怒了用戶,還激怒了蘋果公司。
蘋果表示,這一行為這違反了蘋果相關協議。
實際上,從去年夏天開始,收集這類數據的應用程序已被視為違反蘋果的隱私準則。所以,由於得不到蘋果的審批通過,Facebook不可能通過App Store應用商店來提供這款App。
因此,Facebook選擇了用企業級開發者資格作為擋箭牌——Facebook持有的企業級開發者證書原本是用於內部員工測試應用程序的,蘋果不會像對AppStore那樣審查Facebook發布的企業級App,因為默認企業內部員工下載使用。
於是,在蘋果不知情的情況下,Facebook每月向一些非公司員工支付費用,來讓他們下載這款App。
對此,蘋果回應稱:“我們設計的企業級開發者應用完全是為了在企業內部分發應用程序。Facebook一直在利用其會員身份向消費者分發一款數據收集應用程序,這顯然違反了他們與蘋果簽署的協議。任何使用他們的企業證書向消費者分發應用程序的開發者,都會被吊銷其證書。這就是我們在這種情況下的做法,這麼做是為了保護我們的用戶及其數據。 ”
儘管在此之前,Facebook已經表示,這款App的研究工作已經結束了,蘋果還是發布了這份聲明,這意味著蘋果將不再允許Facebook發布企業級開發者應用,不僅僅是這款App, Facebook也將無法再通過企業證書向公司內部員工分發其他測試App。
無獨有偶,在Facebook被曝光的同時,谷歌也被曝光了其使用企業證書發布的數據收集應用程序Screenwise Meter。

隨後,谷歌發表道歉聲明:“Screenwise Meter iOS應用程序不應該在蘋果的企業開發者程序下運行,這是錯誤的,我們為此道歉。”
蘋果則並未因道歉而原諒,還是暫停了谷歌的企業級開發者資格,此後,谷歌員工無法訪問他們正在開發的測試版iPhone應用,也無法使用與公司日程、通勤、餐飲等有關的內部應用。
谷歌發言人表示,“我們正在與蘋果合作,以解決公司iOS應用上的臨時中斷問題。”
這兩起事件的曝光讓蘋果意識到,運用企業級開發者證書,繞開AppStore分發應用的平台不在少數,甚至很多巨頭公司牽涉其中。
灰色地帶誰負責?蘋果,法律,還是……
或許,未來蘋果應該建立更加完善的監控手段,畢竟等著濫用證書的行為一個個曝光實在太過被動。
不過除了讓巨頭們得到警醒,蘋果更需要在證書發放的門檻上入手,首先對證書發放資格進行嚴格篩選,這樣才能阻攔許多隱藏在灰色地帶的“小作坊”。
目前來看也確有此趨勢,至少Bianews在詢問淘寶店家是否可以搞定蘋果的企業級證書時,得到的回答是“企業的最近太緊張了”,說明企業級證書的頒發標準是越來越嚴格的。

除了蘋果之外,為此類商家提供土壤的淘寶平台,以及被相關廣告“入侵”的微博、貼吧等平台,或許也應該對發佈在各自平台的違規內容加大查封和檢舉力度。
中國電子商務研究中心研究員趙占領律師對Bianews表示,當前國內在App方面只有針對應用商店審核義務的法律法規,蘋果並未作為應用商店來分發企業級開發者應用,此類應用系通過系統瀏覽器直接下載安裝,因此,至少按照國內法律規定,蘋果對於企業級開發者應用軟件不存在法律上的審核義務。
不過,利用企業級開發者證書這一“盲區”來悄悄發展賭博、色情等灰色產業的現像也並非無法治理。
趙占領律師表示,如果應用軟件存在違法違規內容並通過網頁可以直接進行下載,那麼軟件運營方是需要承擔法律責任的,按照現行法律可以對其進行處罰,甚至在可能涉嫌刑事犯罪的情況下,公安機關可以立案偵查。
因此,如果被用於進行交易和發布廣告的平台們可以對違規商家和廣告鏈接進行舉報,理論上是有用的。
不知道警察蜀黍們看到了嗎?