原標(biāo)題:大公司乘機(jī)收集數(shù)據(jù),小作坊違規(guī)應(yīng)用泛濫,蘋(píng)果究竟做錯(cuò)了什么?
摘要:對(duì)常常把隱私問(wèn)題當(dāng)作宣傳手段的蘋(píng)果而言,前不久的FaceTime監(jiān)聽(tīng)事件和近期頻發(fā)的企業(yè)開(kāi)發(fā)者項(xiàng)目事故都為它敲響了警鐘。
蘋(píng)果的AppStore有著嚴(yán)格的應(yīng)用審核標(biāo)準(zhǔn),內(nèi)容不合格的產(chǎn)品往往會(huì)因?yàn)檫`規(guī)而遭到蘋(píng)果的下架處理,而更多違規(guī)應(yīng)用則連審核通過(guò)的資格都沒(méi)有。
Tumblr就是一個(gè)典型的例子。這家以圖片分享為主的內(nèi)容平臺(tái),曾因?yàn)樘O(píng)果嚴(yán)格的審核而‘自殘’式地刪除了平臺(tái)上所有敏感內(nèi)容,以此保留在A(yíng)ppStore上架的資格。
然而日前,外媒TechCrunch卻用一臺(tái)未經(jīng)‘越獄’的普通iPhone,代表性地下載了二十多個(gè)現(xiàn)金賭博和色情內(nèi)容的App。TechCrunch調(diào)查發(fā)現(xiàn),這些App的傳播渠道與日前沸沸揚(yáng)揚(yáng)的蘋(píng)果下架Facebook和Google企業(yè)內(nèi)部應(yīng)用的新聞息息相關(guān)。
鉆空子
當(dāng)?shù)貢r(shí)間2月12日,外媒TechCrunch經(jīng)調(diào)查發(fā)現(xiàn),有上千個(gè)網(wǎng)站提供一種‘企業(yè)應(yīng)用程序’誘使用戶(hù)下載。這些App利用蘋(píng)果的‘企業(yè)開(kāi)發(fā)者項(xiàng)目’(DeveloperEnterpriseProgram,下面簡(jiǎn)稱(chēng)DEP)作為擋箭牌,繞開(kāi)了蘋(píng)果AppStore的內(nèi)容審查。
只要通過(guò)DEP的申請(qǐng),企業(yè)就可以專(zhuān)門(mén)為自己的員工測(cè)試和分發(fā)普通用戶(hù)無(wú)法使用的內(nèi)部版App,這一非正常應(yīng)用分發(fā)渠道被一些開(kāi)發(fā)者利用,用來(lái)將色情和賭博等違規(guī)App分發(fā)給外部用戶(hù)。
近期,F(xiàn)acebook和Google被蘋(píng)果吊銷(xiāo)企業(yè)開(kāi)發(fā)者證書(shū)也是因?yàn)闉E用了這種‘特權(quán)’,蘋(píng)果調(diào)查發(fā)現(xiàn)前兩者的內(nèi)部應(yīng)用存在收集使用者的個(gè)人資料等違規(guī)行為。
諷刺的是,對(duì)Facebook和Google等大公司嚴(yán)加打擊的蘋(píng)果,卻疏于DEP這個(gè)項(xiàng)目的審核和監(jiān)督。大量不良開(kāi)發(fā)者之所以如此猖獗,源頭都是因?yàn)樘O(píng)果為DEP設(shè)立的標(biāo)準(zhǔn)過(guò)于寬松。
輕而易舉
在TechCrunch展示的二十多個(gè)代表性的App里,色情App或提供流媒體訂閱服務(wù),或按觀(guān)看內(nèi)容的次數(shù)收費(fèi),而賭博App則向用戶(hù)提供了應(yīng)用內(nèi)存款、贏(yíng)錢(qián)和取錢(qián)的服務(wù)。
這類(lèi)App獲取能繞開(kāi)AppStore審核的資格非常容易。開(kāi)發(fā)者只需在線(xiàn)填寫(xiě)一份蘋(píng)果給出的表格,同時(shí)支付299美元即可獲得這種資格。而那份表格僅要求開(kāi)發(fā)者承諾他們開(kāi)發(fā)的企業(yè)應(yīng)用僅供內(nèi)部員工使用,要求申請(qǐng)人提供D-U-N-S企業(yè)號(hào)碼,且擁有最新的Mac設(shè)備。一到四周后,‘企業(yè)’就能接到蘋(píng)果的電話(huà),會(huì)被再次要求僅能在內(nèi)部發(fā)布App。而這些違規(guī)App的開(kāi)發(fā)者提供給蘋(píng)果的企業(yè)資料,往往只是隨手在Google上搜到的公司公開(kāi)信息。
GuardianMobileFirewall的安全專(zhuān)家WillStrafach研究了這些應(yīng)用以及它們的證書(shū)。經(jīng)過(guò)初步分析,Strafach稱(chēng)沒(méi)有明顯的跡象表明這些App挪用用戶(hù)數(shù)據(jù),但這些App確實(shí)全都違反了蘋(píng)果的證書(shū)政策,它們提供的內(nèi)容也都是被AppStore禁止的不友好內(nèi)容。
另外,一些第三方網(wǎng)站也直接提供企業(yè)證書(shū),結(jié)果就是有時(shí)會(huì)有5至10個(gè)(或更多)不同的App使用同一個(gè)企業(yè)證書(shū)。
值得一提的是,TechCrunch發(fā)現(xiàn)的這些違禁應(yīng)用均未要求用戶(hù)安裝類(lèi)似GoogleScreenwise的VPN,更不用說(shuō)類(lèi)似FacebookResearch的那種根網(wǎng)絡(luò)訪(fǎng)問(wèn)(rootnetworkaccess)。
監(jiān)管失職
今年1月底,據(jù)多家外媒報(bào)道,F(xiàn)acebook在過(guò)去3年里,通過(guò)‘企業(yè)應(yīng)用程序’收集了許多來(lái)自付費(fèi)志愿者的用戶(hù)數(shù)據(jù)。Facebook向13至25歲的用戶(hù)支付每月20美元的費(fèi)用,讓這些用戶(hù)在他們的iOS和Android設(shè)備上安裝FacebookResearchApp,這個(gè)App可以監(jiān)控用戶(hù)的手機(jī)和網(wǎng)絡(luò)活動(dòng)。
Google也在做同樣的事情。自2012年以來(lái),谷歌一直在通過(guò)企業(yè)證書(shū)安裝方式提供ScreenwiseMeterApp,并私下邀請(qǐng)年滿(mǎn)18歲的用戶(hù)(或年滿(mǎn)13歲的家庭用戶(hù)成員)下載這款A(yù)pp,收集關(guān)于他們使用互聯(lián)網(wǎng)方面的信息,包括用戶(hù)在不同網(wǎng)站的訪(fǎng)問(wèn)時(shí)間,以及下載了什么應(yīng)用。
發(fā)現(xiàn)上面兩家公司的違規(guī)行為之后,蘋(píng)果短暫吊銷(xiāo)了這兩家公司的企業(yè)證書(shū)。蘋(píng)果聲稱(chēng):‘一旦利用企業(yè)證書(shū)面向消費(fèi)者發(fā)布應(yīng)用,證書(shū)將被撤銷(xiāo),從而保護(hù)用戶(hù)和他們的數(shù)據(jù)。’在Facebook和Google被曝光違反企業(yè)證書(shū)政策后,TechCrunch發(fā)現(xiàn)蘋(píng)果似乎在過(guò)去幾天內(nèi)已經(jīng)禁用了部分類(lèi)似應(yīng)用,但目前仍存在很多可下載的應(yīng)用。
對(duì)于色情和賭博等違規(guī)App的存在,蘋(píng)果拒絕解釋它們成為企業(yè)證書(shū)簽名應(yīng)用的具體途徑,也拒絕透露它是否對(duì)該項(xiàng)目中的開(kāi)發(fā)者進(jìn)行后續(xù)合規(guī)審查,或是否有調(diào)整申請(qǐng)審核流程的打算。但一位蘋(píng)果發(fā)言人發(fā)布聲明稱(chēng),‘濫用蘋(píng)果企業(yè)開(kāi)發(fā)證書(shū)的開(kāi)發(fā)者違反了蘋(píng)果開(kāi)發(fā)者企業(yè)賬戶(hù)協(xié)議,其擁有的證書(shū)將被終止,且若適用,他們將完全從我們的開(kāi)發(fā)者項(xiàng)目中移除。公司將不斷評(píng)估濫用情況,并隨時(shí)準(zhǔn)備采取行動(dòng)。
這些問(wèn)題出現(xiàn)的源頭在于蘋(píng)果為企業(yè)項(xiàng)目制定的標(biāo)準(zhǔn)過(guò)于寬松,雖然要求申請(qǐng)企業(yè)承諾僅能在內(nèi)部測(cè)試和分發(fā)應(yīng)用,但蘋(píng)果的確未能?chē)?yán)格執(zhí)行這些政策。蘋(píng)果需要做的,是更嚴(yán)格地控制企業(yè)開(kāi)發(fā)資格和加強(qiáng)檢查制度。比如,開(kāi)發(fā)者需要進(jìn)一步證明他們的應(yīng)用與證書(shū)持有者之間的關(guān)系,以及蘋(píng)果可以定期檢查證書(shū)簽名應(yīng)用。對(duì)常常把隱私問(wèn)題當(dāng)作宣傳手段的蘋(píng)果而言,前不久的FaceTime監(jiān)聽(tīng)事件和近期頻發(fā)的企業(yè)開(kāi)發(fā)者項(xiàng)目事故都為它敲響了警鐘。
