按 Enter 到主內容區
:::

TWCERT-電子報

:::

色情和賭博軟體透過 Apple 企業內部軟體測試安裝機制散布

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-26
  • 點閱次數:490
色情和賭博軟體透過 Apple 企業內部軟體測試安裝機制散布

雖然 Apple App Store 對上架的 App 有相當嚴格的審查機制,但被 App Store 禁止發布的色情和賭博軟體,仍有其他管道可以散布到用戶的 iPhone 之上,即透過「企業軟體測試安裝機制」。

 

Apple 企業內部軟體測試安裝機制,原本是 Apple 提供給企業用來對其員工發布測試與內部專用軟體的管道,但最近因為 Facebook 和 Google 濫用此機制,讓一般用戶安裝流量與使用行為監控軟體,這個機制因而為大眾所注意。

資安廠商 Sophos 指出,由於這個管道可以繞過 App Store 的嚴格審查,不少色情和賭博軟體便透過此管道讓用戶安裝。

這些未經審查的 App 可能造成相當大的資安風險,包括用戶資料、使用行為的外流,用戶還可能曝露在惡意軟體的直接威脅。

Apple 在發現 Facebook 與 Google 濫用該機制後,曾一度取消提供給這兩家公司的憑證,使得這兩家公司的測試開發與日常運作出現混亂;在 Facebook 和 Google 移除對外部用戶發行的軟體後,Apple 恢復了憑證;不過 Sophos 指出,截至該公司發稿為止,仍有不少色情與賭博軟體尚未被 Apple 取消發行憑證。

 

 

參考連結:

https://nakedsecurity.sophos.com/2019/02/14/apple-app-store-stuffed-with-hardcore-porn-and-gambling-apps/
https://medium.com/%25E6%25A2%2597-%25E7%25A7%2591%25E6%258A%2580/facebook-reasarch-buy-user-usage-data-e0b44ea1b94a

回頁首