Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Glücksspiel- und Porno-Apps mit Apples Enterprise-Zertifikaten verteilt

Vor zwei Wochen wurde bekannt, dass Facebook eine Schnüffel-App an Kunden verteilte, die weitreichende Informationen über die Nutzer sammelte und an Facebook zurücksendete. Im Gegenzug erhielten die Kunden 20 Dollar pro Monat. Eine solche App hätte natürlich nie den Begutachtungsprozess im App Store bestanden – daher entschied sich Facebook für die Verteilung über Apples Unternehmensprogramm. Hier erhalten Unternehmen sogenannte Enterprise-Zertifikate, mit denen Apps direkt auf iOS-Geräte von Mitarbeitern installiert werden können, ohne dass der normale App-Store-Prüfungsprozess durchlaufen wird. Das Programm soll es Unternehmen ermöglichen, spezielle, nur für interne Aufgaben gedachte Apps auf Mitarbeitergeräten zu installieren – und nicht wie bei Facebook geschehen den Begutachtungsprozess auszuhebeln.


Kurze Zeit später wurde bekannt, dass Google eine sehr ähnliche App über Enterprise-Zertifikate auf iOS-Geräten von Kunden installiert. Apple entzog Facebook wie auch Google daraufhin kurzerhand das Enterprise-Zertifikat und legte damit auch eine Menge von legitimen, unternehmensinternen Apps auf Mitarbeitergeräten lahm. Mittlerweile einigte sich Apple mit Facebook und Google und stellte neue Zertifikate aus – die beiden Unternehmen bieten die Schnüffel-Apps nun nicht mehr für iOS-Geräte an.

Problem nicht nur auf Google und Facebook beschränkt – keine nennenswerte Kontrolle
Einer Recherche von TechCrunch.com nach ist das Problem mit Apples Enterprise-Zertifikaten allerdings viel weitreichender. Bereits beim Ausstellen von Enterprise-Zertifikaten und der Anmeldung eines Unternehmenskontos finden kaum nennenswerte Kontrollen durch Apple statt: Die Angabe einer D-U-N-S-Nummer und die Zahlung von 299 Dollar reichen aus, um den Entwicklerzugang freizuschalten – ab und an ruft Apple bei Neuregistrierungen an, um sich versichern zu lassen, dass die Enterprise-Zertifikate nur für den internen Gebrauch verwendet werden.

Porno- und Glücksspiel-Apps
TechCrunch konnte ohne lange Suche 12 Apps mit pornografischen Inhalten wie auch 12 Glücksspiel-Apps, in denen um echtes Geld gespielt wird, ausmachen und mit Hilfe von Enterprise-Zertifikaten installieren. Solche Apps verstoßen gegen die App-Store-Richtlinien, weswegen diese nicht auf regulärem Weg angeboten werden. Aber auch Enterprise-Zertifikate sind nicht für die Distribution solcher Apps an Nutzer gedacht.


Wenig Initiative von Apple
Nachdem der Missbrauch der Enterprise-Zertifikate von Facebook und Google aufgeflogen war, deaktivierte Apple anscheinend auch manche weitere Enterprise-Zertifikate von Entwicklerkonten, die gegen die Richtlinien verstoßen – trotzdem befinden sich noch mannigfaltig Apps mit validen Zertifikaten in Umlauf, die klar gegen die Richtlinien verstoßen.

Auf Nachfrage äußerte sich Apple, dass Entwickler, welche gegen die Richtlinien des Enterprise-Programms verstoßen, das Zertifikat entzogen oder gar der Entwicklerzugang stillgelegt wird. Leider nennt Apple nicht, wie der Konzern zukünftig die Registrierung besser kontrollieren und bereits bestehende Enterprise-Accounts validieren will:
Developers that abuse our enterprise certificates are in violation of the Apple Developer Enterprise Program Agreement and will have their certificates terminated, and if appropriate, they will be removed from our Developer Program completely. We are continuously evaluating the cases of misuse and are prepared to take immediate action.
Bald macOS 14.5 & iOS 17.5
Bald macOS 14.5 & iOS 17.5
Messereport NDHT24
Messereport NDHT24
Kurz: Apple informiert WWDC-Ticketgewinner +++ Zwei weitere neue iPads geleakt
Kurz: Apple informiert WWDC-Ticketgewinner +++ ...
Stehen Apple und die FIFA kurz vor einem Milliardendeal?
Stehen Apple und die FIFA kurz vor einem Millia...
"8 GByte sind genug" – Apple verteidigt RAM-Ausstattung des MacBook Air
"8 GByte sind genug" – Apple verteidigt RAM-Aus...
Sonoma & alte Macs: "OpenCore Legacy Patcher" für macOS 14.4 erschienen – Probleme auf Macs ohne Metal-Support
Sonoma & alte Macs: "OpenCore Legacy Patcher" f...
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
Noch mehr Neuerungen in iOS 17.4 aufgetaucht
Noch mehr Neuerungen in iOS 17.4 aufgetaucht

Kommentare

sierkb13.02.19 12:05
heise (13.02.2019): iPhone und iPad: Pornos und Glücksspiel mit Enterprise-Zertifikaten
Nicht nur Facebook und Google umgehen Apples App Store, auch diverse offiziell unzulässige Anwendungsformate nutzen das Schlupfloch.


TechCrunch (12.02.2019): Apple fails to block porn & gambling ‘Enterprise’ apps
TechCrunch, 12.02.2019
A TechCrunch investigation uncovered a dozen hardcore pornography apps and a dozen real-money gambling apps that escaped Apple’s oversight. The developers passed Apple’s weak Enterprise Certificate screening process or piggybacked on a legitimate approval, allowing them to sidestep the App Store and Cupertino’s traditional safeguards designed to keep iOS family-friendly. Without proper oversight, they were able to operate these vice apps that blatantly flaunt Apple’s content policies.

The situation shows further evidence that Apple has been neglecting its responsibility to police the Enterprise Certificate program, leading to its exploitation to circumvent App Store rules and forbidden categories. For a company whose CEO Tim Cook frequently criticizes its competitors for data misuse and policy fiascos like Facebook’s Cambridge Analytica, Apple’s failure to catch and block these porn and gambling demonstrates it has work to do itself.
[…]
Meanwhile, dozens of prohibited apps were available for download from shady developers’ websites.
[…]

The problem starts with Apple’s lax standards for accepting businesses to the enterprise program. The program is for companies to distribute apps only to their employees, and its policy explicitly states “You may not use, distribute or otherwise make Your Internal Use Applications available to Your Customers.” Yet Apple doesn’t adequately enforce these policies.
[…]

Given the number of policy-violating apps that are being distributed to non-employees using registrations for businesses unrelated to their apps, it’s clear that Apple needs to tighten the oversight on the Enterprise Certificate program. TechCrunch found thousands of sites offering downloads of “sideloaded” Enterprise apps, and investigating just a sample uncovered numerous abuses. Using a standard un-jailbroken iPhone.

TechCrunch was able to download and verify 12 pornography and 12 real-money gambling apps over the past week that were abusing Apple’s Enterprise Certificate system to offer apps prohibited from the App Store. These apps either offered streaming or pay-per-view hardcore pornography, or allowed users to deposit, win and withdraw real money — all of which would be prohibited if the apps were distributed through the App Store.

You can see a full list of the policy-violating apps we found:
[…]

Apple refused to explain how these apps slipped into the Enterprise Certificate app program. It declined to say if it does any follow-up compliance audits on developers in the program or if it plans to change admission process.
[…]

TechCrunch asked Guardian Mobile Firewall’s security expert Will Strafach to look at the apps we found and their Certificates. Strafach’s initial analysis of the apps didn’t find any glaring evidence that the apps misappropriate data, but they all do violate Apple’s Certificate policies and provide content banned from the App Store. “At the moment, I have noticed that action is slower regarding apps available from an independent website and not these easy-to-scrape app directories” that occasionally crop up offering centralized access to a plethora of sideloaded apps.

Strafach explained how “A significant number of the Enterprise Certificates used to sign publicly available apps are referred to informally as ‘rogue certificates’ as they are often not associated with the named company. There are no hard facts to confirm the manner in which these certificates originate, but the result of the initial step is that individuals will gain control of an Enterprise Certificate attributable to a corporation, usually China/HK-based. Code services are then sold quietly on Chinese language marketplaces, resulting in sometimes 5 to 10 (or more) distinct apps being signed with the same Enterprise Certificate.” We found Sungate and Mohajer Certificates were farmed out for use by multiple apps in this way.

“In my experience, Enterprise Certificate signed apps available on independent websites have not been harmful to users in a malicious sense, only in the sense that they have broken the rules,” Strafach notes. “Enterprise Certificate signed apps from these Chinese ‘helper’ tools, however, have been a mixed bag. Zoe example, in multiple cases, we have noticed such apps with additional tracking and adware code injected into the original now-repackaged app being offered.”

[…]

“This is a cat-and-mouse game,” Strafach concluded regarding Apple’s struggle to keep out these apps. But given the rampant abuse, it seems Apple could easily add stronger verification processes and more check-ups to the Enterprise Certificate program. Developers should have to do more to prove their apps’ connection with the Certificate holder, and Apple should regularly audit certificates to see what kind of apps they’re powering.

Back when Facebook missed Cambridge Analytica’s abuse of its app platform, Cook was asked what he’d do in Mark Zuckerberg’s shoes. “I wouldn’t be in this situation” Cook frankly replied. But if Apple can’t keep porn and casinos off iOS, perhaps Cook shouldn’t be lecturing anyone else.
-11
pünktchen
pünktchen13.02.19 12:16
Dann sollen sie halt nicht den Zensor spielen, dann gibt es auch keinen solchen grauen Markt und daraus folgende Sicherheitslücken. Das ist bei virtuellen Gütern nicht anders als sonst auch.
0
MacTaipan13.02.19 12:36
pünktchen
Dann sollen sie halt nicht den Zensor spielen, dann gibt es auch keinen solchen grauen Markt und daraus folgende Sicherheitslücken. Das ist bei virtuellen Gütern nicht anders als sonst auch.
Zensur ist sicher nicht optimal, aber in diesem Fall ziehe ich das einem App-Store mit 98% Porno-Apps vor.
+6
WollesMac
WollesMac13.02.19 12:55
Verstehe ich das jetzt richtig, dass derartige Apps quasi von jedermann auf dem Ipad installiert werden können und zwar nicht aus/über dem App-Store? Ich dachte, genau das geht nicht. Oder ist das jetzt nur ein eher lokales Firmen-/Entwicklerproblem?
Solche Apps verstoßen gegen die App-Store-Richtlinien, weswegen diese nicht auf regulärem Weg angeboten werden. Aber auch Enterprise-Zertifikate sind nicht für die Distribution solcher Apps an Nutzer gedacht.
0
Embrace13.02.19 13:21
WollesMac
Verstehe ich das jetzt richtig, dass derartige Apps quasi von jedermann auf dem Ipad installiert werden können und zwar nicht aus/über dem App-Store?

Das verstehst du richtig. Das geht schon seit Jahren. Und es wundert mich, dass jetzt viel Wind darum gemacht wird. Ich bin davon ausgegangen, dass jeder weiß, dass die Enterprisezertifikate auch außerhalb der Unternehmen genutzt werden bzw. ausschließlich für solche Apps genutzt werden.
+2
pünktchen
pünktchen13.02.19 13:45
MacTaipan
pünktchen
Dann sollen sie halt nicht den Zensor spielen, dann gibt es auch keinen solchen grauen Markt und daraus folgende Sicherheitslücken. Das ist bei virtuellen Gütern nicht anders als sonst auch.
Zensur ist sicher nicht optimal, aber in diesem Fall ziehe ich das einem App-Store mit 98% Porno-Apps vor.

Man kann sie ja verstecken, sozusagen unter dem Ladentisch verkaufen.
0
WollesMac
WollesMac13.02.19 14:20
Danke Embrace, das war mir so nicht bewusst.
0
Hot Mac
Hot Mac13.02.19 16:00
Kann man denn heutzutage noch Kohle mit Porno-Apps verdienen?
0
motiongroup13.02.19 16:53
Hot Mac
Kann man denn heutzutage noch Kohle mit Porno-Apps verdienen?

Aber sicher wenn du wie bei Glassroom zur Verbesserung der Nutzererfahrung den Screen und die Cam mitsicherst und die Leute danach blechen lässt..:)))
wer nen roten Daumen über hat.. darüber plaudern ist nicht so euer Ding gell
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.