Корпоративные сертификаты продолжают использоваться для слежки за пользователями iPhone

Вы обнаружили, что полемика закончилась? бизнес-сертификаты неправильно используется Магазин приложений разработчиков закончилось? Потому что они ошибались.

Аналитики безопасности Lookout обнаружили еще один набор приложений, в которых сертификаты использовались ненадлежащим образом, и на этот раз с еще более проблематичными целями: слежка за пользователями, сбор данных, таких как звонки, фотографии, местоположения и т. Д. - все это передавалось как операторы приложений.

Рассматриваемые приложения были распространены в Италия а также Туркменистан и предлагались для загрузки непосредственно из Safari - бизнес-сертификаты, как мы все знаем, используются для установки приложений вне App Store, обычно сотрудниками компании.

Эти приложения, начиная от утилит оператора связи, претендовали на то, чтобы предлагать дополнительные функции для тарифных планов пользователей, но в основном могли собирать все данные с устройства и даже записывать звонки.

Точно неизвестно, кто стоит за приложениями, но считается, что в этом замешана итальянская компания под названием Connexxa , который ранее создал приложение для наблюдения Android под названием Exodus, которое в настоящее время используется правительством Италии. Оба приложения используют одно и то же бэкэнд , что указывает на то, что мы говорим об одних и тех же создателях.

В TechCrunch отправил результаты в Appleи компания повторила стандартное заявление о том, что этот тип сертификата использования является нарушением их правил. Соответствующие приложения уже отключены, а сертификат разработчика отозван.

Никого не удивляет, что после результатов исследований в Google, Facebook, а также в игровых и порно-приложениях бизнес-сертификаты продолжают использоваться не по назначению. Здесь обращает на себя внимание инерция Apple: не правда ли, к настоящему времени компания уже переосмыслила действие этих сертификатов? Текущая модель, в конце концов, явно не работает.