圖片來源: 

蘋果

繼臉書、Google之後,一些盜版App市集也被發現濫用蘋果提供企業App測試的憑證,散佈包括Spotify、憤怒鳥、精靈寶可夢(Pokemon Go) 和當個創世神(Minecraft)等知名App破解版。

路透社在分析盜版軟體市集包括兔兔助手(TutuApp)、Panda Helper、AppValley 和TweakBox後,發現它們使用蘋果的企業開發憑證(Enterprise Developer Certificate)來繞過App Store嚴格審查流程,以散佈破解版App。

這些破解版本讓使用者可以不付費、或不需看到廣告情況下,使用Spotify串流音樂或是玩憤怒鳥、精靈寶可夢等遊戲,因而相當受歡迎。許多人以兔兔助手找到免費的精靈寶可夢、在AppValley下載Spotify等。這些市集VIP會員費一年可能只要13美元即可提供無限下載。

路透社已通報蘋果此事,蘋果也以不當使用憑證為由終止上述違法業者的企業開發憑證,表示會持續觀察,必要時會將這些廠商從開發商方案完全剔除。但有些業者在被蘋果取消資格後,又取得新的憑證恢復營運。

報導指出,蘋果對這些憑證的散佈無從追蹤起,只能被動取消憑證。安全業者也坦承,廠商換個開發商帳號、取得新憑證就可以重新上線,這無法根除。

這是繼一月底臉書及Google相繼被媒體發現使用蘋果企業開發憑證走偏門後,最新被發現類似的違規行為。由於蘋果企業開發憑證取得容易,只需支付299美元的一次性費用,造成這類違規使用情況很普遍,包括Amazon、餐點外送業者Doordash也都有類似情況。Techcrunch本周還發現10多款色情和賭博性App也用了同一招散佈。

蘋果已經著手規畫根本的解決方案,將強制開發人員使用雙因素驗證,或可預防憑證濫用的情形。


Advertisement

更多 iThome相關內容