Virksomhedscertifikater bruges fortsat til at spionere på iPhone-brugere
Fandt du, at kontroversen var over forretningscertifikater forkert brugt af App butik udviklere var forbi? Fordi de tænkte forkert.
Lookout-sikkerhedsanalytikere fandt endnu et sæt applikationer, der brugte certifikaterne uhensigtsmæssigt, og denne gang med endnu mere problematiske formål: at spionere på brugere, indsamle data såsom opkald, fotos, placeringer og mere - som alle passerede som appsoperatører.
De pågældende apps blev distribueret i Italien og Turkmenistan og blev tilbudt til download direkte fra Safari - virksomhedscertifikater, som vi alle ved, bruges til at få apps installeret uden for App Store, normalt af ansatte i en virksomhed.
Disse applikationer, der spænder fra operatørværktøjer, foregav at tilbyde ekstra funktioner til brugernes telefoniplaner, men kunne dybest set fange alle data fra enheden og endda optage opkald.
Det vides ikke nøjagtigt, hvem der står bag apps, men det menes, at der er en involvering fra et italiensk firma, der hedder Connexxa , der tidligere oprettede en Android-overvågningsapplikation - kaldet Exodus - der i øjeblikket bruges af den italienske regering. Begge apps bruger det samme bagende , hvilket indikerer, at vi taler om de samme skabere.
Det TechCrunch sendte resultaterne til Appleog virksomheden gentog standarderklæringen om, at denne type brugsattest er en overtrædelse af deres regler. De pågældende apps er allerede deaktiveret, og udviklercertifikatet er tilbagekaldt.
Ingen er overrasket over, at virksomhedscertifikater fortsat blev misbrugt efter resultaterne på Google, Facebook og spil- og porno-apps. Hvad der henleder opmærksomhed her er inertien hos Apple: ville det ikke være tilfældet, at virksomheden allerede nu har overvejet driften af disse certifikater? Den nuværende model fungerer trods alt tydeligvis ikke.
