尽管我们一般从appstore下载软件,但一些开发人员仍然可能欺骗我们安装某些软件,这可能会导致恶意软件的运行和隐私的泄露。
这里提供方法让你摆脱这些软件。
Facebook 滥用配置文件和根证书
曾经,TechCrunch 发现 Facebook 正在滥用 Apple 的 Developer Enterprise Program,该平台使企业可以将未经审查的应用程序分发给员工并签署证书。
通常,此程序用于让工作人员在接受应用商店审查之前测试正在开发的应用程序,就像常规的开发者计划一样,它也可以用于为员工提供公司不希望外人使用的移动工具。比如谷歌的 Gbus app 就是后者的用例。
Facebook 实质上是为了吸引青少年和成年人安装用于数据收集VPN应用,以换取每月20美元的费用。它收集了近19万用户的数据。
用户被安装一个 Facebook Research 应用配置文件,其中包含通过其VPN隧道来传输TLS流量的权限,以及根CA证书,该证书基本上可以让他们收集进出 iPhone 的所有加密流量以了解发生的任何事,而不仅仅是 Facebook 相关的任务。它记录了任何应用程序的网络使用情况。
尽管 Apple 以其严格的 App Store 准则而闻名,但 Developer Enterprise Program 对使用证书许可几乎没有任何监督。至于根证书,Apple 在iOS 12上允许了更多受信任证书,同时也屏蔽了一些证书。
有很多公司滥用证书
Facebook 不是滥用证书许可的唯一罪魁祸首。
再举一个著名的例子,谷歌在做与 Facebook 完全同样的事,使用根CA证书来获取进出设备的所有数据,以进行深度包检测。
尽管 “受信任” 的根证书是最值得担心的问题,但还有普通证书和带有或不带有证书的供应配置文件。
未经批准的应用程序商店(例如TutuApp,Panda Helper,AppValley和TweakBox)以及Beta测试平台 BetaBound、uTest 和 Applause(Facebook 使用过)都需要配置文件安装,通常带证书(不一定是根证书) 。只需点击Safari中的链接,即可轻松安装这些配置文件。
