不发分子通过滥用或购买企业证书打包非法App的情况,通过 itms:services://?,在线安装ipa ,跨过Appstore的形式,传播大量涉黄涉赌应用,专坑中国人!举出漏洞URL只是冰山一脚,按规模总涉案金额可能达数万亿,苹果产品官网包括苹果开发者官网目前无投诉举报入口,肆意让这些质量很差又违法的App坑人
漏洞详情:
苹果企业账号(Apple Developer Enterprise Program)是苹果公司提供给 iOS 开发者的一种高级别的开发者账号,区别于个人开发者账号和公司开发者账号,企业账号具有如下特点:价格比个人账号和公司账号更贵,为 299$/年不可以提交应用到 App Store 商店可以将签名后的应用在任何 iOS 设备上安装,且没有安装数量的限制其中,正是由于第3条的特点,给开发者在测试和分发 App 时,带来了极大的便利。所以,一般开发者申请使用苹果企业账号(或苹果企业签名),也是为了这个特点。
但是,因为苹果对于 App 的安装有着非常严格的限制,所以苹果对企业账号的使用也给出了种种严格的条款,详见:Apple Developer – Terms and Agreements 。其中,最重要的条款是:使用企业账号签名后的应用,只可以用于企业内部员工安装,不可以公开下载。
不法分子正是利用这个漏洞进行上下游的违法犯罪活动
1、入口渠道:淘宝、猪八戒等平台搜索关键词“苹果证书”、“苹果开发者”、“ipa证书“、”ios证书”等关键词,搜索结果页会出现大量违规商家出售苹果开发者账户或企业证书签名,均是通过泄漏的大陆正规公司信息进行服务
如图:
2、违规公司通过购买企业证书签名后进行应用,以境外赌博公司Manbetx为例:
Manbetx移动端下载落地页:http://i.manapp7.com/
可以看到苹果下载引导到了” itms-services://?action=download-manifest&url=https://down.manx19.com/plistg0994/v0994.plist “
即通过 itms:services: 分发协议, 在线安装ipa ,跨过app-store,未越狱的苹果手机也普遍提供安装教程( http://jingyan.baidu.com/Article/fea4511a13c559f7ba91254d.html )!
上文中的 ”v0994.plist“ 文件内容如下,其实它是一个XML文件
而最终发现” http://down.manx19.com:6868/ipag0994/v0994.ipa “ 这是ipa包所在的网络地址
另外还有ebet(https://www.ebetapp.com/ebettest) 等非法网络博彩公司,均是使用同理来进行运营!
修复方式:
1、通报淘宝、猪八戒等交易平台,对相关关键词进行屏蔽以及对违规商家进行清退
2、通报苹果公司,要求其优化企业证书审核机制与完善 itms:services分发协议,冻结相关苹果开发者账号,同时开放此类举报反馈入口