专坑国人!不法分子正大量滥用苹果iOS企业证书

不发分子通过滥用或购买企业证书打包非法App的情况,通过 itms:services://?,在线安装ipa,跨过Appstore的形式,传播大量涉黄涉赌应用,专坑中国人!

举出漏洞URL只是冰山一脚,按规模总涉案金额可能达数万亿,苹果产品官网包括苹果开发者官网目前无投诉举报入口,肆意让这些质量很差又违法的App坑人

漏洞详情:

苹果企业账号(Apple Developer Enterprise Program)是苹果公司提供给 iOS 开发者的一种高级别的开发者账号。

区别于个人开发者账号和公司开发者账号,企业账号具有如下特点:价格比个人账号和公司账号更贵,为 299$/年不可以提交应用到 App Store 商店可以将签名后的应用在任何 iOS 设备上安装,且没有安装数量的限制其中,正是由于第3条的特点,给开发者在测试和分发 App 时,带来了极大的便利。

所以,一般开发者申请使用苹果企业账号(或苹果企业签名),也是为了这个特点。

但是,因为苹果对于 App 的安装有着非常严格的限制,所以苹果对企业账号的使用也给出了种种严格的条款,详见:Apple Developer – Terms and Agreements 。

其中,最重要的条款是:使用企业账号签名后的应用,只可以用于企业内部员工安装,不可以公开下载。

不法分子正是利用这个漏洞进行上下游的违法犯罪活动

1、入口渠道:淘宝、猪八戒等平台搜索关键词“苹果证书”、“苹果开发者”、“ipa证书“、”ios证书”等关键词,搜索结果页会出现大量违规商家出售苹果开发者账户或企业证书签名,均是通过泄漏的大陆正规公司信息进行服务

如图:

2、违规公司通过购买企业证书签名后进行应用,以境外赌博公司Manbetx为例:

Manbetx移动端下载落地页:http://i.manapp7.com/

可以看到苹果下载引导到了” itms-services://?action=download-manifest&url=https://down.manx19.com/plistg0994/v0994.plist “

即通过 itms:services: 分发协议, 在线安装ipa ,跨过app-store,未越狱的苹果手机也普遍提供安装教程( http://jingyan.baidu.com/article/fea4511a13c559f7ba91254d.html )!

上文中的 ”v0994.plist“ 文件内容如下,其实它是一个XML文件

而最终发现” http://down.manx19.com:6868/ipag0994/v0994.ipa “ 这是ipa包所在的网络地址

另外还有ebet(https://www.ebetapp.com/ebettest) 等非法网络博彩公司,均是使用同理来进行运营!

修复方式:

1、通报淘宝、猪八戒等交易平台,对相关关键词进行屏蔽以及对违规商家进行清退 2、通报苹果公司,要求其优化企业证书审核机制与完善 itms:services分发协议,冻结相关苹果开发者账号,同时开放此类举报反馈入口

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

如何写好一份渗透测试报告?

当你连续奋战了好几天,终于合上了笔记本,想要出去透透风时,一个熟悉的问句传来:“你好,请问什么时候可以交付报告?” 有成千上万的书籍讲解什么是信息安全,什么是渗...

45610
来自专栏菜鸟致敬

物联网需要一个新的安全协议

对于计算而言,安全性一直以来都是端点游戏,其断点报复程序需要具有防病毒功能且具有保护服务器上的桌面程序防入侵和检测的功能,监视可疑活动并在检测到任何异常情况时发...

3896
来自专栏BestSDK

Mashape 和 RapidAPI 合并,搭建全球最大的API开发市场

应用编程接口发行商RapidAPI和Mashape Inc.近日宣布合并,将组建它们号称的全球最大的应用编程接口市场。 ? RapidAPI的总部位于旧金山,已...

4219
来自专栏FreeBuf

以“威胁应对”为中心,看企业信息安全能力建设

1.前言 笔者做了多年的安全服务,这几年集中精力在做安全分析类引擎或产品,关于大数据时代信息安全的三点个人看法,作为引言。 (一) 聚焦细分市场,围绕核心竞争...

3768
来自专栏携程技术中心

EGO走进携程 | 探寻携程无线开发实践

随着无线业务和开发技术的高速发展,APP已成为大多数互联网公司连接用户的核心渠道,移动应用架构也需要根据业务和新技术发展而不断进化。携程在移动端发力已超过6年,...

3937
来自专栏PHP技术大全

遭受刷验证码攻击后的企安建设规划感想

公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压...

1613
来自专栏云计算D1net

利用混合云备份省钱的7种方法

您完全能够保护您企业的数据,并能够在几分钟内恢复业务,而无需花费几天或几周的时间。 能够对您企业的数据带来影响的灾难并不一定都是类似好莱坞大片那样的灾害。更多的...

2623
来自专栏罗超频道

入口之争:浏览器的战史与未来

在上一篇文章里,笔者分析了国内浏览器的竞争状况。这篇文章,我们不妨将视线从“泥浆”中抽出来,了望下历史与远方。 一、浏览器世界战争史 第一次浏览器大战微软IE通...

2927
来自专栏FreeBuf

七个黑你的理由

常识告诉我们,用户是IT风险管理中最薄弱的一环,特别针对是一些“天真勇敢”的用户……但是黑客究竟是如何利用这种天真(缺乏保护意识)进入用户终端和公司账户的呢?他...

1897
来自专栏镁客网

「深度」吉湾一号:“中国第一云芯”国产CPU,是真的吗?

1461

扫码关注云+社区

领取腾讯云代金券