פיראטים הצליחו לעקוף את הגנות האייפון ולהפיץ אפליקציות פרוצות
שימוש בתעודות אבטחה ארגוניות של אפל איפשר הפצה של אפליקציות פרוצות תוך עקיפת ההגנות של אפל. זו אותה שיטה ששימשה את פייסבוק וגוגל כדי להתקין אפליקציות מעקב ללא אישור על אייפונים של קטינים
מפיצי אפליקציות פיראטיים הצליחו לתמרן את מערכות האימות של אפל על מנת להפיץ גרסאות פרוצות של אפליקציות פופולריות כמו ספוטיפיי, אנגרי בירדס, פוקימון גו ומיינקראפט – כך חושף תחקיר של רויטרס.
- הפיראטים חוגגים: איך יתכן שעל כל אתר טורנטים שנחסם, צצים מיד שניים חדשים?
- כשפייסבוק הופכת לקודי: נמל המבטחים של הפיראטים
- החקיקה החדשנית נגד פשעי סייבר היא אבן דרך במהפכה הקרבה
גורמים כמו TutuApp, Panda Helper, AppValley ו-TweakBox הצליחו להשתמש בתעודות דיגיטליות כדי לגשת לתוכנה של אפל שמאפשרת לארגונים להפיץ לעובדיהם אפליקציות עסקיות מבלי לעבור דרך האפסטור של החברה (פייסבוק, למשל, משתמשת בתכונה זו כדי לספק לעובדיה גרסאות ניסיוניות של אפליקציית האייפון שלה).
השימוש בתעודות אפשר לגורמים אלו לספק לצרכנים גרסאות פרוצות של האפליקציות, שאפשרו למשל להאזין לספוטיפיי ללא פרסומות או לעקוף תשלומים וכללים במשחקים – דבר שפגע בהכנסות של אפל ושל מפתחות האפליקציות. אפל לא יכולה לנטר את השימוש בתעודות דיגיטליות שמאפשרות התקנת האפליקציות, אך יכולה לבטל אותן ובכך למנוע את המשך הפצת האפליקציות.
ואכן, בעקבות פנייה מרויטרס אפל חסמה חלק מהפיראטים מהמערכת שלה, ואולם ימים ספורים לאחר מכן אלה השיגו תעודות חדשות וחזרו לפעול. "אין שום דבר שמונע מחברות אלו לעשות את זה שוב עם חשבון מפתחים אחר", אמר מנהל האבטחה בחברת Shape Security, אמינה המבבא.
ארבעת המפיצים לא הגיבו לפניות רויטרס. מאפל נמסר בתגובה: "מפתחים שמנצלים לרעה את התעודות הארגוניות שלנו מפרים את הסכם המפתחים של אפל. התעודות שלהם יבוטלו, ובמידת הצורך הם יוסרו לחלוטין מתוכנית המפתחים שלנו. אנחנו תמיד בוחנים מקרים של שימוש לרעה ומוכנים לנקוט בפעולה מיידית".