hackers do iPhone estão usando certificados de desenvolvedor da própria Apple contra ele
Os certificados corporativos inofensivos da Apple estão muito nos noticiários ultimamente. Primeiro, foi revelado que tanto o Facebook quanto o Google estavam usando certificados corporativos para entregar aplicativos de coleta de dados aos usuários do iPhone. A Apple oferece esses certificados corporativos para que as empresas possam testar os aplicativos internamente sem precisar publicá-los na App Store primeiro, então obviamente, a maneira como o Facebook e o Google os estavam usando não se alinha com a finalidade pretendida.
Então, apenas alguns dias atrás, ficamos sabendo que outras empresas estavam abusando de certificados corporativos para ignorar completamente a App Store e distribuir jogos de azar e pornografia aplicativos para usuários. Como se isso não bastasse, um novo relatório de hoje afirma ainda mais abuso de certificados empresariais do iOS, e desta vez as empresas ofensivas estão usando-os para distribuir versões hackeadas de aplicativos populares.
Reuters informa que os distribuidores incluindo TutuApp, Panda Helper, TweakBox e App Valley estão abusando desses certificados para lidar com instalações hackeadas de aplicativos como Spotify, Pokemon GO e Minecraft. Usuários que baixam esses aplicativos ilícitos geralmente recebem algum tipo de conteúdo pago gratuitamente. No caso do Spotify, por exemplo, os usuários podem ouvir músicas sem anúncios sem antes pagar por uma assinatura Premium. O Minecraft, por outro lado, é oferecido gratuitamente por esses distribuidores, enquanto custa US $ 6,99 para ser baixado da App Store.
Naturalmente, esse é um grande problema para os criadores desses aplicativos e da Apple, como significa que eles perdem receita. A Reuters observa que os distribuidores desses aplicativos ganham dinheiro oferecendo assinaturas de versões “VIP” do software hackeado em troca de taxas anuais que começam em US $ 13 e sobem a partir daí.
A Apple, por sua vez, afirma que desabilitará os certificados corporativos de empresas que estiverem abusando deles e removerá totalmente os distribuidores ofensivos do iOS Developer Program, se a situação exigir. Mesmo assim, é bastante fácil obter um novo certificado corporativo e continuar distribuindo aplicativos hackeados, de modo que a Apple está agora procurando implementar um sistema de autenticação de dois fatores que ajudará a conter o abuso.
A Apple diz que dois fatores A autenticação para contas de desenvolvedores deve estar ativa até o final do mês, então veremos em breve se isso ajuda a interromper a distribuição de aplicativos hackeados como o Spotify e o Minecraft. Por enquanto, no entanto, está claro que os certificados corporativos em seu estado atual têm muito potencial de abuso, e isso provavelmente não é algo que persista se a Apple quiser manter os maiores parceiros de aplicativos satisfeitos.
Via: Slash Gear
Nenhum comentário