| 8 апр 2019 — 10:22 PT
В очередном случае злоупотребления программой корпоративного распространения аналитик безопасности Lookout обнаружил приложения (через TechCrunch), которые выдавали себя за приложения сотовых операторов Италии и Туркменистана. Приложения были доступны для загрузки пользователям iPhone через Safari, поскольку были подписаны корпоративным сертификатом. Эти приложения использовали брендинг операторов связи и имитировали утилиты для тарифных планов пользователей, хотя на самом деле запрашивали все возможные разрешения для отслеживания местоположения, сбора контактов, фотографий и многого другого, а также имели возможность подслушивать телефонные разговоры пользователей.
Приложения, использующие корпоративные сертификаты, недоступны через App Store, но злоумышленники могут таргетировать пользователей iOS через Safari (возможно, с помощью фишинговых писем) и побуждать людей загружать приложения через веб, минуя процесс проверки App Store.
По сути, когда приложение распространяется с корпоративным сертификатом, нет никакой подотчетности за то, что приложение может делать. Когда разработчик подает заявку на получение корпоративного сертификата, Apple четко указывает, что приложения должны распространяться только среди сотрудников предприятия и не использоваться в других местах. Однако в настоящее время Apple мало что может сделать для обеспечения соблюдения этого правила, кроме как выпускать рекомендательные уведомления.
В этом году мы стали свидетелями бесчисленных злоупотреблений корпоративной системой, включая громкие случаи, такие как операции Facebook и Google. Apple отзывает сертификат, когда узнает об отдельных случаях, но очевидно, что компания не контролирует общую программу корпоративных сертификатов. В будущих версиях iOS Apple может ввести более строгие требования для усиления безопасности корпоративной программы. Однако компания пока не взяла на себя никаких подобных обязательств.
Сертификаты часто крадут или перепродают, поэтому лицензии на программу корпоративной разработки, которые когда-то использовались законно, теперь используются злонамеренно. В случае с приложением, на которое обратил внимание Lookout, оно, по-видимому, связано с аналогичным вредоносным ПО, существовавшим на Android под названием «Exodus».
Обычные пользователи могут защитить себя, никогда не загружая приложения из-за пределов App Store. Легитимные телефонные операторы никогда не будут просить клиентов устанавливать приложения с собственных веб-сайтов.