不法分子正大量滥用苹果iOS企业证书打包非法App
不发分子通过滥用或购买企业证书打包非法App的情况,通过 itms:services://?,在线安装ipa ,跨过Appstore的形式,传播大量涉黄涉赌应用,专坑中国人!举出漏洞URL只是冰山一脚,按规模总涉案金额可能达数万亿,苹果产品官网包括苹果开发者官网目前无投诉举报入口,肆意让这些质量很差又违法的App坑人
漏洞详情:
苹果企业账号(Apple Developer Enterprise Program)是苹果公司提供给 iOS 开发者的一种高级别的开发者账号,区别于个人开发者账号和公司开发者账号,企业账号具有如下特点:价格比个人账号和公司账号更贵,为 299$/年不可以提交应用到 App Store 商店可以将签名后的应用在任何 iOS 设备上安装,且没有安装数量的限制其中,正是由于第3条的特点,给开发者在测试和分发 App 时,带来了极大的便利。所以,一般开发者申请使用苹果企业账号(或苹果企业签名),也是为了这个特点。
但是,因为苹果对于 App 的安装有着非常严格的限制,所以苹果对企业账号的使用也给出了种种严格的条款,详见:Apple Developer – Terms and Agreements 。其中,最重要的条款是:使用企业账号签名后的应用,只可以用于企业内部员工安装,不可以公开下载。
不法分子正是利用这个漏洞进行上下游的违法犯罪活动
1、入口渠道:淘宝、猪八戒等平台搜索关键词“苹果证书”、“苹果开发者”、“ipa证书“、”ios证书”等关键词,搜索结果页会出现大量违规商家出售苹果开发者账户或企业证书签名,均是通过泄漏的大陆正规公司信息进行服务
如图:
2、违规公司通过购买企业证书签名后进行应用,以境外赌博公司Manbetx为例:
Manbetx移动端下载落地页:http://i.manapp7.com/
可以看到苹果下载引导到了” itms-services://?action=download-manifest&url=https://down.manx19.com/plistg0994/v0994.plist “
即通过 itms:services: 分发协议, 在线安装ipa ,跨过app-store,未越狱的苹果手机也普遍提供安装教程( http://jingyan.baidu.com/Article/fea4511a13c559f7ba91254d.html )!
上文中的 ”v0994.plist“ 文件内容如下,其实它是一个XML文件
而最终发现” http://down.manx19.com:6868/ipag0994/v0994.ipa “ 这是ipa包所在的网络地址
另外还有ebet(https://www.ebetapp.com/ebettest) 等非法网络博彩公司,均是使用同理来进行运营!
修复方式:
1、通报淘宝、猪八戒等交易平台,对相关关键词进行屏蔽以及对违规商家进行清退
2、通报苹果公司,要求其优化企业证书审核机制与完善 itms:services分发协议,冻结相关苹果开发者账号,同时开放此类举报反馈入口
转载于红黑联盟
不法分子正大量滥用苹果iOS企业证书打包非法App相关推荐
- 苹果手机做文件服务器,iOS企业账号打包发布App到自己服务器上
企业开发者账号打包发布 App 到服务器上的流程 1. App 打包 Xcode 选择 Product - Archive 进行 App 打包. 选择 Export 导出 ipa 安装包. 选择 Sa ...
- IOS 企业证书打包后 点击按钮 直接安装
1.服务器 自签名https证书配置 配置方法: MAC系统自带apache服务器: 1. 终端: sudo apachectl start (浏览器输入:http://127.0.0.1,出现It ...
- 杀鸡儆猴!苹果撤销Facebook的iOS企业证书
据外媒报道,自2016年以来,Facebook每个月向13至35岁的用户支付20美元的费用以让他们下载一款名为Facebook Research VPN的应用程序,并收集他们的个人数据如历史.位置信息 ...
- ios 企业证书 ipa 重新签名发布
提示:暂时不能用了,企业证书滥用 ios 企业证书 ipa 重新签名发布 1. 应用场景 当前有一个 未用企业证书签名的 ipa 文件,默认是不可以直接安装到设备上的:我们需要用企业版证书签名: 当前 ...
- iOS企业证书的申请与制作
本文主要包括以下几个方面: 1.申请企业账号 2.制作企业证书 3.推送证书的详细制作 4.申请Apple ID步骤 5.申请邓白氏编码步骤 6.Bunlde Identifier的解释 通过这篇文章 ...
- 苹果在线签名服务器搭建,苹果iOS企业签名 、apple 超级签名网站服务器选用
苹果iOS企业签名运行流程 1.用户手机安装预留的描述文件,获取本机udid后,向服务器返回用户的udid 2.服务器收到UDID后,将UDID添加到开发者账号下,下载此udid签名用的证书描述文件. ...
- 2023最完全的个人和企业版的iOS企业证书区别
iOS企业证书分为个人版和企业版两种.它们的主要区别在于适用的使用场景.证书有效期.证书价格.证书申请流程.签名数量等方面. 使用场景 个人版iOS企业证书适用于个人开发者或小团队,主要用于开发内部应 ...
- iOS开发证书、bundle ID、App ID、描述文件、p12文件,企业证书打包发布,及过期处理
文章目录 1 .iOS开发证书,描述文件,bundle ID的关系 2. Apple开发账号添加团队成员 3 .开发证书,生产证书,描述文件,AppID关系及生成. 4.证书导出p12文件 5.描述文 ...
- iOS企业证书申请介绍
iOS企业证书可以免上架App Store安装到手机使用 需要企业账号才能申请 企业账号申请介绍 一.iOS企业发布证书申请 1.登录Appuploader选择Certification 2.选择iO ...
最新文章
- android 7.0 mi5s,官方回应 小米5s升级安卓7.0还要再等等
- 单选按钮必填会有红色选中提示吗_为什么单选按钮和复选框不能共存?
- react native bundle读取assets_react-native-easy-app 详解与使用之 (一)AsyncStorage
- linux mysql 备份脚本_linux下mysql备份脚本
- 编程语言 Ruby 如何还能再活 25 年?
- 小米3 android4.4,小米3移动版原厂刷机包4.4.4rom线刷包Root权限驱动
- html手机陀螺仪,陀螺仪MEMS - 详解冷门但很重要的手机陀螺仪
- 「 神器 」强大的系统清理工具
- 知乎张瑞: 浅析机器学习理论与实践 | 业界对话
- 【软件版本】软件版本GA、RC、Beta、Alpha等的详细解释和含义
- 网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
- svn: E175003:The server at ‘https://XXX/!/#XXX/XXX‘ does not support the HTTP/DAV protocol解决方案
- 知识图谱和图神经网络
- CSS选择器的优先级是怎么定义的?
- 5.3 闪电网络的设计
- duet连win10,duetdisplay这个软件在win10上用不了?安装vs2015的时候想取消安装没有点取消...
- html怎么设置文艺字体,用CSS让你的文字更有文艺范
- 面试时遇到『看门狗』脖子上挂着『时间轮』,我就问你怕不怕?
- redis底层数据结构(redis底层存储结构、源码分析)
- .假设一个简单的ATM机的取款过程是这样的:首先提示用户输入密码(password),最多只能输入三次,超过三次则提示用户“密码错误,请取卡”结束交易。