專坑國人！不法分子正大量濫用蘋果iOS企業證書

*本文原創作者：venkkk，屬Freebuf原創獎勵計劃，未經許可禁止轉載

不發分子通過濫用或購買企業證書打包非法App的情況，通過 itms:services://?，在線安裝ipa，跨過Appstore的形式，傳播大量涉黃涉賭應用，專坑中國人！

舉出漏洞URL只是冰山一腳，按規模總涉案金額可能達數萬億，蘋果產品官網包括蘋果開發者官網目前無投訴舉報入口，肆意讓這些質量很差又違法的App坑人

漏洞詳情：

蘋果企業賬號（Apple Developer Enterprise Program）是蘋果公司提供給 iOS 開發者的一種高級別的開發者賬號。

區別於個人開發者賬號和公司開發者賬號，企業賬號具有如下特點：價格比個人賬號和公司賬號更貴，為 299$/年不可以提交應用到 App Store 商店可以將簽名後的應用在任何 iOS 設備上安裝，且沒有安裝數量的限制其中，正是由於第3條的特點，給開發者在測試和分發 App 時，帶來了極大的便利。

所以，一般開發者申請使用蘋果企業賬號（或蘋果企業簽名），也是為了這個特點。

但是，因為蘋果對於 App 的安裝有著非常嚴格的限制，所以蘋果對企業賬號的使用也給出了種種嚴格的條款，詳見：Apple Developer – Terms and Agreements 。

其中，最重要的條款是：

使用企業賬號簽名後的應用，只可以用於企業內部員工安裝，不可以公開下載。

不法分子正是利用這個漏洞進行上下游的違法犯罪活動

1、入口渠道：淘寶、豬八戒等平台搜索關鍵詞「蘋果證書」、「蘋果開發者」、「ipa證書「、」ios證書」等關鍵詞，搜索結果頁會出現大量違規商家出售蘋果開發者賬戶或企業證書籤名,均是通過泄漏的大陸正規公司信息進行服務

如圖：

2、違規公司通過購買企業證書籤名後進行應用，以境外賭博公司Manbetx為例：

Manbetx移動端下載落地頁：http://i.manapp7.com/

可以看到蘋果下載引導到了」 itms-services://?action=download-manifest&url=https://down.manx19.com/plistg0994/v0994.plist 「

即通過 itms:services: 分發協議， 在線安裝ipa ，跨過app-store，未越獄的蘋果手機也普遍提供安裝教程( http://jingyan.baidu.com/article/fea4511a13c559f7ba91254d.html )！

上文中的 」v0994.plist「 文件內容如下，其實它是一個XML文件

而最終發現」 http://down.manx19.com:6868/ipag0994/v0994.ipa 「 這是ipa包所在的網路地址

另外還有ebet(https://www.ebetapp.com/ebettest) 等非法網路博彩公司，均是使用同理來進行運營！

修復方式：

1、通報淘寶、豬八戒等交易平台，對相關關鍵詞進行屏蔽以及對違規商家進行清退

2、通報蘋果公司，要求其優化企業證書審核機制與完善 itms:services分發協議，凍結相關蘋果開發者賬號，同時開放此類舉報反饋入口

*本文原創作者：venkkk，屬Freebuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！