便利 VS 安全：孰輕孰重？遺憾蘋果已經放棄安全選擇便利

本文由騰訊數碼獨家發布

當蘋果公司剛推出企業開發者證書計劃時（該計劃是幫助企業為員工提供他們自己開發的應用程序),只能在iTunes上使用，由此出現了很多不方便，面對安全和便利這兩個要素，蘋果不得不開始做出艱難的抉擇。之前為了安全，蘋果選擇發布內部應用程序，讓IT經理們經歷了無數麻煩。然而現在，它選擇了便利，我們可以猜猜會發生什麼。

媒體報道稱，盜版開發者已經開始利用企業軟體不正當地發布修改後的應用程序，其中包括這些相當流行火爆的應用，包括Spotify、憤怒的小鳥、Pokemon Go和《我的世界》。還有一部分人則利用該平台發布真金賭博應用以及色情應用等違規程序。而這些違規之人所要做的唯一的事就是對蘋果的代表撒一個謊，謊稱自己與合法企業有關聯，就可以順利發布這些程序。因為蘋果不會費心去調查或驗證這些答案。

蘋果現在只有兩條路可走:要麼嚴格限制其企業認證程序，要麼投入足夠的資源，在授予訪問許可權之前有效地驗證所有答案。任何長期關注蘋果的人都知道，顯然第一種方式效率更高。因為企業計劃的目的是讓公司更容易利用iOS設備，但它並沒有帶來大量的直接收入。所以在蘋果還在陷於如何努力實現iPhone銷售目標這個困境的時候，再去指派專人來解決這個問題似乎不太可能。

讓我們深入了解一下究竟發生了什麼事。首先，路透社報道了軟體盜版者的消息。路透社的報道稱:「這些盜版操作正在向消費者提供流行應用程序的修改版本，使他們能夠在沒有廣告的情況下播放音樂，並規避遊戲中的費用和規則，從而剝奪了蘋果和合法應用程序製造商的收入。」「蘋果周三證實了媒體的這篇報道，稱在本月底之前登錄所有開發者賬戶需要雙重認證，即使用發送到手機的代碼和密碼，這可能有助於防止證書濫用。」

假設這個引用是正確的，對於蘋果的這種雙重認證我們有兩個簡單的疑義。首先，發簡訊是在乞求中間人攻擊，而這些盜版者完全也能夠做到這一點，因此其實還有更安全的雙重認證選項可以選擇。其次，所有這些都將驗證創建該帳戶的人就是現在正試圖訪問該帳戶的人，但是這並不會解決真正的問題，因為它們最初就是欺騙性的應用程序。

色情和真金賭博應用程序的報道來自TechCrunch，鑒於蘋果系統提供的「便利通道」，它讓這些欺詐者有多容易實施犯罪的渠道。

TechCrunch報道：「開發者只需在網上填寫一張表格，然後支付299美元給蘋果公司，其它具體內容可參考Calvium指南，就可以獲取許可權了。該表格只是要求開發者保證他們正在開發一款企業證書應用程序，僅供內部員工使用，他們擁有註冊企業的合法許可權，提供一個D-U-N-S企業ID號，並擁有一台最新的Mac電腦。但是事實上，欺詐者可以很容易地通過蘋果提供的工具獲取一家公司的詳細地址，並查詢他們的D-U-N-S ID號碼。」在設置好Apple ID並同意其服務條款後，企業要等上一到四周，才能接到蘋果的電話，要求他們再次確認，他們只會在內部發布應用程序，並且有權代表自己的業務。而欺詐者只要在電話和網路上撒幾個謊，再加上一些可搜索的公共信息，很多未經詳細考證的開發人員就能獲得蘋果企業認證。]

雖然蘋果成功地讓這個驗證過程變得方便，但是從安全的角度來看，這當然不會是一件好事，而從IT的角度來看，這個過程又費時又費力。更直白地說，該公司讓騙子相對容易得逞，同時迫使合法的IT員工又經歷重重困難。估計聽到這個消息的喬布斯棺材板已經快壓不住了。

雖然現在蘋果已經有一個呼叫中心的代表會專門打電話確認，但還是有人疑問為什麼不能直接打電話給那家企業確認呢?當然，蘋果也可以直接要求聯繫人確保一切都是合法的，如果對方選擇拒絕，那麼這是拒絕批准的一個很好理由。但是，接公司電話的人可能只是個臨時工，出現問題也極有可能找不到當時負責的員工。

也就是說，這種驗證工作將大大增加蘋果公司在認證上需要花費的人力，而目前還不清楚該程序是否能幫助蘋果公司增加收入。

但是，我還是想對蘋果說：」如果你想執行這些規則，那就去執行它們，這不是一件多艱難的事。但是如果你們沒有人去費心驗證ANS，只是讓人們填寫大量在線表單，然後等一個月再打電話確認真的沒有任何意義。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！