¿Cómo puedo ver qué permisos tiene un certificado de aplicación empresarial?

Vivo en Irán, y aquí la mayoría de las aplicaciones iraníes están prohibidas en la App Store y se distribuyen mediante certificados empresariales. Incluso hay tiendas de aplicaciones iraníes que usan un solo certificado de este tipo para instalar otras aplicaciones, e incluso venden algunas aplicaciones pirateadas a través de ellas. Consulte, por ejemplo, https://sibapp.com/ y nassaab.com/. Aunque es probable que estos no funcionen con direcciones IP no iraníes.

Con respecto al reciente escándalo de privacidad de Facebook, me preocupa cómo estas aplicaciones afectan mi privacidad, qué acciones puedo tomar para protegerme y qué acciones debería tomar Apple. Este fenómeno (de aplicaciones iraníes maliciosas) tiene altas tasas de penetración en los usuarios iraníes. (Porque todos necesitan al menos algunos de los servicios que brindan estas aplicaciones, incluida la banca, la administración de datos y teléfonos de la tarjeta SIM, taxis en línea, ...)

Creo que prohibir aplicaciones pero dejar certificados empresariales ilegales es posiblemente la peor manera de manejar este problema.

Actualización: No se muestra nada en el dispositivo sobre el certificado:captura de pantalla

Abordaré algunas inquietudes de alto nivel y dejaré que otra persona describa cómo obtener el archivo IPA y analice qué derechos se codificaron en un paquete de aplicación específico. Necesitará Xcode o alguna otra herramienta de línea de comandos para llegar a ese nivel. Mi respuesta de alto nivel será eliminar esas aplicaciones. Soy consciente de que el gobierno de los EE. UU. tiene una sofisticación a nivel de niños pequeños cuando se trata de tratar las relaciones comerciales normales con su país. Sería mucho mejor si sus aplicaciones no tuvieran dificultades financieras para que pudiera obtener una revisión de Apple en aplicaciones legítimas. Hablemos en Ask Different Chat si tienes conocimiento de eso.

Respuestas (1)

La respuesta corta es que un certificado no tiene derechos, simplemente apaga la App Store como la forma exclusiva de cargar aplicaciones. No cambia el código, instala una VPN, agrega un código de acceso ni nada, pero lo que hace es deshabilitar una de las mejores protecciones de privacidad que tiene: la revisión de aplicaciones de Apple en la App Store.

Lo único peor que cargar una aplicación empresarial por seguridad sería permitir el control de MDM para que alguien pueda enviar cambios / rastrear su ubicación / borrar de forma remota su dispositivo y bloquearlo o enviar aplicaciones a él.

Tienes razón al estar preocupado por todas esas aplicaciones.

Ese certificado y el derecho le permiten saber que está ingresando al Salvaje Oeste, por así decirlo. (o en su caso, ¿sería el Salvaje Oriente o el Salvaje Oriente Medio?)

La advertencia indica que Apple no miró nada en esa aplicación. Apple no hizo una revisión del código, no verificó que una aplicación que dice que es para poner un pie de foto en una foto no esté cargando cada foto, incluida la fecha/hora/ubicación GPS, a sus servidores para rastrear/comercializar/vender / recopilar información sobre cada lugar en el que tenga una imagen. Incluso podrían ejecutar el reconocimiento facial en las fotos una vez que las cargan.

Por lo general, Apple no hace que los desarrolladores no tomen los datos que toman, pero sí hacen que el desarrollador le informe lo que hace la aplicación, por lo que al menos todos podemos estar de acuerdo en qué aplicaciones rastrearán qué toques haces en la pantalla y cuáles no. (por ejemplo)

La prensa reciente sobre esto muestra que las aplicaciones VPN no revelaron a los usuarios finales, por lo que si sus aplicaciones habilitan VPN (busque VPN en la configuración de iOS), entonces no puede confiar en que no se envió nada a un servidor y luego se descifra, se almacena y luego se vuelve a cifrar para enviar al destino final.

Básicamente, esto permite un ataque de "hombre en el medio", por lo que no puede confiar en que se necesita alguna dificultad para descifrar su tráfico. Ya sabemos que no podemos confiar en ninguna compañía de telecomunicaciones para que no registre / toque / extraiga datos de cada bit de datos que enviamos, pero la mayoría de nosotros esperamos que el cifrado SSL signifique que a alguien le costará tiempo y dinero descifrar nuestro tráfico.

Ahora, podría ser que todo el país de Irán esté en la lista de vigilancia de algún gobierno y su tráfico ya se esté descifrando, pero este certificado permite que las telecomunicaciones también lo vean y lo controlen de la manera que Apple intenta evitar mediante las aplicaciones que colocan en su aplicación. Almacenar.

Para mí, nunca los instalo en mis dispositivos personales. Si necesito un dispositivo de trabajo para tener aplicaciones de trabajo, dejo que el trabajo me proporcione ese dispositivo y trabajo cosas en mi dispositivo de trabajo y asumo que obtienen todo en ese dispositivo. Es demasiado difícil para mí hacer una revisión de la aplicación, así que simplifico mi privacidad al no permitir que un tercero instale certificados raíz/SSL/aplicaciones no revisadas.

Una respuesta muy buena e informativa. Solo para ser un poco quisquilloso, Apple no hace lo que generalmente se considera una "revisión de código". No miran el código fuente de una aplicación, es decir, como desarrollador, no tienes que proporcionar eso. Por supuesto, miran y analizan el binario que envías a la AppStore (bueno, eso técnicamente podría llamarse una revisión del código, pero no una revisión del código fuente ). Aparte de eso, tu consejo es bueno. Lo siento por los usuarios iraníes, tienen que elegir entre ninguna seguridad o ningún uso. :(
@Gero De hecho, cuando la mayoría de los usuarios están comprometidos, no importa mucho si elige no usar. Otras personas siguen filtrando gran parte de sus datos.
Si el certificado no tiene derechos, ¿cómo podría Facebook siquiera leer los mensajes privados de los usuarios? Eso no debería ser posible incluso si está utilizando el servicio VPN de una aplicación comprometida.
Si la aplicación en cuestión está compilada con los SDK regulares de Apple, tiene razón, la mayoría de las cosas importantes son capturadas por ellos y el sistema operativo (acceder a los servicios de ubicación, por ejemplo, hace que aparezca una ventana emergente que confirma que el usuario lo permite). Sin embargo, las aplicaciones que no se descargan de la AppStore normal podrían vincularse con bibliotecas que fueron manipuladas y, dado que no hay revisión (comprobación de los certificados de las bibliotecas utilizadas), eso podría abrir un vector a todo tipo de cosas maliciosas.
@HappyFace La aplicación VPN tenía un certificado que Apple no aprobó y usó esa aplicación para firmar el tráfico y la VPN dirigió el tráfico a servidores que podían / ​​descifraron y registraron / rastrearon los datos. Apple no permitirá certificados dudosos, por lo que la VPN rompió esa protección por lo que leí. No analicé la VPN de Facebook, pero las empresas lo hacen todo el tiempo. Se llama inspección profunda de paquetes y ataque MITM. Además, una vez que sea dueño de la red, a menudo no necesita saber qué hay en el mensaje, ya que los encabezados y las partes abiertas le dicen todo lo que necesita saber.
¿Cómo puedo ver qué permisos tiene un certificado de aplicación empresarial?
RespuestasAquíPolítica de privacidad1y, 0v