皇协军指挥官 发表于 2017-4-18 15:01:07

苹果企业账号遭滥用:iOS平台漏洞留出赌博应用通道


由于没有下载数量的限制,且苹果没有技术手段确认下载者是否为“内部员工”,大量赌博游戏通过企业账号进行签名,然后将下载链接投放在各种推广渠道。

  进入严打期的“断链行动”掐断了大部分网络赌博产业的生命线。

  2017年3月28日,国务委员、公安部部长郭声琨召开专题会议,研究部署防范打击整治跨境网络赌博活动工作。本次会议要求深入推进“断链行动”,打击为网络赌博犯罪集团提供资金结算的地下钱庄、网络支付平台,严惩为跨境网络赌博犯罪非法提供技术支持的国内网络运营商。该要求旨在切断跨境网络赌博的“资金链”、“技术链”。

  3月底以来,大量赌博类游戏的第三方支付通道被关停,并因此出现“开户数”的大幅下跌。据知名博彩网站“海博网”统计报道,赌博游戏公司的开户率已经从正常的20%降至2%,还有部分从业人员表示“有时候一整天没人开户”。

  不过,访问量、注册量依然旺盛,用户依然可以通过多种渠道访问、下载赌博游戏的网站、应用。“现在,网络赌博80%的用户已经转移到移动端,而移动端中,又有80%来自iOS平台。”国内司法行业人士Jenny(化名)告诉记者,“大量不法分子滥用了苹果iOS企业证书,发布大量赌博游戏APP。”

  iOS企业账号滥用

  无论是根据中国法律法规,还是苹果应用商店的审核条款,非法赌博类APP均被禁止在APP Store上架。

  但是,苹果公司向开发者提供个人、公司、企业三种账号。其中,企业账号收费299美元/年,持企业账号开发的应用不能提交到App Store商店,但可以给应用签名并且提供下载链接,允许该应用在任何iOS设备上安装,且签名之后立刻可以下载安装,安装数量没有限制。

  正常情况下,企业账号一般用于发布企业内部办公APP,或者用于APP的测试、分发。苹果也对企业账号进行严格的使用规定,比如,“只能用于企业内部员工安装”、“不可以进行公开下载”。

  但是,由于没有下载数量的限制,且苹果没有技术手段确认下载者是否为“内部员工”,大量赌博游戏通过企业账号进行签名,然后将下载链接投放在各种推广渠道。虽然苹果公司对此类应用进行“信任风险”提醒,但并不限制安装。企业账号逐渐成为赌博类游戏的重要渠道。

  在淘宝网、QQ群、百度贴吧等网络渠道中,存在出售企业账号,或者提供iOS签名服务的商家。以淘宝为例,搜索“iOS企业账号”、“苹果签名”等关键词,可发现接近200家提供此类服务的店铺,其中销量最大的一家店铺单件宝贝交易笔数接近8000件,该店主告诉记者:“‘菠菜’类APP签名,500元/月。”由于苹果公司会查杀此类违规APP,店家承诺“一个月之内因为查杀掉签名的话,可以免费补签”。当然,也有商户以2500元/月的价格承诺“基本不掉,适合长期推广”。

  值得一提的是,大多数提供签名服务的店铺,都会在商品名称中注明“棋牌类游戏签名”,“棋牌”往往代指博彩类应用。包括Manbetx、沙皇国际、恒丰娱乐、188bet等跨境网络赌博品牌均通过此类方式提交iOS应用,供中国用户下载。

  这并不是违法产业第一次盯上苹果。此前,苹果iMessage、苹果日历都曾沦为赌博产业的推广渠道。包括海博网、博牛论坛在内的多个赌博行业论坛,均有不断更新的“如何获取iOS高质量客户”的经验介绍。举例而言,通过大量注册账号、下载、刷评论等方式控制热门搜索,大约3万元投入可以保持6小时热搜排行,在此期间可以获取1000-4000左右用户数。

  2017年1月中旬,苹果App Store的搜索排行榜就曾被赌博类关键词完全占领,这些关键词包括时时彩、炸金花、澳门银河、斗地主、德州扑克等。而且,当用户在搜索框中输入新浪、百度、微信等词汇时,搜索给出的推荐应用也都是彩票、时时彩、大乐透等内容。其后,苹果删除了热搜词并下架了部分违规应用。

  切断“推广链”

  2017年3月,知名互联网安全新媒体FreeBuff发布了“苹果企业账号遭不法分子利用”的漏洞,并得到包括阿里聚安全在内的部分安全平台转载。FreeBuff在漏洞解读中建议苹果公司“优化证书审核机制”、“完善分发协议”。

  不过,并不确定苹果是否会如此优化。Jenny告诉记者:“我已经向苹果公司投诉了接近3个月,但苹果一直在推诿,始终没有解决。”Jenny向记者提供的投诉记录显示,2017年1月底开始,Jenny不断向苹果投诉多个非法赌博应用、企业账号被滥用等情况,但苹果一直停留在“审核问题”阶段。

  根据公开资料显示,苹果企业账号申请流程中需要申请人提交企业邓白氏编码。邓白氏为美国知名征信机构之一,苹果根据邓白氏编码为申请人开通企业账号。

  目前,并不确定邓白氏编码的审批流程,也不确定被滥用的企业账号是否会影响相应企业的征信记录。记者就上述问题邮件咨询苹果公司、华夏邓白氏,截稿时二者均未作出回应。此外,记者向淘宝咨询上述事宜,淘宝网表示已经关注到此类事件,淘宝平台治理部门正与苹果方面就此展开沟通。

网络赌博公司一般会把服务器设置在诸如菲律宾等赌博合法性国家,并利用网络互动、隐蔽、支付方便、取证困难等特点开展业务。近年来,由于移动互联网、移动支付的迅速发展,网络赌博产业呈指数级上涨。

  此外,根据腾讯手机管家数据,2017年Q1,腾讯手机管家拦截的赌博网站信息高达47亿条,占总拦截量的22%,排名仅次于色情网站,后者占比54.24%。

  2015年以来,公安部门已经破获了多个涉案金额数千亿的赌博团伙。

  2017年4月,淘宝网封杀了所有提供支付接口的店铺,但是,QQ群、各大赌博论坛上依然存在不在少数的接口提供者。此外,在支付接口被打击的情况下,还有大量团体出售各种全套银行卡资料,以供赌博产业进行转账、洗钱。一位从事“真人在线赌博”的行业人士此前曾发帖介绍,“‘断链’行动之后,用户开户成本提高了7倍。”

  如果在遏制资金链的同时,针对iOS平台进行技术链、推广链的严格审核,网络赌博的成本将进一步提升。

页: [1]
查看完整版本: 苹果企业账号遭滥用:iOS平台漏洞留出赌博应用通道