Notícias

Certificados empresariais estão servindo para distribuição de aplicativos piratas fora da App Store

A polêmica causada há pouco tempo com aplicativos do Facebook e do Google (leia mais sobre isso aqui), que permitiam instalar apps em iPhones de adolescentes sem passar pela App Store, acabou fazendo emergir algo que já rola há anos: o uso de certificados empresariais para instalação de aplicativos piratas ou não autorizados pela Apple.

E há quem esteja fazendo muito dinheiro com esta maneira de ludibriar o sistema.


Certificados empresariais

Desde o início, a única maneira (oficial) de instalar aplicativos no iPhone e iPad é pela App Store. Isso porque cada aplicativo deve ser associado ao ID do usuário, tanto que se outra pessoa instalar um app para você no seu iPhone usando a conta dela, depois você não conseguirá atualizá-lo sem a senha da mesma conta.

Isto é um problema em ambientes corporativos, em que as empresas oferecem aplicativos próprios para os funcionários trabalharem. Se tivessem que disponibilizar estes aplicativos na loja, todo mundo teria acesso, coisa que nem sempre é algo desejável. Foi por isso que a Apple precisou disponibilizar uma maneira alternativa de instalar apps, usando certificados especiais.

Os certificados de desenvolvedor são capazes de validar um aplicativo para ser usado em dispositivos que não tenham necessariamente o mesmo ID registrado na App Store. Com isso, as equipes de TI conseguem instalar um aplicativo próprio em centenas de dispositivos.

Desvirtuando o uso

O problema é que este tipo de solução começou a ser usada para outras finalidades, principalmente para burlar o rígido controle da Apple.

comentamos aqui de um emulador de jogos retrô que há anos usa este artifício para instalar o app em qualquer iPhone ou iPad. Basta visitar a página, tocar no link e autorizar a instalação. Simples assim.

Com o tempo, o número de casos começou a aumentar, inclusive com sites usando a técnica para distribuir aplicativos piratas. Eles cobram uma anuidade e o usuário tem direito de baixar o aplicativo que quiser.

Há casos de aplicativos crackeados, como uma versão do Spotify que libera a versão premium de graça. Ou do Pokémon GO, que permite simular o GPS para movimentar seu personagem sem precisar sair de casa. E tudo isso é instalado com a ajuda de certificados empresariais, sem o conhecimento da Apple.

No início da semana, diversos sites divulgaram a notícia que aplicativos de apostas e pornografia usam da mesma técnica para fugir do controle da maçã, que proíbe este tipo de conteúdo em sua loja.

Facilidade

Segundo o site TechCrunch, estes certificados são relativamente fáceis de se obter, com um custo único de US$299. Considerando que estes sites piratas cobram uma anuidade VIP de cerca de $13 e que há centenas de milhares que seguidores nas redes sociais, é lógico de se imaginar que o lucro deles também chegue a casa dos milhares de dólares.

E isso sem gastar um segundo desenvolvendo nenhum código. Os verdadeiros desenvolvedores que criaram os apps distribuídos de graça ficam sem receber nada.

A Apple já chegou a revogar o certificado de diversos destes sites piratas, mas eles sempre voltam à ativa obtendo um certificado novo, tamanha a facilidade.

Recentemente, a maçã anunciou que passará a exigir de todos os desenvolvedores a ativação da autenticação de dois fatores, a partir do final de fevereiro. 

Ela não deixou claro se houve casos de invasão de contas para roubar certificados, mas pode também ser um primeiro passo para mudanças importantes nesta área. Afinal, pirataria e distribuição de apps de pornografia  são coisas que ela sempre lutou contra, e o fato de estarem abusando de um recurso legítimo para empresas é algo que ela com certeza irá querer combater.

Fonte
ReutersTechCrunch
Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Uma forma de resolver de forma simples
    A Apple criar dentro da própria Apple Store uma área especial.
    Cada empresa teria sua área e teria que passar como qualquer app da loja por sua verificação.
    Os aplicativos ficariam para quem tem o link ou convite como a empresa desejar e teria o mesmo controle da loja para o público.

    • Daniel Luz

      Isso já existe, é o TestFlight para usuários públicos. O problema das empresas é que existem muitas coisas que são literalmente impossíveis da Apple testar, como acesso a serviços da intranet corporativa. Aí não tem como o processo de revisão funcionar.

      • O TestFlight existe uma limitação imposta pela própria Apple.
        O q estou falando de forma diferente que pode seguir o mesmo princípio.
        E existem maneiras de fazer testes mesmo sendo intranet. Pode ser colocado um servidor externo para validação do aplicativo que não tenha dados reais só mesmo de validação, ou um acesso via VPN a intranet para validação ou uma rota de liberação de uma faixa de IP da própria Apple.
        Provável que 90% dos aplicativos não são totalmente intranet e sim interno dos funcionários mas funciona em qualquer lugar via VPN ou acesso direto.

    • Fabio Santos

      Isto não dá certo, são muitas solicitações

      • Em relação a própria App Store é ínfimo a quantidade.

  • Fabio Santos

    Poxa faz isto não como usarei dois WhatsApp no iPhone kkkk

  • Lucão Arruda

    os cara entregando logo o gba4ios KKK para com isso