Certificados empresariais estão servindo para distribuição de aplicativos piratas fora da App Store
A polêmica causada há pouco tempo com aplicativos do Facebook e do Google (leia mais sobre isso aqui), que permitiam instalar apps em iPhones de adolescentes sem passar pela App Store, acabou fazendo emergir algo que já rola há anos: o uso de certificados empresariais para instalação de aplicativos piratas ou não autorizados pela Apple.
E há quem esteja fazendo muito dinheiro com esta maneira de ludibriar o sistema.
Certificados empresariais
Desde o início, a única maneira (oficial) de instalar aplicativos no iPhone e iPad é pela App Store. Isso porque cada aplicativo deve ser associado ao ID do usuário, tanto que se outra pessoa instalar um app para você no seu iPhone usando a conta dela, depois você não conseguirá atualizá-lo sem a senha da mesma conta.
Isto é um problema em ambientes corporativos, em que as empresas oferecem aplicativos próprios para os funcionários trabalharem. Se tivessem que disponibilizar estes aplicativos na loja, todo mundo teria acesso, coisa que nem sempre é algo desejável. Foi por isso que a Apple precisou disponibilizar uma maneira alternativa de instalar apps, usando certificados especiais.
Os certificados de desenvolvedor são capazes de validar um aplicativo para ser usado em dispositivos que não tenham necessariamente o mesmo ID registrado na App Store. Com isso, as equipes de TI conseguem instalar um aplicativo próprio em centenas de dispositivos.
Desvirtuando o uso
O problema é que este tipo de solução começou a ser usada para outras finalidades, principalmente para burlar o rígido controle da Apple.
Já comentamos aqui de um emulador de jogos retrô que há anos usa este artifício para instalar o app em qualquer iPhone ou iPad. Basta visitar a página, tocar no link e autorizar a instalação. Simples assim.
Com o tempo, o número de casos começou a aumentar, inclusive com sites usando a técnica para distribuir aplicativos piratas. Eles cobram uma anuidade e o usuário tem direito de baixar o aplicativo que quiser.
Há casos de aplicativos crackeados, como uma versão do Spotify que libera a versão premium de graça. Ou do Pokémon GO, que permite simular o GPS para movimentar seu personagem sem precisar sair de casa. E tudo isso é instalado com a ajuda de certificados empresariais, sem o conhecimento da Apple.
No início da semana, diversos sites divulgaram a notícia que aplicativos de apostas e pornografia usam da mesma técnica para fugir do controle da maçã, que proíbe este tipo de conteúdo em sua loja.
Facilidade
Segundo o site TechCrunch, estes certificados são relativamente fáceis de se obter, com um custo único de US$299. Considerando que estes sites piratas cobram uma anuidade VIP de cerca de $13 e que há centenas de milhares que seguidores nas redes sociais, é lógico de se imaginar que o lucro deles também chegue a casa dos milhares de dólares.
E isso sem gastar um segundo desenvolvendo nenhum código. Os verdadeiros desenvolvedores que criaram os apps distribuídos de graça ficam sem receber nada.
A Apple já chegou a revogar o certificado de diversos destes sites piratas, mas eles sempre voltam à ativa obtendo um certificado novo, tamanha a facilidade.
Recentemente, a maçã anunciou que passará a exigir de todos os desenvolvedores a ativação da autenticação de dois fatores, a partir do final de fevereiro.
Ela não deixou claro se houve casos de invasão de contas para roubar certificados, mas pode também ser um primeiro passo para mudanças importantes nesta área. Afinal, pirataria e distribuição de apps de pornografia são coisas que ela sempre lutou contra, e o fato de estarem abusando de um recurso legítimo para empresas é algo que ela com certeza irá querer combater.