2015年12月30日星期三

大型盜版 App Store 平台 vShare 橫行了 4 年,為什麼 Apple 拿它沒輒?


作者  | 發布日期 2015 年 12 月 26 日 0:00 分類 app , Apple , 軟體、系統
T客邦配圖
對於 iOS 的使用者來說,要在 App Store 以外的地方來下載軟體,唯一的途徑就是越獄。透過這種方式,Apple 讓所有的 App 都是經過蘋果官方審核過的,雖然可能也會有疏失的狀況發生,但還是相當程度地確保了 iOS 使用者裡頭使用 App 的安全。


相較之下,Android 的使用者除了在 Google Play 上可以下載 App,還可以找到很多其他的第三方商店來下載,而這些第三方商店控管良莠不齊,尤其是在中國更是數量繁多,因此也比較容易造成隱私以及安全上的問題。
不過,24 日 CNN 報導了一個大型的 App Store 第三方平台:vShare,這個平台號稱可以免費下載破解的 App,但是就連 Apple 都拿它沒輒:它們至今在網路上已經存在了 4 年。
為什麼呢?

vShare 如何以合法掩護非法

根據資安公司 Proofpoint 表示,vShare 利用的是蘋果的企業開發者計畫。
Apple 可以讓企業用戶開發他們公司內部的 App,只要一間公司年付 299 美元,並參加企業開發者計畫,就可以讓他們所開發的 App 得到一個特殊的認證。而這個 App 不需要上 App Store,當然也不需要經過蘋果的審核。不過,使用者還是可以下載這些 App,因為 Apple 的伺服器已經預設給了這個 App 認證。
因此,vShare 的那些破解 App 的開發者,他們手中有好幾個企業開發者的帳號,就利用這些帳號來開發了 vShare App。而這個 vShare App 本身就是一個盜版 App 的入口平台,而在上面提供的,就是原本在 iOS 付費排行榜上名列前茅的那些付費 App 的破解版。
雖然沒有確切的數字可以表明,網友到底在 vShare 上下載了多少次「Minecraft:Pocket Edition」或「Geometry Dash」的盜版,不過至少在這個平台上顯示的「liked」數量,就達到 140 萬次。從中可以想像,透過 vShare 下載使正版廠商損失的盜版金額有多大。
vShare 網站宣稱他們自己只是給網友提供一個共享資源的平台,並沒有參與破解或是開發提供 App 的行為,但是依然讓很多資安人員感到擔心,畢竟 vShare 提供了一個合法的漏洞,讓沒有越獄的使用者,也有可能中毒或是被竊取資料。
不過研究人員也承認,在 vShare 上面的這些盜版軟體,大多都是直接複製破解過來的,並未含有惡意軟體,但是重點在 vShare 平台本身並不會審核以及掃描上架 App 的安全性,因此在 vShare 平台上下載 App 有極大的風險。

没有评论:

发表评论