Wie kann ich sehen, welche Berechtigungen ein Unternehmens-App-Zertifikat hat?

Ich lebe im Iran, und hier sind die meisten iranischen Apps aus dem App Store verbannt und werden mit Unternehmenszertifikaten verteilt. Es gibt sogar iranische App-Stores, die ein einziges solches Zertifikat verwenden, um andere Apps zu installieren, und sie verkaufen sogar einige raubkopierte Apps über diese. Siehe zum Beispiel https://sibapp.com/ und nassaab.com/ . Obwohl diese wahrscheinlich nicht mit nicht-iranischen IPs funktionieren werden.

Im Hinblick auf den jüngsten Facebook-Datenschutzskandal mache ich mir Sorgen darüber, wie diese Apps meine Privatsphäre beeinträchtigen und welche Maßnahmen ich ergreifen kann, um mich zu schützen, und zu welchen Maßnahmen Apple gedrängt werden sollte. Dieses Phänomen (bösartiger iranischer Apps) hat eine hohe Penetrationsrate bei iranischen Benutzern. (Weil jeder zumindest einige der Dienste benötigt, die diese Apps bieten, einschließlich Banking, Daten- und Telefonverwaltung der SIM-Karte, Online-Taxis, ...)

Ich denke, Apps zu verbieten, aber illegale Unternehmenszertifikate zu hinterlassen, ist möglicherweise der schlechteste Weg, um dieses Problem zu lösen.

Update: Auf dem Gerät wird nichts über das Zertifikat angezeigt:Bildschirmfoto

Ich werde einige Bedenken auf hoher Ebene ansprechen und jemand anderen beschreiben lassen, wie man die IPA-Datei erhält und analysiert, welche Berechtigungen in einem bestimmten App-Bundle codiert wurden. Sie benötigen Xcode oder ein anderes Befehlszeilentool, um auf diese Ebene zu gelangen. Meine Antwort auf hoher Ebene wird sein, diese Apps zu löschen. Mir ist bewusst, dass die US-Regierung in Bezug auf die Behandlung normaler Geschäftsbeziehungen mit Ihrem Land ein Kleinkindniveau hat. Es wäre viel besser, wenn Ihre Apps keine finanziellen Schwierigkeiten hätten, damit Sie eine Überprüfung von Apple über legitime Apps erhalten könnten. Lassen Sie uns im Ask Different Chat sprechen , wenn Sie darüber Bescheid wissen.

Antworten (1)

Die kurze Antwort ist, dass ein Zertifikat keine Berechtigungen hat, es deaktiviert einfach den App Store als exklusive Möglichkeit zum Laden von Apps. Es ändert nicht den Code, installiert kein VPN, fügt keinen Passcode oder irgendetwas hinzu, aber es deaktiviert einen der besten Datenschutzmaßnahmen, die Sie haben - Apple-Überprüfung von Apps im App Store.

Das einzig Schlimmere, als eine Unternehmens-App aus Sicherheitsgründen zu laden, wäre, die MDM-Steuerung zuzulassen, damit jemand Änderungen pushen / Ihren Standort verfolgen / Ihr Gerät remote löschen und Sie vom Gerät aussperren oder Apps darauf pushen könnte.

Sie haben Recht, sich Sorgen um all diese Apps zu machen.

Dieses Zertifikat und diese Berechtigung lassen Sie sozusagen wissen, dass Sie den Wilden Westen betreten. (Oder wäre es in Ihrem Fall der Wilde Osten oder der Wilde Nahe Osten?)

Die Warnung weist darauf hin, dass nichts in dieser App von Apple untersucht wurde. Apple hat keine Codeüberprüfung durchgeführt und nicht überprüft, ob eine App, die besagt, dass sie dazu dient, einem Foto eine Bildunterschrift hinzuzufügen, nicht stattdessen jedes Foto einschließlich Datum / Uhrzeit / GPS-Standort auf ihre Server hochlädt, um es zu verfolgen / zu vermarkten / zu verkaufen / Sammeln Sie Informationen über jeden Ort, an dem Sie ein Bild haben. Sie könnten sogar die Gesichtserkennung auf den Fotos ausführen, sobald sie sie hochgeladen haben.

Apple zwingt Entwickler normalerweise nicht, die Daten, die sie nehmen, nicht zu nehmen, aber sie lassen den Entwickler Sie wissen, was die App tut, damit wir uns zumindest alle darauf einigen können, welche Apps verfolgen, welche Taps Sie auf dem Bildschirm machen und welche nicht. (zum Beispiel)

Die jüngste Presse zu diesem Thema zeigt, dass VPN-Apps den Endbenutzern nicht offengelegt haben. Wenn Ihre Apps also VPN aktivieren (schauen Sie in den iOS-Einstellungen nach VPN), können Sie so gut wie nicht darauf vertrauen, dass nichts an einen Server gesendet wurde und dann entschlüsselt - gespeichert und dann erneut verschlüsselt, um sie an das endgültige Ziel zu senden.

Im Grunde ermöglicht dies einen „Man-in-the-Middle“-Angriff, sodass Sie nicht darauf vertrauen können, dass einige Schwierigkeiten erforderlich sind, um Ihren Datenverkehr zu entschlüsseln. Wir wissen bereits, dass wir keinem Telekommunikationsunternehmen vertrauen können, dass es nicht jedes Bit der von uns gesendeten Daten aufzeichnet / anzapft / auswertet, aber die meisten von uns erwarten, dass die SSL-Verschlüsselung bedeutet, dass es jemanden Zeit und Geld kosten wird, unseren Datenverkehr zu knacken.

Nun, es könnte sein, dass das gesamte Land Iran auf der Beobachtungsliste einer Regierung steht und Ihr Datenverkehr bereits entschlüsselt wird, aber dieses Zertifikat ermöglicht es dieser Telekommunikation, Sie auch auf eine Weise zu sehen und zu überwachen, die Apple versucht, durch Apps zu verhindern, die sie in ihre App einfügen Speichern.

Für mich installiere ich diese niemals auf meinen persönlichen Geräten. Wenn ich ein Arbeitsgerät benötige, um Arbeits-Apps zu haben, lasse ich mir dieses Gerät von der Arbeit bereitstellen, und ich erledige Arbeitsaufgaben auf meinem Arbeitsgerät und gehe davon aus, dass sie alles auf diesem Gerät erhalten. Es ist zu schwierig für mich, eine App-Überprüfung durchzuführen, daher vereinfache ich meine Privatsphäre, indem ich keine Drittanbieter Root-Zertifikate / SSL / nicht überprüfte Apps installieren lasse.

Eine sehr gute und informative Antwort. Nur um ein bisschen pingelig zu sein, Apple führt nicht das durch, was normalerweise als "Code-Review" bezeichnet wird. Sie sehen sich den Quellcode einer App nicht an, dh als Entwickler müssen Sie diesen nicht bereitstellen. Natürlich sehen und analysieren sie die Binärdatei, die Sie an den AppStore senden (nun, das könnte technisch gesehen als Code-Review bezeichnet werden, nur nicht als Quellcode -Review). Ansonsten ist dein Tipp gut. Die iranischen Benutzer tun mir leid, sie müssen sich zwischen keiner Sicherheit oder gar keiner Nutzung entscheiden. :(
@Gero In der Tat, wenn die Mehrheit der Benutzer kompromittiert ist, spielt es keine Rolle, ob Sie keine Verwendung wählen. Andere Leute verlieren immer noch viele Ihrer Daten.
Wenn das Zertifikat keine Berechtigungen hat, wie könnte Facebook dann überhaupt private Nachrichten der Nutzer lesen? Das sollte nicht möglich sein, selbst wenn Sie den VPN-Dienst einer kompromittierten App verwenden.
Wenn die betreffende App mit den regulären SDKs von Apple erstellt wurde, haben Sie Recht, die meisten wichtigen Dinge werden von diesen und dem Betriebssystem abgefangen (der Zugriff auf Ortungsdienste lässt z. B. ein Popup erscheinen, das bestätigt, dass der Benutzer dies zulässt). Allerdings könnten Apps, die nicht aus dem regulären AppStore heruntergeladen wurden, mit Bibliotheken verknüpft werden, die manipuliert wurden, und da es keine Überprüfung (Überprüfung der Zertifikate der verwendeten Bibliotheken) gibt, die einen Vektor für alle Arten von schädlichem Zeug öffnen könnte.
@HappyFace Die VPN-App hatte ein Zertifikat, das Apple nicht genehmigte, und verwendete diese App, um den Datenverkehr zu signieren, und das VPN leitete den Datenverkehr an Server weiter, die die Daten entschlüsseln und protokollieren/verfolgen konnten/taten. Apple lässt keine schattigen Zertifikate zu, also hat das VPN diesen Schutz nach dem, was ich gelesen habe, gebrochen. Ich habe das Facebook-VPN nicht analysiert, aber Unternehmen machen das ständig. Es heißt Deep Packet Inspection und MITM-Angriff. Außerdem müssen Sie, sobald Sie das Netzwerk besitzen, oft nicht wissen, was in der Nachricht steht, da die Kopfzeilen und offenen Teile Ihnen alles sagen, was Sie wissen müssen.
Wie kann ich sehen, welche Berechtigungen ein Unternehmens-App-Zertifikat hat?
AntwortenHierDatenschutz-Bestimmungen1y, 0v