Bylo objeveno další zneužití podnikového certifikátu Apple. Tentokrát se jedná o aplikaci Lookout, která předstírala, že je publikována mobilními operátory v Itálii a Turkmenistánu. Aplikace byla pro uživatele iOS k dispozici ke stažení prostřednictvím Safari.

Reklama

Aplikace předstírala, že je od operátora a že nabízí výhodné mobilní tarify pro uživatele. Uživatele aplikaci povolili přístup a ta potom mohla sledovat polohu, sbírat kontakty, fotografie a další data. Aplikace používající podnikové certifikáty nejsou dostupné prostřednictvím App Store, ale hackeři přesto cílí na uživatele operačního systému iOS prostřednictvím Safari a snaží se přimět lidi, aby si stáhli aplikaci přes web. V podstatě, když je aplikace distribuována s podnikovým certifikátem, neexistuje žádná odpovědnost za to, co aplikace dělá. Když vývojář požádá o podnikový certifikát, měly by být tyto aplkace k dispozici pouze pro zaměstnance a neměly by být používány jinde.

V letošním roce jsme zaznamenali několik zneužití podnikového certifikátu. Apple zruší certifikát, když se dozví o jednotlivých případech, ale je jasné, že společnost nemá pod kontrolou celkový program podnikových certifikátů. V budoucí verzi softwaru iOS může společnost Apple uložit přísnější požadavky. Certifikáty jsou často odcizeny nebo prodávány, takže licence na podnikový vývojářský program, které byly kdysi legitimně používány, jsou nyní používány haclery. Uživatelé se mohou chránit tím, že nikdy nebudou stahovat aplikace mimo App Store.