Les certificats d'Apple détournés au profit des applications pornos et des jeux d'argent
Apple est en train de faire une purge auprès des développeurs abusant de ses certificats d’entreprise et après avoir bloqué les applications de Google et Facebook en interne, la firme américaine a décidé de regarder de plus près les applications tierces. Au total, après enquête de la part de TechCrunch, le site web spécialisé a trouvé pas moins de 12 applications pornographiques et 12 applications de jeux d’argent qui peuvent être installées avec un certificat et cela même si l’iPhone n’est pas jailbreaké.
Le certificat d’entreprise remis en cause
Pour passer outre le processus de certification d’Apple pour pouvoir publier leurs applications qui auraient été refusées, les développeurs malveillants ont utilisé le certificat d’entreprise moyennant 299 dollars pour souscrire au programme. Apple est plus laxiste avec les entreprises utilisant ce type de certificat puisque la firme demande seulement aux développeurs de s’engager à créer une application destinée à un usage interne, réservée exclusivement aux employés. Elle demande un numéro d’identification D-U-N-S que l’on peut trouver très facilement sur Google. Quatre semaines plus tard, Apple appelle le développeur pour confirmer que l’application ne sera distribuée qu’en interne avec quelques questions, puis valide cette certification.
Grâce à cette méthode, de nombreux sites peuvent proposer une application iOS certifiée pouvant être téléchargée et installée sur un iPhone, sans avoir à passer par l’App Store ni même à jailbreaker l’appareil. Dans cette enquête, TechCrunch a recensé pas moins de 24 applications, 12 pornographiques et 12 pour des jeux d’argent, qui n’auraient jamais été acceptées sur le magasin d’applications de la firme.
Apple n’a pas souhaité s’étendre sur le sujet concernant les développeurs qui avaient pu abuser de ce système pour promouvoir et publier leurs applications qui n’auraient jamais reçu l’accord de l’entreprise. Néanmoins, un porte-parole a expliqué que les entreprises ayant abusé de cette méthode verront leurs comptes bloqués et les certificats désactivés.