尽管我们一般从Appstore下载软件,但一些开发人员仍然可能欺骗我们安装某些软件,这可能会导致恶意软件的运行和隐私的泄露。
这里提供方法让你摆脱这些软件。
曾经,TechCrunch 发现 Facebook 正在滥用 Apple 的 Developer Enterprise Program,该平台使企业可以将未经审查的应用程序分发给员工并签署证书。
通常,此程序用于让工作人员在接受应用商店审查之前测试正在开发的应用程序,就像常规的开发者计划一样,它也可以用于为员工提供公司不希望外人使用的移动工具。比如谷歌的 Gbus app 就是后者的用例。
Facebook 实质上是为了吸引青少年和成年人安装用于数据收集VPN应用,以换取每月20美元的费用。它收集了近19万用户的数据。
用户被安装一个 Facebook Research 应用配置文件,其中包含通过其VPN隧道来传输TLS流量的权限,以及根CA证书,该证书基本上可以让他们收集进出 iphone 的所有加密流量以了解发生的任何事,而不仅仅是 Facebook 相关的任务。它记录了任何应用程序的网络使用情况。
尽管 Apple 以其严格的 App Store 准则而闻名,但 Developer Enterprise Program 对使用证书许可几乎没有任何监督。至于根证书,Apple 在IOS 12上允许了更多受信任证书,同时也屏蔽了一些证书。
Facebook 不是滥用证书许可的唯一罪魁祸首。
再举一个著名的例子,谷歌在做与 Facebook 完全同样的事,使用根CA证书来获取进出设备的所有数据,以进行深度包检测。
尽管 “受信任” 的根证书是最值得担心的问题,但还有普通证书和带有或不带有证书的供应配置文件。
未经批准的应用程序商店(例如TutuApp,Panda Helper,AppValley和TweakBox)以及Beta测试平台 BetaBound、uTest 和 Applause(Facebook 使用过)都需要配置文件安装,通常带证书(不一定是根证书) 。只需点击Safari中的链接,即可轻松安装这些配置文件。
带有根证书的未经批准的应用程序可以从您的 iPhone 上窃取大量数据,但这并不是您唯一要担心的事。常规的CA证书和配置文件也可能造成同样多的损害。
当使用需要配置文件安装的应用程序时,即使您不知道安装的是什么,它们也可能会要求您提供付款详细信息或密码。
骇客和其他恶意攻击者可能会利用社交工程战术诱骗您安装包含证书的其他配置文件,其中可能包含用于完成攻击的有效载荷。
虽然使用VPN的人已经很多,但漏洞利用可以使用代理服务器获取您的个人数据,更改APN设置,以及使用中间人攻击。
苹果使用自己的程序向开发人员和公共 Beta 测试人员分发 iOS Beta 软件,然后由他们安装配置文件和证书组合,可以肯定地说,如果您喜欢比其他人更快获得新功能,则可以继续使用这些 Beta。
还有诸如 FreedomPop 之类的服务,这些服务使用这些证书来调整 iPhone 上的APN蜂窝设置,以提供免费或低成本数据。Xfinity 和 LinkNYC 使用配置文件来帮助用户连接到公共 Wi-Fi 热点。
开发人员还可以在通过苹果公司严格的 App Store 分发审核程序之前,将他们正在开发的应用发布到网络中的少数设备上。
这些配置文件可以执行以下操作,例如 阻止iOS更新、阻止其他配置文件安装、阻止某些应用程序运行、甚至自动信任根证书。
然后还有诸如 Cydia Impactor 之类的工具,可用于为有用的应用程序(如 Kodi)侧载IPA文件,并且它们使用您自己的 Apple ID 帐户信息来授予应用运行权限。
您甚至可以使用 Apple Configurator 2 来创建自己的配置描述文件,以完成诸如在 iPhone 上自定义应用程序图标的操作而无需越狱,这甚至不需要签名证书。
不知道您是否在设备上下载了带有根证书或常规证书的配置文件?幸运的是,不仅可以轻松检查而且还可以将它们从 iPhone 中删除。
首先,要检查您是否有任何受信任的根证书,请转到 “设置”->“一般”->“关于”->“证书信任设置”。
如果这里有任何内容,它们将显示在 “信任凭据库版本” 下。如果它们是绿色的,说明现在正在运行。
通过 Apple Configurator 或 Mobile Device Management 部署的根证书在这里自动得到信任。您可以将其关闭以禁用它,但不会删除它,因此您需要查看下一部分。
要查看设备上所有现有的配置文件和/或证书,请转到 “设置” 应用程序,点击 “一般”,然后向下滚动至 “Profile/s”。如果没有找到 “Profile/s”部分,则说明你尚未安装。如果看到它,请点击以查看它们。
在配置文件中,你可以查看签名和简短说明。在某些情况下,它可能根本不会被签名,例如当你使用 Apple Configurator 2 为自己构建自定义配置文件时。
如果点击 “更多详细信息”,就可以看到里面的内容。
在下图这个 TweakBox 的示例中,有一个常规的CA证书,标题为 “Apple Worldwide Developer Relations Certification Authority”。这不是根证书,但这仍然是不需要的东西。
要删除配置文件和证书,请返回到配置文件页面,然后点击 “删除配置文件”。
出现提示时输入密码,点击 “删除”,根证书将从您的设备中删除。这样做还将首先删除所有给定的权限,应清除配置文件中的所有设置更改,并将删除或强制已连接的应用程序退出运行。
对于企业级应用程序也是如此,选择配置文件,然后点击 “Delete App”。
删除配置文件和/或证书后,你的私人信息(例如网络活动和安全交易)将无法再被访问,那些组织也无法再诱使您重新安装它。