苹果究竟做错了什么？

　　原标题：大公司乘机收集数据，小作坊违规应用泛滥，苹果究竟做错了什么？

　　摘要：对常常把隐私问题当作宣传手段的苹果而言，前不久的FaceTime监听事件和近期频发的企业开发者项目事故都为它敲响了警钟。

　　苹果的AppStore有着严格的应用审核标准，内容不合格的产品往往会因为违规而遭到苹果的下架处理，而更多违规应用则连审核通过的资格都没有。

　　Tumblr就是一个典型的例子。这家以图片分享为主的内容平台，曾因为苹果严格的审核而‘自残’式地删除了平台上所有敏感内容，以此保留在AppStore上架的资格。

　　然而日前，外媒TechCrunch却用一台未经‘越狱’的普通iPhone，代表性地下载了二十多个现金赌博和色情内容的App。TechCrunch调查发现，这些App的传播渠道与日前沸沸扬扬的苹果下架Facebook和Google企业内部应用的新闻息息相关。

　　钻空子

　　当地时间2月12日，外媒TechCrunch经调查发现，有上千个网站提供一种‘企业应用程序’诱使用户下载。这些App利用苹果的‘企业开发者项目’（DeveloperEnterpriseProgram，下面简称DEP）作为挡箭牌，绕开了苹果AppStore的内容审查。

　　只要通过DEP的申请，企业就可以专门为自己的员工测试和分发普通用户无法使用的内部版App，这一非正常应用分发渠道被一些开发者利用，用来将色情和赌博等违规App分发给外部用户。

　　近期，Facebook和Google被苹果吊销企业开发者证书也是因为滥用了这种‘特权’，苹果调查发现前两者的内部应用存在收集使用者的个人资料等违规行为。

　　讽刺的是，对Facebook和Google等大公司严加打击的苹果，却疏于DEP这个项目的审核和监督。大量不良开发者之所以如此猖獗，源头都是因为苹果为DEP设立的标准过于宽松。

　　轻而易举

　　在TechCrunch展示的二十多个代表性的App里，色情App或提供流媒体订阅服务，或按观看内容的次数收费，而赌博App则向用户提供了应用内存款、赢钱和取钱的服务。

　　这类App获取能绕开AppStore审核的资格非常容易。开发者只需在线填写一份苹果给出的表格，同时支付299美元即可获得这种资格。而那份表格仅要求开发者承诺他们开发的企业应用仅供内部员工使用，要求申请人提供D-U-N-S企业号码，且拥有最新的Mac设备。一到四周后，‘企业’就能接到苹果的电话，会被再次要求仅能在内部发布App。而这些违规App的开发者提供给苹果的企业资料，往往只是随手在Google上搜到的公司公开信息。

　　GuardianMobileFirewall的安全专家WillStrafach研究了这些应用以及它们的证书。经过初步分析，Strafach称没有明显的迹象表明这些App挪用用户数据，但这些App确实全都违反了苹果的证书政策，它们提供的内容也都是被AppStore禁止的不友好内容。

　　另外，一些第三方网站也直接提供企业证书，结果就是有时会有5至10个（或更多）不同的App使用同一个企业证书。

　　值得一提的是，TechCrunch发现的这些违禁应用均未要求用户安装类似GoogleScreenwise的VPN，更不用说类似FacebookResearch的那种根网络访问（rootnetworkaccess）。

　　监管失职

　　今年1月底，据多家外媒报道，Facebook在过去3年里，通过‘企业应用程序’收集了许多来自付费志愿者的用户数据。Facebook向13至25岁的用户支付每月20美元的费用，让这些用户在他们的iOS和Android设备上安装FacebookResearchApp，这个App可以监控用户的手机和网络活动。

　　Google也在做同样的事情。自2012年以来，谷歌一直在通过企业证书安装方式提供ScreenwiseMeterApp，并私下邀请年满18岁的用户（或年满13岁的家庭用户成员）下载这款App，收集关于他们使用互联网方面的信息，包括用户在不同网站的访问时间，以及下载了什么应用。

　　发现上面两家公司的违规行为之后，苹果短暂吊销了这两家公司的企业证书。苹果声称：‘一旦利用企业证书面向消费者发布应用，证书将被撤销，从而保护用户和他们的数据。’在Facebook和Google被曝光违反企业证书政策后，TechCrunch发现苹果似乎在过去几天内已经禁用了部分类似应用，但目前仍存在很多可下载的应用。

　　对于色情和赌博等违规App的存在，苹果拒绝解释它们成为企业证书签名应用的具体途径，也拒绝透露它是否对该项目中的开发者进行后续合规审查，或是否有调整申请审核流程的打算。但一位苹果发言人发布声明称，‘滥用苹果企业开发证书的开发者违反了苹果开发者企业账户协议，其拥有的证书将被终止，且若适用，他们将完全从我们的开发者项目中移除。公司将不断评估滥用情况，并随时准备采取行动。

　　这些问题出现的源头在于苹果为企业项目制定的标准过于宽松，虽然要求申请企业承诺仅能在内部测试和分发应用，但苹果的确未能严格执行这些政策。苹果需要做的，是更严格地控制企业开发资格和加强检查制度。比如，开发者需要进一步证明他们的应用与证书持有者之间的关系，以及苹果可以定期检查证书签名应用。对常常把隐私问题当作宣传手段的苹果而言，前不久的FaceTime监听事件和近期频发的企业开发者项目事故都为它敲响了警钟。