原標題：大公司乘機收集數(shù)據(jù)，小作坊違規(guī)應(yīng)用泛濫，蘋果究竟做錯了什么？

　　摘要：對常常把隱私問題當(dāng)作宣傳手段的蘋果而言，前不久的FaceTime監(jiān)聽事件和近期頻發(fā)的企業(yè)開發(fā)者項目事故都為它敲響了警鐘。

　　蘋果的AppStore有著嚴格的應(yīng)用審核標準，內(nèi)容不合格的產(chǎn)品往往會因為違規(guī)而遭到蘋果的下架處理，而更多違規(guī)應(yīng)用則連審核通過的資格都沒有。

　　Tumblr就是一個典型的例子。這家以圖片分享為主的內(nèi)容平臺，曾因為蘋果嚴格的審核而‘自殘’式地刪除了平臺上所有敏感內(nèi)容，以此保留在AppStore上架的資格。

　　然而日前，外媒TechCrunch卻用一臺未經(jīng)‘越獄’的普通iPhone，代表性地下載了二十多個現(xiàn)金賭博和色情內(nèi)容的App。TechCrunch調(diào)查發(fā)現(xiàn)，這些App的傳播渠道與日前沸沸揚揚的蘋果下架Facebook和Google企業(yè)內(nèi)部應(yīng)用的新聞息息相關(guān)。

　　鉆空子

　　當(dāng)?shù)貢r間2月12日，外媒TechCrunch經(jīng)調(diào)查發(fā)現(xiàn)，有上千個網(wǎng)站提供一種‘企業(yè)應(yīng)用程序’誘使用戶下載。這些App利用蘋果的‘企業(yè)開發(fā)者項目’（DeveloperEnterpriseProgram，下面簡稱DEP）作為擋箭牌，繞開了蘋果AppStore的內(nèi)容審查。

　　只要通過DEP的申請，企業(yè)就可以專門為自己的員工測試和分發(fā)普通用戶無法使用的內(nèi)部版App，這一非正常應(yīng)用分發(fā)渠道被一些開發(fā)者利用，用來將色情和賭博等違規(guī)App分發(fā)給外部用戶。

　　近期，F(xiàn)acebook和Google被蘋果吊銷企業(yè)開發(fā)者證書也是因為濫用了這種‘特權(quán)’，蘋果調(diào)查發(fā)現(xiàn)前兩者的內(nèi)部應(yīng)用存在收集使用者的個人資料等違規(guī)行為。

　　諷刺的是，對Facebook和Google等大公司嚴加打擊的蘋果，卻疏于DEP這個項目的審核和監(jiān)督。大量不良開發(fā)者之所以如此猖獗，源頭都是因為蘋果為DEP設(shè)立的標準過于寬松。

　　輕而易舉

　　在TechCrunch展示的二十多個代表性的App里，色情App或提供流媒體訂閱服務(wù)，或按觀看內(nèi)容的次數(shù)收費，而賭博App則向用戶提供了應(yīng)用內(nèi)存款、贏錢和取錢的服務(wù)。

　　這類App獲取能繞開AppStore審核的資格非常容易。開發(fā)者只需在線填寫一份蘋果給出的表格，同時支付299美元即可獲得這種資格。而那份表格僅要求開發(fā)者承諾他們開發(fā)的企業(yè)應(yīng)用僅供內(nèi)部員工使用，要求申請人提供D-U-N-S企業(yè)號碼，且擁有最新的Mac設(shè)備。一到四周后，‘企業(yè)’就能接到蘋果的電話，會被再次要求僅能在內(nèi)部發(fā)布App。而這些違規(guī)App的開發(fā)者提供給蘋果的企業(yè)資料，往往只是隨手在Google上搜到的公司公開信息。

　　GuardianMobileFirewall的安全專家WillStrafach研究了這些應(yīng)用以及它們的證書。經(jīng)過初步分析，Strafach稱沒有明顯的跡象表明這些App挪用用戶數(shù)據(jù)，但這些App確實全都違反了蘋果的證書政策，它們提供的內(nèi)容也都是被AppStore禁止的不友好內(nèi)容。

　　另外，一些第三方網(wǎng)站也直接提供企業(yè)證書，結(jié)果就是有時會有5至10個（或更多）不同的App使用同一個企業(yè)證書。

　　值得一提的是，TechCrunch發(fā)現(xiàn)的這些違禁應(yīng)用均未要求用戶安裝類似GoogleScreenwise的VPN，更不用說類似FacebookResearch的那種根網(wǎng)絡(luò)訪問（rootnetworkaccess）。

　　監(jiān)管失職

　　今年1月底，據(jù)多家外媒報道，F(xiàn)acebook在過去3年里，通過‘企業(yè)應(yīng)用程序’收集了許多來自付費志愿者的用戶數(shù)據(jù)。Facebook向13至25歲的用戶支付每月20美元的費用，讓這些用戶在他們的iOS和Android設(shè)備上安裝FacebookResearchApp，這個App可以監(jiān)控用戶的手機和網(wǎng)絡(luò)活動。

　　Google也在做同樣的事情。自2012年以來，谷歌一直在通過企業(yè)證書安裝方式提供ScreenwiseMeterApp，并私下邀請年滿18歲的用戶（或年滿13歲的家庭用戶成員）下載這款A(yù)pp，收集關(guān)于他們使用互聯(lián)網(wǎng)方面的信息，包括用戶在不同網(wǎng)站的訪問時間，以及下載了什么應(yīng)用。

　　發(fā)現(xiàn)上面兩家公司的違規(guī)行為之后，蘋果短暫吊銷了這兩家公司的企業(yè)證書。蘋果聲稱：‘一旦利用企業(yè)證書面向消費者發(fā)布應(yīng)用，證書將被撤銷，從而保護用戶和他們的數(shù)據(jù)。’在Facebook和Google被曝光違反企業(yè)證書政策后，TechCrunch發(fā)現(xiàn)蘋果似乎在過去幾天內(nèi)已經(jīng)禁用了部分類似應(yīng)用，但目前仍存在很多可下載的應(yīng)用。

　　對于色情和賭博等違規(guī)App的存在，蘋果拒絕解釋它們成為企業(yè)證書簽名應(yīng)用的具體途徑，也拒絕透露它是否對該項目中的開發(fā)者進行后續(xù)合規(guī)審查，或是否有調(diào)整申請審核流程的打算。但一位蘋果發(fā)言人發(fā)布聲明稱，‘濫用蘋果企業(yè)開發(fā)證書的開發(fā)者違反了蘋果開發(fā)者企業(yè)賬戶協(xié)議，其擁有的證書將被終止，且若適用，他們將完全從我們的開發(fā)者項目中移除。公司將不斷評估濫用情況，并隨時準備采取行動。

　　這些問題出現(xiàn)的源頭在于蘋果為企業(yè)項目制定的標準過于寬松，雖然要求申請企業(yè)承諾僅能在內(nèi)部測試和分發(fā)應(yīng)用，但蘋果的確未能嚴格執(zhí)行這些政策。蘋果需要做的，是更嚴格地控制企業(yè)開發(fā)資格和加強檢查制度。比如，開發(fā)者需要進一步證明他們的應(yīng)用與證書持有者之間的關(guān)系，以及蘋果可以定期檢查證書簽名應(yīng)用。對常常把隱私問題當(dāng)作宣傳手段的蘋果而言，前不久的FaceTime監(jiān)聽事件和近期頻發(fā)的企業(yè)開發(fā)者項目事故都為它敲響了警鐘。