原標題：大公司乘機收集數據，小作坊違規應用泛濫，蘋果究竟做錯了什么？

　　摘要：對常常把隱私問題當作宣傳手段的蘋果而言，前不久的FaceTime監聽事件和近期頻發的企業開發者項目事故都為它敲響了警鐘。

　　蘋果的AppStore有著嚴格的應用審核標準，內容不合格的產品往往會因為違規而遭到蘋果的下架處理，而更多違規應用則連審核通過的資格都沒有。

　　Tumblr就是一個典型的例子。這家以圖片分享為主的內容平臺，曾因為蘋果嚴格的審核而‘自殘’式地刪除了平臺上所有敏感內容，以此保留在AppStore上架的資格。

　　然而日前，外媒TechCrunch卻用一臺未經‘越獄’的普通iPhone，代表性地下載了二十多個現金賭博和色情內容的App。TechCrunch調查發現，這些App的傳播渠道與日前沸沸揚揚的蘋果下架Facebook和Google企業內部應用的新聞息息相關。

　　鉆空子

　　當地時間2月12日，外媒TechCrunch經調查發現，有上千個網站提供一種‘企業應用程序’誘使用戶下載。這些App利用蘋果的‘企業開發者項目’（DeveloperEnterpriseProgram，下面簡稱DEP）作為擋箭牌，繞開了蘋果AppStore的內容審查。

　　只要通過DEP的申請，企業就可以專門為自己的員工測試和分發普通用戶無法使用的內部版App，這一非正常應用分發渠道被一些開發者利用，用來將色情和賭博等違規App分發給外部用戶。

　　近期，Facebook和Google被蘋果吊銷企業開發者證書也是因為濫用了這種‘特權’，蘋果調查發現前兩者的內部應用存在收集使用者的個人資料等違規行為。

　　諷刺的是，對Facebook和Google等大公司嚴加打擊的蘋果，卻疏于DEP這個項目的審核和監督。大量不良開發者之所以如此猖獗，源頭都是因為蘋果為DEP設立的標準過于寬松。

　　輕而易舉

　　在TechCrunch展示的二十多個代表性的App里，色情App或提供流媒體訂閱服務，或按觀看內容的次數收費，而賭博App則向用戶提供了應用內存款、贏錢和取錢的服務。

　　這類App獲取能繞開AppStore審核的資格非常容易。開發者只需在線填寫一份蘋果給出的表格，同時支付299美元即可獲得這種資格。而那份表格僅要求開發者承諾他們開發的企業應用僅供內部員工使用，要求申請人提供D-U-N-S企業號碼，且擁有最新的Mac設備。一到四周后，‘企業’就能接到蘋果的電話，會被再次要求僅能在內部發布App。而這些違規App的開發者提供給蘋果的企業資料，往往只是隨手在Google上搜到的公司公開信息。

　　GuardianMobileFirewall的安全專家WillStrafach研究了這些應用以及它們的證書。經過初步分析，Strafach稱沒有明顯的跡象表明這些App挪用用戶數據，但這些App確實全都違反了蘋果的證書政策，它們提供的內容也都是被AppStore禁止的不友好內容。

　　另外，一些第三方網站也直接提供企業證書，結果就是有時會有5至10個（或更多）不同的App使用同一個企業證書。

　　值得一提的是，TechCrunch發現的這些違禁應用均未要求用戶安裝類似GoogleScreenwise的VPN，更不用說類似FacebookResearch的那種根網絡訪問（rootnetworkaccess）。

　　監管失職

　　今年1月底，據多家外媒報道，Facebook在過去3年里，通過‘企業應用程序’收集了許多來自付費志愿者的用戶數據。Facebook向13至25歲的用戶支付每月20美元的費用，讓這些用戶在他們的iOS和Android設備上安裝FacebookResearchApp，這個App可以監控用戶的手機和網絡活動。

　　Google也在做同樣的事情。自2012年以來，谷歌一直在通過企業證書安裝方式提供ScreenwiseMeterApp，并私下邀請年滿18歲的用戶（或年滿13歲的家庭用戶成員）下載這款App，收集關于他們使用互聯網方面的信息，包括用戶在不同網站的訪問時間，以及下載了什么應用。

　　發現上面兩家公司的違規行為之后，蘋果短暫吊銷了這兩家公司的企業證書。蘋果聲稱：‘一旦利用企業證書面向消費者發布應用，證書將被撤銷，從而保護用戶和他們的數據。’在Facebook和Google被曝光違反企業證書政策后，TechCrunch發現蘋果似乎在過去幾天內已經禁用了部分類似應用，但目前仍存在很多可下載的應用。

　　對于色情和賭博等違規App的存在，蘋果拒絕解釋它們成為企業證書簽名應用的具體途徑，也拒絕透露它是否對該項目中的開發者進行后續合規審查，或是否有調整申請審核流程的打算。但一位蘋果發言人發布聲明稱，‘濫用蘋果企業開發證書的開發者違反了蘋果開發者企業賬戶協議，其擁有的證書將被終止，且若適用，他們將完全從我們的開發者項目中移除。公司將不斷評估濫用情況，并隨時準備采取行動。

　　這些問題出現的源頭在于蘋果為企業項目制定的標準過于寬松，雖然要求申請企業承諾僅能在內部測試和分發應用，但蘋果的確未能嚴格執行這些政策。蘋果需要做的，是更嚴格地控制企業開發資格和加強檢查制度。比如，開發者需要進一步證明他們的應用與證書持有者之間的關系，以及蘋果可以定期檢查證書簽名應用。對常常把隱私問題當作宣傳手段的蘋果而言，前不久的FaceTime監聽事件和近期頻發的企業開發者項目事故都為它敲響了警鐘。