Bezpečnostní novinky

Apple se naštval na Facebook a Google

Avast Security News Team, 15. února 2019

Apple zablokoval přístup důležitým aplikacím Facebooku k Apple Developer Enterprise Programu. To samé provedl Googlu.

Apple z důvodu porušení smlouvy odebral Facebooku svůj distribuční certifikát, čímž nečekaně přerušil provoz všech aplikací používajících vnitrofiremní službu na distribuci aplikací pro iOS. Aplikace Facebook vám sice na iPhonu fungovat nepřestane, ale Facebook jako firma prozatím přišel o přístupové certifikáty k Apple Developer Enterprise Programu.

Facebook se prohřešil tím, že software od Applu, který byl výslovně určený k vnitrofiremní komunikaci, používal k šíření sledovací aplikace mezi spotřebiteli. Bezpečnostní výzkumníci upozornili na tuto skutečnost a Facebook následně oznámil, že verzi sledovací aplikace pro iOS deaktivuje. Ale než k tomu došlo, stačil Apple odvolat jeho certifikát k Enterprise Developer Programu. Činnost sledovací aplikace tím okamžitě zastavil, ale zároveň narušil různé interní procesy Facebooku, které se na software od Applu spoléhaly.

Daná sledovací aplikace se nazývá Facebook Research. Jedná se o VPN, která se instaluje jako superuživatel (root) zařízení a sleduje veškeré aktivity na telefonu – od hovorů a SMS až po činnost v aplikacích. Uživatelé ve věku 13–35 let, kteří si ji stáhli, za tento sběr osobních údajů dostávali až 20 $ měsíčně. K celé záležitosti došlo proto, že Facebook používal Enterprise Development Program (službu, kterou Apple poskytuje organizacím k interní distribuci aplikací) k šíření VPN Facebook Research mezi běžnými uživateli, a úmyslně tak obcházel bezpečnostní kontroly v App Storu.

Ve světle této události vyšlo najevo, že Google dělal v podstatě to samé. Na základě podnikového certifikátu od Applu šířil aplikaci Screenwise Meter – VPN, která stejně jako Facebook Research sledovala veškeré uživatelské aktivity. Certifikát tak Apple odebral i Googlu. 

Ani ne po dvou dnech Apple oběma firmám certifikát obnovil.