威锋网-首页 > 新闻 > iPhone > 新闻 > 苹果使移动应用中根证书的使用变得不明确

苹果使移动应用中根证书的使用变得不明确

2015-10-13 18:09:25
水木之向
威锋网
加载中...

上周苹果宣布已经将部分应用从 App Store 移除,原因是这些应用安装了自主根证书,允许开发者查看来自用户的加密流量。但是苹果此举也让开发者有点迷茫了。

  上周苹果宣布已经将部分应用从 App Store 移除,原因是这些应用安装了自主根证书,允许开发者查看来自用户的加密流量。

  其中被移除的应用中包括一款名为 Choice 的应用,这是帕洛阿尔托公司 Been 开发的应用。为了拦截广告,这款应用会监测发送到 Facebook、谷歌、雅虎以及 Pinterest 等公司的用户数据流量。

  苹果表示这类应用的做法存在风险性。流经的用户信息可被第三方通过外部服务器获取,从而被用以中间人攻击。

  Been 的联合创始人 David Yoon 在电话采访中表示公司已经及时更新应用,以删除用户设备中的根证书。

  苹果公司在今年 6 月份通过 Choice 应用的审核,当时它就带有根自主证书,不过当时候苹果并没有拒绝通过审核。否则像 Choice 这样的服务也不可能在苹果的移动设备上提供 VPN 服务。


  根证书本身不存在任何安全隐患,但是它支持应用和网页服务建立新的加密链接,并使用其隐私密钥查看数据流量。

  Choice 利用其根证书来获得 Facebook 等服务的访问权,将数据用以破解这些服务的 SSL/TLS 安全解决方案。Choice 还能够拦截应用,对任何不使用 SSL/TLS 的服务使用第三方追踪机制。

  不过现在越来越多公司都选择给服务进行完全加密,广告和内容都是通过 SSL/TLS 来发布的。Yoon 表示他们已经充分向用户说明在几个 SSL/TLS 保护的服务中他们会如何拦截广告,他们不会保存任何来自用户设备的数据,不过同时对于苹果下架 Choice 他也没有异议。但是到现在他还不能确定应用中不能包含哪些根证书。

  Yoon 表示自己目前想要解决的问题是,很多公司和广告网络在没有得到用户同意或者赔偿用户的情况就追踪用户的在线行为。Choice 有一个“Earn”模式,这个模式下广告不会被过滤。他们计划通过这个模式来收集一些数据——比如用户在特定时段会使用哪款应用——Been 想利用这些数据来赚钱。

  当然 Earn模式下 Been 相应地会给用户付钱,因为他们使用了用户的数据,这种方式是目前的在线广告市场所没有的。

  Yoon 说:“我们很好奇你在手机上都浏览了哪些东西,你把这些告诉我们,我们付钱。或者你也可以选择不给我们看。”

  Yoon 介绍表示,假设用户使用 Earn 一天,他们就可以获得 1000 点,30 天之后就是 30000 点,可以兑换 20 美元。

  不过对于 Been 来说,一切为时尚早,他们还只是一家非常小的、自负盈亏的公司。Yoon 开发 Chooce 就花了好几年的时间,不过他相信未来五年如果他们的 Earn 模式将能够吸引更多用户的兴趣。

  欢迎关注威锋网官方微信:威锋网(weiphone_2007) 汇聚最新Apple动态,精选最热科技资讯。

锋友跟帖
人参与
人跟帖
现在还没有评论,请发表第一个评论吧!
正在加载评论
  • 威锋客户端

  • 用微博扫我

返回顶部
关闭