iOS漏洞蘋果企業(yè)賬號遭濫用留出賭博應(yīng)用通道

    iOS漏洞蘋果企業(yè)賬號遭濫用留出賭博應(yīng)用通道。由于沒有下載數(shù)量的限制，且蘋果沒有技術(shù)手段確認下載者是否為“內(nèi)部員工”，大量賭博游戲通過企業(yè)賬號進行簽名，然后將下載鏈接投放在各種推廣渠道。

  進入嚴打期的“斷鏈行動”掐斷了大部分網(wǎng)絡(luò)賭博產(chǎn)業(yè)的生命線。

    2017年3月28日，國務(wù)委員、公安部部長郭聲琨召開專題會議，研究部署防范打擊整治跨境網(wǎng)絡(luò)賭博活動工作。本次會議要求深入推進“斷鏈行動”，打擊為網(wǎng)絡(luò)賭博犯罪集團提供資金結(jié)算的地下錢莊、網(wǎng)絡(luò)支付平臺，嚴懲為跨境網(wǎng)絡(luò)賭博犯罪非法提供技術(shù)支持的國內(nèi)網(wǎng)絡(luò)運營商。該要求旨在切斷跨境網(wǎng)絡(luò)賭博的“資金鏈”、“技術(shù)鏈”。

    3月底以來，大量賭博類游戲的第三方支付通道被關(guān)停，并因此出現(xiàn)“開戶數(shù)”的大幅下跌。據(jù)知名博彩網(wǎng)站“海博網(wǎng)”統(tǒng)計報道，賭博游戲公司的開戶率已經(jīng)從正常的20%降至2%，還有部分從業(yè)人員表示“有時候一整天沒人開戶”。

    不過，訪問量、注冊量依然旺盛，用戶依然可以通過多種渠道訪問、下載賭博游戲的網(wǎng)站、應(yīng)用?！艾F(xiàn)在，網(wǎng)絡(luò)賭博80%的用戶已經(jīng)轉(zhuǎn)移到移動端，而移動端中，又有80%來自iOS平臺。”國內(nèi)司法行業(yè)人士Jenny（化名）告訴記者，“大量不法分子濫用了蘋果iOS企業(yè)證書，發(fā)布大量賭博游戲APP?！?/p>

    iOS企業(yè)賬號濫用

    無論是根據(jù)中國法律法規(guī)，還是蘋果應(yīng)用商店的審核條款，非法賭博類APP均被禁止在APP Store上架。

    但是，蘋果公司向開發(fā)者提供個人、公司、企業(yè)三種賬號。其中，企業(yè)賬號收費299美元/年，持企業(yè)賬號開發(fā)的應(yīng)用不能提交到App Store商店，但可以給應(yīng)用簽名并且提供下載鏈接，允許該應(yīng)用在任何iOS設(shè)備上安裝，且簽名之后立刻可以下載安裝，安裝數(shù)量沒有限制。

    正常情況下，企業(yè)賬號一般用于發(fā)布企業(yè)內(nèi)部辦公APP，或者用于APP的測試、分發(fā)。蘋果也對企業(yè)賬號進行嚴格的使用規(guī)定，比如，“只能用于企業(yè)內(nèi)部員工安裝”、“不可以進行公開下載”。

    但是，由于沒有下載數(shù)量的限制，且蘋果沒有技術(shù)手段確認下載者是否為“內(nèi)部員工”，大量賭博游戲通過企業(yè)賬號進行簽名，然后將下載鏈接投放在各種推廣渠道。雖然蘋果公司對此類應(yīng)用進行“信任風險”提醒，但并不限制安裝。企業(yè)賬號逐漸成為賭博類游戲的重要渠道。

    在淘寶網(wǎng)、QQ群、百度貼吧等網(wǎng)絡(luò)渠道中，存在出售企業(yè)賬號，或者提供iOS簽名服務(wù)的商家。以淘寶為例，搜索“iOS企業(yè)賬號”、“蘋果簽名”等關(guān)鍵詞，可發(fā)現(xiàn)接近200家提供此類服務(wù)的店鋪，其中銷量最大的一家店鋪單件寶貝交易筆數(shù)接近8000件，該店主告訴記者：“‘菠菜’類APP簽名，500元/月?！庇捎谔O果公司會查殺此類違規(guī)APP，店家承諾“一個月之內(nèi)因為查殺掉簽名的話，可以免費補簽”。當然，也有商戶以2500元/月的價格承諾“基本不掉，適合長期推廣”。

    值得一提的是，大多數(shù)提供簽名服務(wù)的店鋪，都會在商品名稱中注明“棋牌類游戲簽名”，“棋牌”往往代指博彩類應(yīng)用。包括Manbetx、沙皇國際、恒豐娛樂、188bet等跨境網(wǎng)絡(luò)賭博品牌均通過此類方式提交iOS應(yīng)用，供中國用戶下載。

    這并不是違法產(chǎn)業(yè)第一次盯上蘋果。此前，蘋果iMessage、蘋果日歷都曾淪為賭博產(chǎn)業(yè)的推廣渠道。包括海博網(wǎng)、博牛論壇在內(nèi)的多個賭博行業(yè)論壇，均有不斷更新的“如何獲取iOS高質(zhì)量客戶”的經(jīng)驗介紹。舉例而言，通過大量注冊賬號、下載、刷評論等方式控制熱門搜索，大約3萬元投入可以保持6小時熱搜排行，在此期間可以獲取1000-4000左右用戶數(shù)。

    2017年1月中旬，蘋果App Store的搜索排行榜就曾被賭博類關(guān)鍵詞完全占領(lǐng)，這些關(guān)鍵詞包括時時彩、炸金花、澳門銀河、斗地主、德州撲克等。而且，當用戶在搜索框中輸入新浪、百度、微信等詞匯時，搜索給出的推薦應(yīng)用也都是彩票、時時彩、大樂透等內(nèi)容。其后，蘋果刪除了熱搜詞并下架了部分違規(guī)應(yīng)用。

    切斷“推廣鏈”

    2017年3月，知名互聯(lián)網(wǎng)安全新媒體FreeBuff發(fā)布了“蘋果企業(yè)賬號遭不法分子利用”的漏洞，并得到包括阿里聚安全在內(nèi)的部分安全平臺轉(zhuǎn)載。FreeBuff在漏洞解讀中建議蘋果公司“優(yōu)化證書審核機制”、“完善分發(fā)協(xié)議”。

    不過，并不確定蘋果是否會如此優(yōu)化。Jenny告訴記者：“我已經(jīng)向蘋果公司投訴了接近3個月，但蘋果一直在推諉，始終沒有解決?！盝enny向記者提供的投訴記錄顯示，2017年1月底開始，Jenny不斷向蘋果投訴多個非法賭博應(yīng)用、企業(yè)賬號被濫用等情況，但蘋果一直停留在“審核問題”階段。

    根據(jù)公開資料顯示，蘋果企業(yè)賬號申請流程中需要申請人提交企業(yè)鄧白氏編碼。鄧白氏為美國知名征信機構(gòu)之一，蘋果根據(jù)鄧白氏編碼為申請人開通企業(yè)賬號。

    目前，并不確定鄧白氏編碼的審批流程，也不確定被濫用的企業(yè)賬號是否會影響相應(yīng)企業(yè)的征信記錄。記者就上述問題郵件咨詢蘋果公司、華夏鄧白氏，截稿時二者均未作出回應(yīng)。此外，記者向淘寶咨詢上述事宜，淘寶網(wǎng)表示已經(jīng)關(guān)注到此類事件，淘寶平臺治理部門正與蘋果方面就此展開溝通。

    網(wǎng)絡(luò)賭博公司一般會把服務(wù)器設(shè)置在諸如菲律賓等賭博合法性國家，并利用網(wǎng)絡(luò)互動、隱蔽、支付方便、取證困難等特點開展業(yè)務(wù)。近年來，由于移動互聯(lián)網(wǎng)、移動支付的迅速發(fā)展，網(wǎng)絡(luò)賭博產(chǎn)業(yè)呈指數(shù)級上漲。

    此外，根據(jù)騰訊手機管家數(shù)據(jù)，2017年Q1，騰訊手機管家攔截的賭博網(wǎng)站信息高達47億條，占總攔截量的22%，排名僅次于色情網(wǎng)站，后者占比54.24%。

    2015年以來，公安部門已經(jīng)破獲了多個涉案金額數(shù)千億的賭博團伙。

    2017年4月，淘寶網(wǎng)封殺了所有提供支付接口的店鋪，但是，QQ群、各大賭博論壇上依然存在不在少數(shù)的接口提供者。此外，在支付接口被打擊的情況下，還有大量團體出售各種全套銀行卡資料，以供賭博產(chǎn)業(yè)進行轉(zhuǎn)賬、洗錢。一位從事“真人在線賭博”的行業(yè)人士此前曾發(fā)帖介紹，“‘斷鏈’行動之后，用戶開戶成本提高了7倍?！?/p>

    如果在遏制資金鏈的同時，針對iOS平臺進行技術(shù)鏈、推廣鏈的嚴格審核，網(wǎng)絡(luò)賭博的成本將進一步提升。