Nieuws
image

Apple trekt ontwikkelaarscertificaten Facebook in

woensdag 30 januari 2019, 17:02 door Redactie, 12 reacties

Apple heeft verschillende certificaten ingetrokken die Facebook gebruikt voor interne apps, wat voor problemen bij de socialmediagigant zorgt. Aanleiding is het nieuws dat Facebook gebruikers betaalde voor het installeren van een vpn-app waarmee hun gedrag kon worden gemonitord.

De app werd buiten de Apple App Store aangeboden. Hiervoor maakte Facebook gebruik van een enterprise certificaat, waarmee organisaties eigen apps onder hun medewerkers kunnen uitrollen. Het is niet toegestaan om deze certificaten te gebruik voor het uitrollen van apps onder consumenten, aldus Apple. Volgens Apple heeft Facebook dan ook het beleid geschonden. Om gebruikers en hun data te beschermen zijn de certificaten van Facebook ingetrokken, aldus een verklaring van een Apple-woordvoerder tegenover Recode.

Het intrekken van een certificaat heeft niet alleen gevolgen voor het verspreiden van apps op iOS, ook zorgt het ervoor dat apps die via het certificaat zijn uitgegeven niet meer werken. Organisaties kunnen meerdere apps aan één certificaat koppelen. In het geval van Facebook blijkt dat zowel test-apps als apps voor medewerkers niet meer werken. Het gaat onder andere om een interne app voor personeelsvervoer. Facebook zou de situatie als een "ernstig probleem" behandelen, zo laten bronnen aan The Verge weten.

Reacties (12)
30-01-2019, 17:28 door Anoniem
Bedankt Apple, weer een stapje in de goede richting.
30-01-2019, 17:54 door Briolet
Maar waarom gebruikte Facebook een certificaat van Apple. Ze hadden toch ook een eigen rootcertificaat kunnen uitgeven.

Uit het andere topic van vandaag blijkt dat certificaat van Apple ook geen algemeen aanwezig root gebruikte en moesten de gebruikers het certificaat van Apple ook eerst installeren op de toestellen.:

Om de app te installeren moeten gebruikers een Enterprise Developer Certificate en vpn installeren en Facebook met roottoegang vertrouwen tot de data die hun telefoon verstuurt.
30-01-2019, 20:04 door jh81 - Bijgewerkt: 30-01-2019, 20:06
Door Briolet: Maar waarom gebruikte Facebook een certificaat van Apple. Ze hadden toch ook een eigen rootcertificaat kunnen uitgeven.

Uit het andere topic van vandaag blijkt dat certificaat van Apple ook geen algemeen aanwezig root gebruikte en moesten de gebruikers het certificaat van Apple ook eerst installeren op de toestellen.:

Om de app te installeren moeten gebruikers een Enterprise Developer Certificate en vpn installeren en Facebook met roottoegang vertrouwen tot de data die hun telefoon verstuurt.

Om Applicaties te kunnen publiceren in de Appstore heb je een developer certificaat nodig, als je dan rotzooi in je app propt, trekt Apple je certificaat in en alles werkt niet meer :) stukje beveiliging. Alleen als jouw zelf gemaakte app is voorzien van een Apple developer certificaat kun je die publiceren in de appstore.

Voor het testen van je Applicaties op iPhones en iPads kun je een test certificaat genereren, die dan door beta testers geïmporteerd kunnen worden, waarna ze jouw test app kunnen installeren.

Dit zijn andere certificaten dan de PKI certificaten waar je een root Certificate Authority voor hebt, zoals je ze gebruikt onder windows, en voor SSL etc.
30-01-2019, 23:41 door Briolet
Door jh81: Om Applicaties te kunnen publiceren in de Appstore heb je een developer certificaat nodig.

Dat is bekend, maar deze apps werden expliciet buiten de appstore aangeboden.
31-01-2019, 08:53 door Anoniem
Door Briolet:
Door jh81: Om Applicaties te kunnen publiceren in de Appstore heb je een developer certificaat nodig.

Dat is bekend, maar deze apps werden expliciet buiten de appstore aangeboden.
Facebook misbruikte zijn enterprise certificaat voor niet-enterprise gebruikers. Dat is tegen de regels en daarom is het certificaat ingetrokken.

Voor meer info zie de helppagina van Apple: https://help.apple.com/xcode/mac/current/#/devba5e7054d
31-01-2019, 08:54 door timpelgrim
Om een app (zonder jailbreak) op een iOS device te installeren zal deze altijd op een of andere manier gesigned moeten worden met een certificaat dat Apple uitgeeft. Ook buiten de app-store bij Enterprise distributie krijg je een certificaat van Apple om de apps meet te signen. De uitgever (Apple) kan het certificaat dus eenzijdig intrekken waardoor gebruikers de app niet meer kunnen installeren.

Enerzijds is dit bescherming voor de gebruikers tegen malafide software van schimmige ontwikkelaars, want iedereen die een certificaat heeft is altijd volledig bekend bij Apple (het aanmeld proces is behoorlijk grondig). Aan de andere kant is het ook wel duidelijk dat Apple hiermee de controle wil houden op hoe er Apps worden gekocht op iOS, ze willen expliciet geen App Stores van derden en alle pogingen daartoe worden tegengehouden. Als men gemakelijk zelf gesignede apps kon installeren kon Apple dit moeilijk tegengaan.
31-01-2019, 09:29 door Anoniem
Door Anoniem: Bedankt Apple, weer een stapje in de goede richting.
Dictatuur is inderdaad een mooie eigenschap. Je kan precies bepalen wat er wel en niet mag. Apple haar beleid staat wel bekend hierom.
31-01-2019, 10:40 door Anoniem
Door Anoniem:
Door Anoniem: Bedankt Apple, weer een stapje in de goede richting.
Dictatuur is inderdaad een mooie eigenschap. Je kan precies bepalen wat er wel en niet mag. Apple haar beleid staat wel bekend hierom.

Zelfs als verfent Apple kritikaster vind ik dit een onioglijk ongeinformeerde mening. Als het onderwerp je zo erg niet boeit dat je de plank zo misslaat; koppel dan de pc van het internet.
31-01-2019, 11:07 door Anoniem
Hallo, waarom Apple afvallen en het gesjoemel met API developers samen met facebook goedvinden.

Net als T-Mobile die je wil laten betalen voor niet geconsumeerde betaald-SMS-jes in de trein (scam).

Real time locatiegegevens van iedere mobiel nummer op de Amerikaanse markt te koop voor $ 4.95.
Wanneer wordt er tegen opgetreden? Neen, kat en muis spel en de consument (consumeerder) is de pineut.
Nog vier grote aanbieders en allemaal met dezelfde luizige voorwaarden (dag XS4all!).

Nu nog ad-blokkers frustreren via API begrenzingen (Google) en het zieke plaatje is weer compleet,
want minder veilig, dus wel meer giga-profijt. Zieke wereld.

We wilden dit toch met z'n allen. Dan ook niet zeuren.

En het gaat hier ook steeds meer lijken op ziek USA in dat opzicht.

J.O.
02-02-2019, 11:24 door Briolet
Het intrekken heeft echter niet meer dan een dag geduurd:

https://www.destentor.nl/tech/apple-heractiveert-interne-apps-google-en-facebook-na-spionagepraktijken~ac1c831b4/
04-02-2019, 14:00 door Anoniem
Door Briolet: Maar waarom gebruikte Facebook een certificaat van Apple. Ze hadden toch ook een eigen rootcertificaat kunnen uitgeven.
Waarom gebruiken de CDN domeinen van gebruikers van google-cloud, gratis certificaten ...van Let's Encrypt Inc!
...terwijl Google niet alleen een CA is, maar ook een prachtig domein "pki.goo" voor gebruikte.
04-02-2019, 15:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Bedankt Apple, weer een stapje in de goede richting.
Dictatuur is inderdaad een mooie eigenschap. Je kan precies bepalen wat er wel en niet mag. Apple haar beleid staat wel bekend hierom.

Zelfs als verfent Apple kritikaster vind ik dit een onioglijk ongeinformeerde mening. Als het onderwerp je zo erg niet boeit dat je de plank zo misslaat; koppel dan de pc van het internet.
Laten we vooral niet vergeten dat Apple bepaald wat jij wel of niet mag doen en draaien op je telefoon.
Developers die een overtreding maken, worden zonder informatie afgesloten.
Gebruikers die problemen melden die gewoon structueel zijn, worden niet gehoord of eventueel verwijderd.
Security fixes worden niet gemeld.
Vrijheid mag, zolang apple het maar kan controleren en bepalen.
En het ligt vooral aan de gebruikers, nooit aan Apple.

Valt redelijk onder een dictatuur....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure