App-udvikler: Nogen har gang i noget skummelt og ønsker adgang til vores Apple-certifikat

15. april 2019 kl. 05:03
App-udvikler: Nogen har gang i noget skummelt og ønsker adgang til vores Apple-certifikat
Illustration: Bigstock.
Nogen vil have adgang til dansk udviklers enterprise-certifikat, som gør det muligt at installere apps på iOS uden om App Store.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

På det seneste er den danske app-udvikler iDeal Development blevet kontaktet flere gange af nogen, der ønsker sig adgang til virksomhedens Enterprise Certifikat fra Apple.

Sådan et certifikat gør det muligt at installere apps på en iOS-enhed uden om Apples App Store. Certifikatet kan bruges til test og af virksomheder, der ønsker at lægge særlig software på medarbejdernes telefoner. Apple kan til enhver tid tilbagekalde certifikatet, hvorefter softwaren holder op med at virke.

Version2 kontaktede oprindeligt solutions architect og partner i iDeal Development Esben Bjerregaard i forhold til en nylig sag om overvågningssoftware i iOS, der netop har været signeret med et Enterprise-certifikat.

Og i den forbindelse fortalte han også, at nogen gerne vil have adgang til den danske virksomheds certifikat udenom Apple.

Artiklen fortsætter efter annoncen

»Vi er på det sidste blevet kontaktet en del gange af nogle, der ønsker at købe adgang til vores enterprise-certifikat. Så uden at jeg før har hørt om misbrug af systemet, kunne jeg da godt regne ud at nogen havde gang i noget skummelt,« oplyser Esben Bjerregaard via mail.

En af de mails, iDeal Development har modtaget fra nogen, der ønsker sig adgang til virksomhedens enterprise-certifikat, der giver adgang til at installere software på iOS uden om Apples App Store.

Han fortæller, at iDeal Development er blevet kontaktet via mail ca. 10 gange.

»Det er ikke helt klart hvordan de finder os, men måske er det bare en appstore-søgning eller en google søgning. Mails kommer ind på vores standard Apple kontakt mail, men denne mail-adresse fremgår også af vores hjemmeside,« forklarer Esben Bjerregaard.

Han kalder henvendelserne vedrørende certifikatet for »et ret nyt fænomen,« hvor en af de ældste henvendelser fra sommeren 2018.

Kan bruges til malware

Men hvorfor skulle nogen være interesseret i at købe sig adgang til et enterprise-certifikat af iDeal Development, når det er muligt at købe det direkte hos Apple?

En mulig forklaring kan være, at personen eller personerne bag henvendelserne ikke ønsker eller kan betale Apple for certifikatet.

En af de mails, iDeal Development har modtaget fra nogen, der ønsker sig adgang til virksomhedens enterprise-certifikat, der giver adgang til at installere software på iOS uden om Apples App Store.

En anden forklaring kunne være, at certifikatet skal bruges til lyssky formål, og at personerne bag derfor ønsker at være anonyme. I den forbindelse er det ifølge Esben Bjerregaard ikke trivielt at holde sig anonym, hvis man vil have sit eget certifikat fra Apple.

»Det kræver nemlig et gyldigt, legalt firma at oprettet et enterprise-certifikat. Der kan kun oprettes et certifikat pr. firmanavn. Firmanavnet kontrolleres og styres gennem det såkaldte D-U-N-S register. For at kunne oprette et enterprise-certifikat skal man have sit selskab registreret her. Dermed kan alle og enhver altså ikke lave et sådant certifikat,« fortæller Esben Bjerregaard.

Version2 har set to af de henvendelser, iDeal Development har fået vedrørende enterprise-certifikatet. Indholdsmæssigt minder de om hinanden.

I den ene mail tilbydes der et konkret beløb på 2.500 dollars (ca. 16.500 kroner). Meningen er lidt uklar, men det kan lyde til, at beløbet er for adgang til flere certifikater.

»Jeg tror det handler om, at man kan lave et antal certifikater til hver konto. Hvis vi laver 5 certifikater ud fra vores konto vil de betale 2500 USD,« fortæller Esben Bjerregaard.

It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København.

Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Læs mere og tilmeld dig

Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark

Exodus

Exodus-spywaren er et eksempel på et fordækt formål, som et enterprise certifikat til iOS kan bruges til.

Forleden fortalte Wired på baggrund af arbejde begået af sikkerhedsfirmaet Lookout om Exodus. Det er overvågningssoftware, der er blevet distribueret ud til Android-enheder via Google Play, mens aktøren bag har forsøgt at bruge Apple’s Developer Enterprise Program til at forsøge at liste den ondsindede software på iOS-enheder.

Det har tidligere været fremme, at Exodus har eksisteret til Android, men iOS-versionen har ifølge Wired ikke været kortlagt.

Aktøren bag Exodus har ifølge Lookout enten ikke forsøgt eller har ikke formået at få softwaren i Apples App Store. I stedet er potentielle ofre via phishing-sider blevet gelejdet til en udgave af app’en, der har været signeret via et Apple-udvikler-certifikat.

Selvom en app signeret med sådan et certifikat kan installeres på en iOS-enhed, så er det »ikke helt let at komme til det ved et uheld,« som Esben Bjerregaard formulerede det i Version2's oprindelige fortælling om Exodus til iOS.

Brugeren skal således aktivt godkende certifikatet på sin enhed.

Generelt har Esben Bjerregaard dette råd:

»Helt generelt - ikke kun i app sammenhæng - skal man aldrig installere eller stole på et certifikat fra nogen, man ikke ved hvem er.«

Version2 har rettet henvendelse til Apple, blandt andet for at høre, om virksomheden er bekendt med handel med enterprise-certifikater. Apple er ikke umiddelbart vendt tilbage på vores henvendelse.

Har nogen af Version2's læsere oplevet tilsvarende forespørgsler om enterprise-certifikater, så fortæl eventuelt om det i debatten herunder eller skriv en mail til jak@version2.dk

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger