App-udvikler: Nogen har gang i noget skummelt og ønsker adgang til vores Apple-certifikat

Illustration: Bigstock
Nogen vil have adgang til dansk udviklers enterprise-certifikat, som gør det muligt at installere apps på iOS uden om App Store.

På det seneste er den danske app-udvikler iDeal Development blevet kontaktet flere gange af nogen, der ønsker sig adgang til virksomhedens Enterprise Certifikat fra Apple.

Sådan et certifikat gør det muligt at installere apps på en iOS-enhed uden om Apples App Store. Certifikatet kan bruges til test og af virksomheder, der ønsker at lægge særlig software på medarbejdernes telefoner. Apple kan til enhver tid tilbagekalde certifikatet, hvorefter softwaren holder op med at virke.

Version2 kontaktede oprindeligt solutions architect og partner i iDeal Development Esben Bjerregaard i forhold til en nylig sag om overvågningssoftware i iOS, der netop har været signeret med et Enterprise-certifikat.

Læs også: Spyware brugte Apple-enterprise-certifikat for at komme på iPhones

Og i den forbindelse fortalte han også, at nogen gerne vil have adgang til den danske virksomheds certifikat udenom Apple.

»Vi er på det sidste blevet kontaktet en del gange af nogle, der ønsker at købe adgang til vores enterprise-certifikat. Så uden at jeg før har hørt om misbrug af systemet, kunne jeg da godt regne ud at nogen havde gang i noget skummelt,« oplyser Esben Bjerregaard via mail.

En af de mails, iDeal Development har modtaget fra nogen, der ønsker sig adgang til virksomhedens enterprise-certifikat, der giver adgang til at installere software på iOS uden om Apples App Store. Illustration: screenshot

Han fortæller, at iDeal Development er blevet kontaktet via mail ca. 10 gange.

»Det er ikke helt klart hvordan de finder os, men måske er det bare en appstore-søgning eller en google søgning. Mails kommer ind på vores standard Apple kontakt mail, men denne mail-adresse fremgår også af vores hjemmeside,« forklarer Esben Bjerregaard.

Han kalder henvendelserne vedrørende certifikatet for »et ret nyt fænomen,« hvor en af de ældste henvendelser fra sommeren 2018.

Kan bruges til malware

Men hvorfor skulle nogen være interesseret i at købe sig adgang til et enterprise-certifikat af iDeal Development, når det er muligt at købe det direkte hos Apple?

En mulig forklaring kan være, at personen eller personerne bag henvendelserne ikke ønsker eller kan betale Apple for certifikatet.

En af de mails, iDeal Development har modtaget fra nogen, der ønsker sig adgang til virksomhedens enterprise-certifikat, der giver adgang til at installere software på iOS uden om Apples App Store. Illustration: screenshot

En forklaring kunne være, at certifikatet skal bruges til lyssky formål, og at personerne bag derfor ønsker at være anonyme. I den forbindelse er det ifølge Esben Bjerregaard ikke trivielt at holde sig anonym, hvis man vil have sit eget certifikat fra Apple.

»Det kræver nemlig et gyldigt, legalt firma at oprettet et enterprise-certifikat. Der kan kun oprettes et certifikat pr. firmanavn. Firmanavnet kontrolleres og styres gennem det såkaldte D-U-N-S register. For at kunne oprette et enterprise-certifikat skal man have sit selskab registreret her. Dermed kan alle og enhver altså ikke lave et sådant certifikat,« fortæller Esben Bjerregaard.

Version2 har set to af de henvendelser, iDeal Development har fået vedrørende enterprise-certifikatet. Indholdsmæssigt minder de om hinanden.

I den ene mail tilbydes der et konkret beløb på 2.500 dollars (ca. 16.500 kroner). Meningen er lidt uklar, men det kan lyde til, at beløbet er for adgang til flere certifikater.

»Jeg tror det handler om, at man kan lave et antal certifikater til hver konto. Hvis vi laver 5 certifikater ud fra vores konto vil de betale 2500 USD,« fortæller Esben Bjerregaard.

Exodus

Exodus-spywaren er et eksempel på et fordækt formål, som et enterprise certifikat til iOS kan bruges til.

Forleden fortalte Wired på baggrund af arbejde begået af sikkerhedsfirmaet Lookout om Exodus. Det er overvågningssoftware, der er blevet distribueret ud til Android-enheder via Google Play, mens aktøren bag har forsøgt at bruge Apple’s Developer Enterprise Program til at forsøge at liste den ondsindede software på iOS-enheder.

Det har tidligere været fremme, at Exodus har eksisteret til Android, men iOS-versionen har ifølge Wired ikke været kortlagt.

Aktøren bag Exodus har ifølge Lookout enten ikke forsøgt eller har ikke formået at få softwaren i Apples App Store. I stedet er potentielle ofre via phishing-sider blevet gelejdet til en udgave af app’en, der har været signeret via et Apple-udvikler-certifikat.

Selvom en app signeret med sådan et certifikat kan installeres på en iOS-enhed, så er det »ikke helt let at komme til det ved et uheld,« som Esben Bjerregaard formulerede det i Version2's oprindelige fortælling om Exodus til iOS.

Brugeren skal således aktivt godkende certifikatet på sin enhed.

Generelt har Esben Bjerregaard dette råd:

»Helt generelt - ikke kun i app sammenhæng - skal man aldrig installere eller stole på et certifikat fra nogen, man ikke ved hvem er.«

Version2 har rettet henvendelse til Apple, blandt andet for at høre, om virksomheden er bekendt med handel med enterprise-certifikater. Apple er ikke umiddelbart vendt tilbage på vores henvendelse.

Har nogen af Version2's læsere oplevet tilsvarende forespørgsler om enterprise-certifikater, så fortæl eventuelt om det i debatten herunder eller skriv en mail til jak@version2.dk

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize