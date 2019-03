Toen Apple zijn enterprise-developer certificeringsprogramma opstartte - waarmee bedrijven hun eigen interne apps voor personeel beschikbaar kunnen stellen via iTunes - moest het een belangrijke beslissing nemen qua gemak versus beveiliging: hoeveel moesten IT-beheerders doen om hun interne apps te kunnen pushen. Het bedrijf koos voor gemak en je kunt wel raden wat er vervolgens gebeurde.

Twijfelachtige apps; legitiem platform

Volgens de verhalen in de media gebruikten softwarepiraten het enterprise-programma om aangepaste versies van populaire apps - inclusief Spotify, Angry Birds, Pokémon Go en Minecraft - te distribueren en anderen gebruikten het platform om porno-apps of gok-apps uit te rollen. Het enige wat de slechteriken hoefden te doen is liegen tegen een Apple-vertegenwoordiger dat ze zaken deden met een legitiem bedrijf. Apple deed verder geen moeite in het verifiëren van deze beweringen.

Apple heeft nu twee opties: de zakelijke certificering ernstig beperken of resources investeren in de verificatie van ontwikkelaars voordat ze toegang krijgen tot het platform. Iedereen die Apple al langer volgt weet welke van de twee het wordt. Hint: het programma maakt het makkelijker voor bedrijven om iOS-apparaten in te zetten, maar levert weinig directe omzet op. Het inzetten van personeel om dit probleem op te lossen terwijl de iPhone-verkoop worstelt lijkt onwaarschijnlijk.

Het 2FA-element

Laten we eens kijken naar wat er is gebeurd. Eerst kwam persbureau Reuters met het verhaal van de softwarepiraten. "Deze piraten leveren aangepaste versies van populaire apps aan consumenten, zodat ze muziek kunnen streamen zonder advertenties of om regels of aankopen in games te omzeilen, zodat Apple en legitieme app-ontwikkelaars omzet mislopen", aldus dat artikel. "Apple bevestigde een verhaal dat tweefactor-authenticatie - het gebruiken van een code die naar de telefoon wordt gestuurd naast het gebruiken van een wachtwoord - vereist is om vanaf eind februari in te loggen op een ontwikkelaarsaccount, wat certificeringsmisbruik zou kunnen voorkomen."

Twee punten van kritiek daarop. Ten eerste is het sms'en van een 2FA-code vragen om een man-in-the-middle-aanval, iets wat een piraat zeker niet zal nalaten. Er zijn veel veiligere 2FA-opties. Ten tweede, dit verifieert alleen dat de persoon die de account aanmaakte dezelfde persoon is die nu om toegang vraagt. Dat pakt het echte issue niet aan, namelijk dat ze van meet af aan frauduleuze applicaties waren.

Makkelijke procedure - té makkelijk

Een vervolgartikel kwam van TechCrunch en ging over het uitrollen van porno- en gok-apps op het platform. Dat artikel gaf meer details prijs over hoe makkelijk het was om deze fraude te plegen, gezien Apple's aanpak om het ontwikkelaars zo makkelijk mogelijk te maken.

"Ontwikkelaar hoeven alleen maar een formulier online in te vullen en 299 dollar te betalen aan Apple, zoals je kunt lezen in deze gids van Calvium. Het formulier vereist ontwikkelaars dat ze verklaren een Enterprise Certificate app bouwen voor gebruik door werknemers, dat ze de juridische macht hebben om deze business uit te voeren, een D-U-N-S bedrijfs-ID opgeven en dat ze een Mac hebben die up-to-date is", zo beschrijft TechCrunch.

"Je kunt een bedrijfsadres makkelijke googelen en D-U-N-S ID opzoeken met een tool die Apple levert. Na het instellen van een Apple ID en het bevestigen van de gebruikersovereenkomst, moeten bedrijven één tot vier weken wachten op een telefoontje van Apple waarin wordt gevraagd om een nieuwe bevestiging dat apps alleen intern worden uitgerold en dat ze geautoriseerd zijn om namens het bedrijf te handelen. Met slechts een paar leugens aan de telefoon en wat te googelen informatie kunnen twijfelachtige ontwikkelaars worden goedgekeurd voor een Apple Enterprise Certificate."

Waarom op deze manier?

Apple heeft dit proces vergemakkelijkt vanuit een beveiligingsperspectief (wat een slecht idee is) maar bezwaarlijk is vanuit een IT-perspectief. Om het scherp te zeggen: het bedrijf maakte het vrij makkelijk voor criminelen, terwijl legitieme IT'ers door een hoop hoepels moesten springen.

Omdat Apple al medewerkers liet bellen om de bedrijven te verifiëren, waarom dan geen extra telefoontje naar het bedrijf achter het D-U-N-S-nummer om te zien of die daadwerkelijk dat verzoek heeft gemaakt? Apple zou naar de contactpersoon kunnen vragen om te zien of alles in de haak is. Als die niet bestaat, is dat een goede reden om goedkeuring te pauzeren of zelfs af te wijzen. Idealiter pauzeer je het en vraag je om uitleg bij de aanvrager. Het kan immers zijn dat de receptie die je belt de juiste contactpersoon simpelweg niet kan vinden.

Dat gezegd hebbende, zo'n verificatieproces zorgt ervoor dat Apple meer arbeidsuren moet steken in authenticatie en het is maar de vraag of dat financieel gezien de moeite waard is voor het bedrijf. Maar Apple, als je deze regels wilt handhaven, handhaaf ze dan ook. Mensen een heleboel formulieren laten invullen en een maand laten wachten op een telefoontje slaat eigenlijk nergens op als niemand de antwoorden verifieert.