4月10日消息，近日，據國外媒體TechCrunch報道，移動安全公司Lookout發現，一款強大的間諜軟件正瞄準iPhone用戶，並竊取他們的隱私信息。

　　研究人員宣稱，這款軟件的開發者濫用了蘋果公司頒發的企業證書，繞過其應用商店審查，感染毫無戒心的受害者設備。這種僞裝軟件被安裝後，它可以悄無聲息地獲取受害者的聯繫人、音頻記錄、照片、視頻和其他設備信息，包括他們的實時位置數據。

　　研究人員發現，這款應用還可以被遠程觸發，監聽人們的談話。儘管沒有數據顯示誰可能成爲攻擊目標，但研究人員指出，這款惡意應用出現在意大利和土庫曼斯坦手機運營商的虛假網站上。此前，也曾出現針對安卓設備的類似間諜軟件Exodus。

　　Lookout高級安全情報工程師亞當·鮑爾（Adam Bauer）表示，這兩款軟件都使用了相同的後端基礎設施，而iOS版本使用了多種技術，使得分析網絡流量變得非常困難，顯然有專業團體負責開發這些軟件。

　　研究人員表示，他們不知道有多少蘋果用戶受到了影響。蘋果還沒有就此置評。

　　蘋果企業證書已經不是第一次被爆出此類醜聞了。

　　蘋果企業賬號（Apple Developer Enterprise Program）是蘋果公司提供給 iOS 開發者的一種高級別的開發者賬號，區別於個人開發者賬號和公司開發者賬號，企業賬號具有如下特點：價格比個人賬號和公司賬號更貴，爲 299$/年不可以提交應用到 App Store 商店可以將簽名後的應用在任何 iOS 設備上安裝，且沒有安裝數量的限制其中，正是由於第3條的特點，給開發者在測試和分發 App 時，帶來了極大的便利。所以，一般開發者申請使用蘋果企業賬號（或蘋果企業簽名），也是爲了這個特點。

　　但是，因爲蘋果對於 App 的安裝有着非常嚴格的限制，所以蘋果對企業賬號的使用也給出了種種嚴格的條款，詳見：Apple Developer – Terms and Agreements 。其中，最重要的條款是：使用企業賬號簽名後的應用，只可以用於企業內部員工安裝，不可以公開下載。

　　不法分子正是利用這個漏洞進行上下游的違法犯罪活動。

　　之前Freebuf曾發佈了一篇文章表示，有個別不法分子通過濫用和購買企業證書打包非法App的情況，通過某網站在線安裝ipa ,跨過Appstore的形式，傳播大量涉黃涉賭應用，專坑中國人。文章指出，舉出漏洞URL只是冰山一腳，按規模總涉案金額可能達數萬億，蘋果產品官網包括蘋果開發者官網目前無投訴舉報入口，肆意讓這些質量很差又違法的App坑人。