这一年来苹果封杀企业证书很厉害,网上有很多包月代签的服务,价格不等。 陆陆续续安装了一些他们的应用,发现一个很奇怪的现象,很多不同的包都用的相同的企业证书, 而且基本可以确定这些证书全是大机构的,有看到过中国电信,花旗银行,上海宝洁,甚至看到过支付宝。 贴下最近收集到的一些企业证书的名称。。
SIIC Shangehai(Holding) Co.,LTD
Guangzhou JianQiao Automation Technology LTD.
Beijing VRV Software Corporation Limited.
Shanghai Leading Investment Consulting Co.,LTD
Hunan DASN Design Engineering Co.,LTD
才开始注意这个问题的时候怀疑是开发者证书泄漏了,到后来看到越来越多的企业的名称, 证书被封之后又会看到新的企业出现,基本上都是大公司。
是不是有人掌握了苹果企业证书的算法,分发给多个代理商出来签名。 不然黑产怎么会有这多公司的证书。
1
guangguoguo 2019-07-27 15:59:13 +08:00
不会真有漏洞吧? 会不会就苹果员工监守自盗,或者服务器被黑之类的。
|
2
woaiyou 2019-07-27 17:09:53 +08:00
哥们,你很细心,你平时是研究哪方面的呢 有机会合作
|
3
txx 2019-07-27 17:18:55 +08:00
因为一个 P12 的私钥 1000 一个月
|
4
jaskle 2019-07-27 17:27:01 +08:00 via Android
个人感觉流程问题,很多公司新进的员工都可以拿到公司产品源码。正规公司签名打包应该全自动,提交 Git 自动完成无人参与,自然也拿不到根证书
|
5
laoyur 2019-07-27 19:37:51 +08:00
问题是,楼主你怎么有机会接触到这么多自签名包的……
|
6
devjia 2019-07-27 21:56:47 +08:00 via iPhone
因为经常会有人找我们买证书啊,我比较怂不敢卖怕账号翻车,但是钱到位了总会有大佬搞一波儿。
|
7
Dashit OP |
9
tulongtou 2019-07-27 23:01:03 +08:00
感觉基本上各个卖签名的上游都是一家
|
11
hamani888 2019-07-28 09:55:13 +08:00
现在连个人签名都能自动化完成了,都有 api 接口了。
|
14
qq2511296 2019-07-29 13:55:50 +08:00
其实就是有人卖了公司的企业证书 p12 啦 内部员工自己泄露 没办法
|
17
ipfstech 2019-07-29 15:57:56 +08:00
老铁,有过 iOS APP 美国 App Store 上架的经验吗?
|
18
yollllllll 2019-07-29 16:13:51 +08:00
@zjb861107 蒲公英就支持个人证书的 API 接口了
|
19
Dashit OP @zjb861107 @yollllllll 蒲公英是用 99$的开发者加 udid 来签名的
|
24
sanmaozhao 2019-07-30 08:48:03 +08:00
光有 p12 证书是不是还不行啊,没有开发者账号的话,生成不了 mobileprovision 描述文件吧?
所以被盗可能性不大,都是主动泄露出来的? |
25
Dashit OP @sanmaozhao 描述文件好说,找个证书对应公司的企业签名的包解压拿出来就能用。
|
27
sanmaozhao 2019-07-30 09:20:30 +08:00
@Dashit 拿别的 ipa 里面的描述文件,就意味着 app id 和原 ipa 相同,安装上就会互相覆盖。感觉还是不太好用啊。
有用过的能来确认一下描述文件是咋来的吗? |
28
Dashit OP @sanmaozhao
不会覆盖的,bundleID 不一样就行。
|
29
sanmaozhao 2019-07-30 09:53:55 +08:00
@Dashit 描述文件里面指定了 bundleID,所以拿别的 ipa 的描述文件,bundleID 必然相同
|
30
Dashit OP @sanmaozhao bundleID 是在 plist 里的,和描述文件没关系。一个描述文件+p12 能签名任意应用,且不会覆盖。这个我试过了。
|
31
sanmaozhao 2019-07-30 10:38:15 +08:00
@Dashit
我想起来了,描述文件里面是绑定了 bundleID 的,但是可以指定 com.xxxx.*这种通配的。你说的应该是这种情况。 我们的 ipa 都需要推送功能,所以无法指定通配 bundleID,一时间就忘了这种情况了。 |
32
dakage 2019-12-20 00:31:56 +08:00
我朋友在老虎 IO 签的,蛮稳定的
|
33
Ge5K6kTbEl8QKAYB 132 天前
我要高价购买个 IOS 企业证书 联系我啊
|