关于重签名合法性的问题

需求: 公司是做EMM的,持有企业级开发者账户。重签名的目的主要是为了进行用户行为监测和控制。

操作步骤: 目标用户是一些大企业。这些企业购买我的安全监测平台,在平台上对他们开发好的一些企业级应用进行代码注入,注入一个监测用的动态库,随后通过脚本语言进行重签名。问题在于,重签名脚本里面用到的描述文件是唯一的。给多个应用进行重签名,并通过MDM进行批量分发的话,会不会出现苹果封杀证书的问题?
类似的问题出现在了某公众号的重签名迅雷上面,如果我按照上面的签名逻辑进行操作,会不会也有证书被吊销的风险呢?

只签名客户自己开发的app应该是么的问题的吧,具体参见Apple文档,请

安卓端机制跟我们一样的,用户那边开发完了功能,打成安装包,再到我们平台来注入,重签名。这样就省去了联合开发,不用把库丢给人家去集成。可毕竟最后要把加固平台交给用户管理,也不知道他们会不会由着性子用企业级账号重签名各种APP。。。钉钉这种虽然说签不上,有防护,但墨迹天气这种,随便签的说。

最近这企业签封的很厉害,都是被搞灰/黑产的玩坏的,自家用的企业签证书个人建议不要怎么玩

还有个人开发者证书也开始大批量封了 ADP 3.2(f)

这跟安卓有什么关系?

我想说的是安卓,iOS两个平台面向用户的使用逻辑目前都是一样的。
like this:AD192AAB-E04B-489B-B062-3A7767B8D119
可以上传任何ipa包过来,通过脚本进行注入跟重签名哦。签好名可以通过MDM下发给用户。大概会有几万台设备,比较商业化。

前段时间,我同事跟我说个人开发者证书被炒到4000一个 ROFL

说我知道的几个使用场景:
1 云测
客户打好包,放到他们平台跑自动化测试什么的,我们是他们客户。他们企业证书重签数量过多,被封过。
2 蒲公英
提供重签服务,被涉赌App用了,然后平台凉凉了? 待确认。

我觉得楼主提的这些,商业化运营的话,风险很大。