Jak programiści oszukują App Store, aby zatwierdził złośliwe aplikacje


Niedawno informowaliśmy o jak wiele pirackich aplikacji do streamingu na iOS uzyskało akceptację w App Store oszukując proces recenzji. Chociaż krótko wspomnieliśmy o niektórych technikach stosowanych przez tych deweloperów, 9to5Mac przyjrzał się teraz bliżej temu, w jaki sposób aplikacje te są projektowane w celu oszukania Apple.

Techniki stosowane przez deweloperów w celu ominięcia przeglądu App Store

W zeszłym miesiącu aplikacja o nazwie „Collect Cards” znalazła się na szczycie rankingu najczęściej pobieranych bezpłatnych aplikacji w App Store w niektórych krajach. Po naszym raporcieApple usunął aplikację – ale wiele innych wersji tej samej aplikacji zostało później wydanych w App Store. Ale jak dokładnie deweloperzy są w stanie oszukać zespół recenzentów App Store?

W naszym oryginalnym raporcie wyjaśniliśmy, że te aplikacje wykorzystują geofence, aby uniemożliwić komukolwiek w Apple zobaczenie, do czego aplikacja jest faktycznie zdolna. Jednak analizując kod tych aplikacji, mamy teraz lepsze pojęcie, jak to się dzieje.

Jak się domyślamy, te aplikacje mają tę samą bazę kodu – nawet jeśli są dystrybuowane przez różne konta deweloperów. Są zbudowane na React Native, wieloplatformowym frameworku opartym na JavaScript i używają pakietu CodePush SDK firmy Microsoft, który umożliwia deweloperom aktualizowanie części aplikacji bez konieczności wysyłania nowej kompilacji do App Store.

Tworzenie aplikacji React Native i korzystanie z CodePush nie jest sprzeczne z zasadami App Store. W rzeczywistości istnieje wiele popularnych aplikacji, które to robią. Jednak złośliwi programiści wykorzystują te technologie, aby ominąć przegląd App Store.

Reklama

Jedna z analizowanych przez nas aplikacji 9to5Mac wskazuje na Repozytorium GitHub który wydaje się dostarczać pliki dla wielu pirackich aplikacji do przesyłania strumieniowego. Ta aplikacja również używa konkretny interfejs API aby sprawdzić lokalizację urządzenia na podstawie adresu IP. Zwraca dane takie jak kraj, region, miasto, a nawet szacowaną długość i szerokość geograficzną.

Gdy aplikacja jest otwierana po raz pierwszy, czeka kilka sekund, aby wywołać API geolokalizacji. W ten sposób zautomatyzowany proces przeglądu App Store nie widzi niczego niezwykłego w kodzie aplikacji. Sprawdziliśmy również zachowanie aplikacji, uruchamiając ją przez serwer proxy, aby sfałszować naszą lokalizację w San Jose w Kalifornii. W przypadku tej lokalizacji aplikacja nigdy nie ujawnia swojego ukrytego interfejsu.

Aplikacja do strumieniowego przesyłania pirackiego na iOS oszukana w App Store Recenzja, aby uzyskać zatwierdzenie od Apple

Po zatwierdzeniu przez Apple aplikacji z jej podstawowymi funkcjonalnościami, deweloperzy używają CodePush, aby zaktualizować ją o wszystko, czego chcą. Następnie aplikacja ujawnia swój prawdziwy interfejs w „bezpiecznych” lokalizacjach.

Co Apple może z tym zrobić?

Oczywiście, Apple nie jest odporne na aplikacje próbujące oszukać jego system recenzji. Jednak firma mogłaby go ulepszyć, wdrażając dodatkowe testy sprawdzające zachowanie aplikacji w innych lokalizacjach. Jednocześnie Apple powinno bardziej proaktywnie znajdować i usuwać aplikacje oszustwa z App Store.

W 2017 roku Uber został oskarżony o pracę nad „geofence” dla siedziby Apple w Cupertino. Gdy aplikacja była uruchamiana wewnątrz tego geofence, automatycznie wyłączała kody używane do odcisku palca i śledzenia użytkownika w sieci. Mimo to wydaje się, że Apple nie zrobiło wiele, aby zapobiec innym sytuacjom tego typu.

W 2021 roku dokumenty ujawniły, że Zespół recenzentów App Store składa się z ponad 500 ekspertów, którzy co tydzień recenzują ponad 100 000 aplikacji. Mimo to zdecydowana większość aplikacji przechodzi przez zautomatyzowane procesy przeglądu, aby sprawdzić, czy naruszają wytyczne App Store, zanim zostaną poddane ręcznemu procesowi przeglądu.

Po opublikowaniu naszych artykułów rzecznik Apple powiedział: 9to5Mac że aplikacje zostały usunięte z App Store, ale nie podano żadnych szczegółów na temat środków, jakie firma podjęła, aby uniemożliwić zatwierdzenie podobnych aplikacji.

FTC: Używamy linków afiliacyjnych generujących dochód. Więcej.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

ASUS ogłasza bezprzewodową mysz MD102

ASUS ogłosił dziś Wireless Mouse MD102, ergonomiczną mysz dostępną w trzech odcieniach - White, Oat Milk i Dark Gray. Oferuje niemal bezgłośne kliknięcia...

SK hynix prezentuje ulepszone rozwiązanie AiMX na konferencji AI Hardware and Edge AI Summit 2024

SK hynix zaprezentował ulepszoną kartę Accelerator-in-Memory based Accelerator (AiMX) podczas AI Hardware & Edge AI Summit 2024, która odbyła się w dniach 9-12...

Sklep Apple Store jest niedostępny przed rozpoczęciem przedsprzedaży iPhone’a 16

Sklep Apple Store jest niedostępny, a przed rozpoczęciem przedsprzedaży iPhone'a 16, iPhone'a 16 Plus, iPhone'a 16 Pro, iPhone'a 16 Pro Max i Apple...
Advertisment