苹果公司不断宣传其在应用程序和 App Store 安全方面所采取的广泛措施。它拥有一大批人工审查员和工具来审查提交的应用程序。然而,开发者仍然会让恶意应用程序通过检查。以下是他们使用的一些技术,以及苹果可以采取哪些措施来阻止他们。
苹果公司采用全面的安全措施来保护其应用程序免遭恶意软件和篡改。用户只能从 App Store 下载 iOS 和 iPadOS 应用程序,这些应用程序首先要经过全面的审查。这项全面的工作结合了自动化系统和人工审核人员,以保持高安全标准。公司的应用程序审查团队由 500 多名专家组成,他们每周必须对大约 132500 个提交的应用程序进行评估,并使用各种工具检测潜在的欺诈和侵犯隐私行为。尽管做出了这些努力,但仍有一些恶意应用程序漏网。
今年夏天早些时候,9to5Mac 曾报道过一款伪装成照片管理工具的盗版流媒体应用程序,通过使用基于位置的功能来隐藏其真实目的,从而成功绕过了苹果公司的 App Store 审核团队。
一款名为"收集卡片:Store Box"在 App Store 上架一年多,最终成为巴西下载量第二大的免费应用程序,随后被下架。该应用向美国苹果公司的审核人员展示了一个简单的界面,同时提供来自 Netflix、Disney+、Amazon Prime Video、HBO Max 甚至其他地区 Apple TV+ 的盗版内容。通过向美国用户隐藏所有与流媒体相关的功能,苹果员工只看到了一个以照片和视频为主的简化版本。
尽管采取了各种预防和筛选措施,苹果公司仍在不停地应对着猫捉老鼠的游戏,试图在把开发者的应用程序放到商店之前识别并挫败他们的欺骗手段。不难想象,Google也面临着类似的问题,它每年都会在 Google Play 上清除数以百计的不良应用程序。
不过,苹果公司已经阻止了很多欺诈活动。去年,苹果公司因欺诈和滥用行为封杀了超过 1.53 亿个虚假用户账户,停用了近 3.74 亿个开发者账户。苹果还表示,在过去的 12 个月里,它发现并阻止了盗版店面上的 4.7 万多个非法应用程序接触用户。不幸的是,不良分子不断改进他们的方法,试图通过诱骗战术和隐藏功能等复杂技术规避苹果公司的保护措施。
另一个基于位置的欺骗案例发生在 2017 年,Uber 被指控在苹果公司库比蒂诺总部周围建立了一个"地理围栏"。对于在该区域内使用该应用的任何人,包括苹果公司的审查团队,该应用会自动禁用 Uber 用来在网络上对用户进行指纹识别和追踪的代码。
除了基于位置的功能外,不法开发商还有更多的方法可以利用。这些方法利用了苹果审查程序的局限性,即无法在不同地点或长时间对应用程序进行彻底的测试。
其中一种策略是使用 React Native 和微软的 CodePush SDK,它允许开发者在批准后更新应用程序的部分内容,而无需提交新的构建。另一种方法是将地理位置 API 调用延迟几秒钟,以逃避自动审查时的检测。
一些开发人员在审核过程中只提供基本的合规功能,之后却利用 CodePush 引入隐藏或恶意功能。还有一些开发者通过不同的开发者账户发布具有共享代码库的多个应用程序,从而使跟踪和删除所有实例的工作变得更加复杂。
在更具有欺骗性的情况下,应用程序伪装成无辜的软件,但在获得批准后会变成完全不同的东西。要想阻止开发者玩弄这些把戏几乎是不可能的。
不过,苹果可以改进其应用程序提交流程。例如,审查团队可以实施额外的测试,检查软件在其他地方的行为。苹果还可以更积极主动地发现并删除 App Store 中的欺诈行为,而不是被动地接受安全研究人员的指引。