นักพัฒนาหลอกการรีวิว App Store เพื่อให้แอปอันตรายได้รับการอนุมัติได้อย่างไร

 (9to5mac.com)
2 คะแนน โดย GN⁺ 2024-08-05 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • แอป "Collect Cards" ขึ้นไปอยู่ในอันดับต้น ๆ ของการดาวน์โหลดแอปฟรีในบางประเทศ
  • หลังจากรายงานของ 9to5Mac ทาง Apple ได้ลบแอปดังกล่าวออก แต่แอปเดียวกันในเวอร์ชันอื่นก็กลับมาวางบน App Store อีกครั้ง
  • การวิเคราะห์ทางเทคนิค:
    • แอปใช้โค้ดเบสร่วมกัน และเผยแพร่ผ่านบัญชีนักพัฒนาคนละบัญชี
    • สร้างบน React Native และใช้ CodePush SDK ของ Microsoft เพื่ออัปเดตบางส่วนของแอปได้โดยไม่ต้องส่งบิลด์ใหม่ไปยัง App Store
    • เทคโนโลยีเหล่านี้ไม่ได้ละเมิดกฎของ App Store
  • เทคนิคของนักพัฒนาไม่หวังดี:
    • นักพัฒนาไม่หวังดีนำเทคโนโลยีเหล่านี้ไปใช้ในทางที่ผิดเพื่อหลบเลี่ยงการรีวิวของ App Store
    • มี GitHub repository บางแห่งที่ให้ไฟล์สำหรับแอปสตรีมมิงเถื่อนหลายตัว
    • ใช้ API ตามตำแหน่งที่ตั้งเพื่อตรวจสอบตำแหน่งของอุปกรณ์
    • เมื่อเปิดแอปครั้งแรก จะรออยู่ไม่กี่วินาทีก่อนเรียกใช้ geolocation API
    • ทำให้กระบวนการรีวิวอัตโนมัติของ App Store ไม่พบสิ่งผิดปกติในโค้ดของแอป
    • จะแสดงอินเทอร์เฟซที่ซ่อนอยู่เฉพาะเมื่ออยู่ในตำแหน่งที่ปลอดภัยที่กำหนดเท่านั้น

สิ่งที่ Apple สามารถทำได้

  • การปรับปรุงระบบรีวิว:
    • Apple สามารถเพิ่มการทดสอบเพิ่มเติมเพื่อตรวจสอบพฤติกรรมของแอปในตำแหน่งต่าง ๆ ได้
    • ควรค้นหาและลบแอปหลอกลวงอย่างจริงจังมากกว่านี้
  • กรณีในอดีต:
    • ในปี 2017 Uber ถูกกล่าวหาว่าตั้งขอบเขตทางภูมิศาสตร์รอบสำนักงานใหญ่ของ Apple
    • เมื่อแอปทำงานภายในขอบเขตดังกล่าว มันจะปิดโค้ดติดตามผู้ใช้โดยอัตโนมัติ
    • ดูเหมือนว่า Apple จะยังดำเนินมาตรการเพื่อป้องกันสถานการณ์ลักษณะนี้ได้ไม่เพียงพอ
  • สถานการณ์ปัจจุบัน:
    • ตามเอกสารปี 2021 ทีมรีวิว App Store ประกอบด้วยผู้เชี่ยวชาญมากกว่า 500 คน และรีวิวแอปมากกว่า 100,000 รายการต่อสัปดาห์
    • แอปส่วนใหญ่ต้องผ่านกระบวนการรีวิวอัตโนมัติก่อนเข้าสู่การรีวิวแบบแมนนวล
  • ปฏิกิริยาอย่างเป็นทางการของ Apple:
    • หลังบทความของ 9to5Mac โฆษกของ Apple ระบุว่าแอปดังกล่าวถูกลบออกจาก App Store แล้ว แต่ไม่ได้กล่าวอย่างชัดเจนถึงมาตรการเพื่อป้องกันไม่ให้แอปคล้ายกันอื่น ๆ ได้รับการอนุมัติ

ความเห็นของ GN⁺

  • บทความนี้แสดงให้เห็นอย่างละเอียดถึงการมีอยู่ของแอปอันตรายที่ใช้ประโยชน์จากช่องโหว่ของระบบรีวิว App Store
  • สะท้อนว่าแม้ Apple จะมีระบบความปลอดภัยที่แข็งแกร่งทางเทคนิค แต่ก็ยังต้องการกลไกการรีวิวที่ซับซ้อนยิ่งขึ้น
  • สำหรับผู้ใช้ การตรวจสอบรีวิวและชื่อเสียงก่อนดาวน์โหลดแอปยังคงเป็นสิ่งสำคัญ
  • App store บนมือถือแห่งอื่นก็อาจเผชิญปัญหาคล้ายกันได้ จึงควรยกระดับโปรโตคอลความปลอดภัยในระดับอุตสาหกรรม
  • เมื่อนำเทคโนโลยีใหม่หรือโอเพนซอร์สมาใช้ ควรพิจารณาประเด็นด้านความปลอดภัยอย่างรอบด้าน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-08-05
ความเห็นจาก Hacker News

  • แม้จะทำให้กลยุทธ์ geofencing ของ Apple ใช้ไม่ได้ การซ่อนพฤติกรรมก็ยังทำได้ง่าย

    • เรียก API ไปยังเซิร์ฟเวอร์ด้วยหมายเลขบิลด์ของแอป
    • ใช้การตอบกลับของ API เพื่อควบคุมว่าจะเปิดใช้ฟีเจอร์ "ลับ" หรือไม่
    • เปิดใช้ฟีเจอร์ลับของแต่ละบิลด์เฉพาะหลังจากผ่านการรีวิวแล้ว
    • ไม่จำเป็นต้องใช้โค้ดแบบ dynamic/interpreted
    • วิธีนี้สามารถลดรูปเป็นปัญหา halting problem ได้ จึงตัดสินไม่ได้

  • ใช้กลยุทธ์ตามเวลาเมื่อพยายามยัดเยียดพฤติกรรมที่ Apple ไม่ชอบ

    • เปลี่ยนพฤติกรรมของปุ่มหลังส่งแอปไปแล้ว 20 วัน
    • ทำให้กล่องโต้ตอบ "เปิดไฟล์" ไปยังไดเรกทอรีรากของผู้ใช้โดยตรง

  • คำอธิบายถ้อยคำของ Apple เกี่ยวกับการอัปเดตแบบ dynamic

    • ห้ามดาวน์โหลดหรือติดตั้งโค้ดที่รันได้
    • อนุญาตให้ดาวน์โหลดโค้ดที่ถูกตีความได้ แต่ต้องเป็นไปตามเงื่อนไขต่อไปนี้
      • ต้องไม่เปลี่ยนวัตถุประสงค์หลักของแอป
      • ต้องไม่สร้างสโตร์สำหรับโค้ดหรือแอปอื่น
      • ต้องไม่หลีกเลี่ยงการลงลายเซ็น sandbox หรือฟีเจอร์ความปลอดภัยอื่น

  • แอปหลอกลวงส่วนใหญ่รีดเงินผ่านการสมัครสมาชิกรายสัปดาห์

    • มีกรณีใช้งานของ weekly pass แบบไม่ต่ออายุอัตโนมัติอยู่จริง (เช่น แอป VPN ระหว่างเดินทาง)
    • การเรียกเก็บเงินรายสัปดาห์แบบต่ออายุอัตโนมัติต้องได้รับการอนุมัติด้วยตนเอง
    • ไม่ควรอนุญาตให้ทุกแอปใช้การเรียกเก็บเงินรายสัปดาห์แบบต่ออายุอัตโนมัติได้

  • ในปี 2021 ทีม App Store Review ตรวจสอบแอปมากกว่า 100,000 แอปต่อสัปดาห์

    • หากสมมติว่าผู้ตรวจใช้เวลา 100% ไปกับการรีวิว จะมีเวลาเฉลี่ยประมาณ 12 นาทีต่อแอป

  • การเรียกแอปละเมิดลิขสิทธิ์ว่าเป็น "มัลแวร์" ถือว่าเกินจริง

    • น่าสงสัยด้วยซ้ำว่าคำกล่าวนั้นมาจากเจ้าของลิขสิทธิ์หรือไม่

  • สหรัฐฯ ต้องการกฎหมายแบบ DMA

    • บริษัทเดียวไม่ควรจับผู้ใช้ในสหรัฐฯ มากกว่า 60% เป็นตัวประกัน
    • Apple และ Google ไม่ควรได้ส่วนแบ่ง 15% ถึง 30% ของรายได้ทั้งหมดที่เกิดขึ้นในตลาดแอปมือถือ

  • มีคนหลายพันคนในช่อง/กลุ่ม Telegram ที่สนใจแอปล่าสุดซึ่งผ่านการรีวิวของแอปสโตร์แล้ว

    • ใช้งานจนกว่า Apple จะจัดการ แล้ววงจรก็เริ่มใหม่อีกครั้ง
    • ยังมีตลาดสำหรับใบรับรองการลงนามและสล็อตเครื่องนักพัฒนา Apple ด้วย

  • หลายแอปเป็นเพียง webview ของหน้าเว็บระยะไกล

    • อัปเดตทุกครั้งที่เซิร์ฟเวอร์อัปเดตหน้า
    • ไม่ต้องผ่านการรีวิว

  • บางแอปจะถูกมนุษย์ตรวจสอบก็ต่อเมื่อได้รับความนิยมมากพอแล้ว

    • กรณี Skacz Kurwa เป็นตัวอย่าง
    • แม้ชื่อจะไม่เหมาะกับครอบครัว แต่ก็ได้รับความสนใจอย่างมาก