App Store bị lừa phê duyệt ứng dụng độc hại

App Store bị lừa phê duyệt ứng dụng độc hại

Để vượt qua quá trình xem xét của App Store, các nhà phát triển được cho là đã sử dụng React Native và CodePush để cập nhật các phần khác nhau của ứng dụng.

Apple hiện có quy trình xét duyệt nghiêm ngặt đối với các ứng dụng trên App Store, được đánh giá là khó khăn hơn gấp nhiều lần so với Play Store của Google. Tuy nhiên, một số chủ đầu tư mờ ám vẫn tìm mọi cách lách luật.

Mặc dù trước đây tôi đã nghi ngờ nhưng vấn đề này đã bắt đầu rồi 9to5mac Trang web đã đào sâu vào ứng dụng sau khi phát hiện ra nó vào tháng trước Thu thập thẻ: Hộp lưu trữ Đã có mặt trên App Store được hơn một năm. Phần mô tả không đề cập đến quá nhiều chức năng. Ảnh chụp màn hình hiển thị giao diện đơn giản, cho thấy đây là phần mềm quản lý ảnh và video.

Nhưng trên thực tế, sau khi được tải xuống, ứng dụng sẽ biến thành một nền tảng phát trực tuyến lậu với nội dung từ Netflix, Disney+, Amazon Prime Video, HBO Max và thậm chí cả Apple TV+. Mọi chuyện sáng tỏ khi phần mềm này lọt vào top 2 ứng dụng miễn phí được tải xuống nhiều nhất trên App Store Brazil.





Giao diện ứng dụng Collect Cards: một ô cửa hàng trên App Store chứa nội dung vi phạm bản quyền trực tuyến. Ảnh: 9to5mac

giao diện ứng dụng Thu thập thẻ: Hộp lưu trữ Trên App Store chứa đầy nội dung vi phạm bản quyền. hình ảnh: 9to5mac

Ban đầu, các nhà phát triển đằng sau nó được cho là đã sử dụng công nghệ định vị địa lý, sử dụng vị trí địa lý để xác định hoặc hạn chế các khu vực cụ thể, nhằm ngăn chặn bất kỳ ai ở Apple nhìn thấy chức năng thực sự của ứng dụng trên thiết bị và do đó vượt qua kiểm duyệt. Tuy nhiên, câu chuyện phức tạp hơn.

Khi phân tích mã nguồn Thu thập thẻ: Hộp lưu trữ Cũng như nhiều ứng dụng tương tự trên App Store, các chuyên gia 9to5mac Người ta nhận thấy rằng hầu hết chúng đều có chung một cơ sở mã ngay cả khi được phân phối bởi các tài khoản nhà phát triển khác nhau. Chúng được xây dựng trên React Native, một hệ thống đa nền tảng dựa trên tập lệnh java và sử dụng SDK CodePush của Microsoft, cho phép các nhà phát triển cập nhật nhiều phần khác nhau của ứng dụng mà không cần gửi phiên bản mới lên App Store.

Sử dụng React Native và CodePush không vi phạm quy định của App Store. Trên thực tế, có rất nhiều ứng dụng phổ biến làm được điều đó. Tuy nhiên, các nhà phát triển “độc hại” sử dụng kỹ thuật này để vượt qua quá trình xem xét của App Store.

Sau đó, nhà phát triển thực hiện cập nhật bằng cách sử dụng các tệp được cung cấp cho phần mềm phát trực tuyến lậu, thường được chia sẻ công khai trên các nền tảng như Github. Các API cụ thể được sử dụng để kiểm tra vị trí của thiết bị dựa trên địa chỉ IP của thiết bị và trả về dữ liệu như quốc gia, khu vực, thành phố và thậm chí cả kinh độ và vĩ độ ước tính.

Khi mở lần đầu tiên, ứng dụng sẽ đợi vài giây để gọi API định vị địa lý. Bằng cách này, quy trình xem xét tự động của App Store sẽ không tìm thấy bất kỳ điều gì bất thường trong mã ứng dụng của bạn. Dựa trên vị trí địa lý, ứng dụng không hiển thị giao diện ẩn. Nói cách khác, sau khi Apple phê duyệt một ứng dụng có chức năng cơ bản, các nhà phát triển sẽ sử dụng CodePush để cập nhật bất cứ thứ gì họ muốn. Cuối cùng, ứng dụng sẽ chạy chức năng thực sự của nó ở một vị trí “an toàn”.

Sau khi bài viết được xuất bản 9to5macApple đã gỡ bỏ các ứng dụng liên quan nhưng từ chối bình luận.

Theo tài liệu tòa án công bố năm 2021, nhóm xét duyệt App Store hiện có hơn 500 chuyên gia và chịu trách nhiệm xem xét hơn 100.000 ứng dụng mỗi tuần. Apple cũng sử dụng hệ thống đánh giá tự động trước khi chuyển sang quy trình đánh giá thủ công.