Geliştiricilerin kötü amaçlı uygulamaları onaylatmak için App Store incelemesini kandırma yöntemi

 (9to5mac.com)
2 puan yazan GN⁺ 2024-08-05 | 1 yorum | WhatsApp'ta paylaş
  • "Collect Cards" uygulaması bazı ülkelerde ücretsiz uygulama indirme sıralamasında üst sıralara çıktı.
  • 9to5Mac'in haberinin ardından Apple ilgili uygulamayı kaldırdı, ancak aynı uygulamanın başka bir sürümü yeniden App Store'da yayınlandı.
  • Teknik analiz:
    • Uygulama aynı kod tabanını paylaşıyor ve farklı geliştirici hesaplarından dağıtılıyor.
    • React Native tabanlı olarak geliştirildi ve Microsoft'un CodePush SDK'sini kullanarak App Store'a yeni bir build göndermeden uygulamanın bazı bölümlerini güncelleyebiliyor.
    • Bu teknikler App Store kurallarını ihlal etmiyor.
  • Kötü amaçlı geliştirici taktikleri:
    • Kötü niyetli geliştiriciler bu teknikleri kötüye kullanarak App Store incelemesini aşıyor.
    • Belirli bir GitHub deposu, birden fazla korsan yayın uygulaması için dosyalar sağlıyor.
    • Cihazın konumunu kontrol etmek için konum tabanlı API kullanılıyor.
    • Uygulama ilk açıldığında coğrafi konum API'sini çağırmadan önce birkaç saniye bekliyor.
    • Böylece App Store'un otomatik inceleme süreci uygulamanın kodunda olağandışı bir şey tespit edemiyor.
    • Gizli arayüz yalnızca belirli güvenli konumlarda ortaya çıkıyor.

Apple'ın yapabilecekleri

  • İnceleme sistemini iyileştirme:
    • Apple, uygulamanın farklı konumlardaki davranışını kontrol etmek için ek testler uygulayabilir.
    • Dolandırıcı uygulamaları daha proaktif biçimde bulup kaldırması gerekiyor.
  • Geçmiş örnek:
    • 2017'de Uber, Apple genel merkezi etrafında coğrafi sınır oluşturmakla suçlanmıştı.
    • Uygulama bu coğrafi sınır içinde çalıştığında, kullanıcıyı izleyen kodu otomatik olarak devre dışı bırakıyordu.
    • Apple'ın bu tür durumları önlemek için yeterli adımı atmadığı görülüyor.
  • Mevcut durum:
    • 2021 tarihli belgelere göre App Store inceleme ekibi, 500'den fazla uzmandan oluşuyor ve her hafta 100.000'den fazla uygulamayı inceliyor.
    • Uygulamaların çoğu, manuel inceleme sürecine geçmeden önce otomatik inceleme sürecinden geçiyor.
  • Apple'ın resmi yanıtı:
    • 9to5Mac'in haberinden sonra Apple sözcüsü, ilgili uygulamanın App Store'dan kaldırıldığını söyledi; ancak benzer diğer uygulamaların onaylanmasını engelleyecek önlemler konusunda somut bir açıklama yapmadı.

GN⁺ görüşü

  • Bu yazı, App Store inceleme sistemindeki açıkları istismar eden kötü amaçlı uygulamaların varlığını ayrıntılı biçimde gösteriyor.
  • Apple teknik olarak güçlü güvenlik sistemlerine sahip olsa da daha sofistike bir inceleme mekanizmasına ihtiyaç olduğunu düşündürüyor.
  • Kullanıcılar açısından, uygulama indirmeden önce yorumları ve itibarı kontrol etmek önemli.
  • Diğer mobil uygulama mağazaları da benzer sorunlar yaşayabileceğinden, sektör genelinde güvenlik protokollerinin güçlendirilmesi gerekiyor.
  • Yeni teknolojiler veya açık kaynak benimsenirken güvenlik boyutunun yeterince dikkate alınması gerekiyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-08-05
Hacker News görüşleri

  • Apple'ın geofencing hilesi etkisiz hale getirilse bile davranışı gizlemek kolay

    • Uygulamanın build numarasıyla sunucuya API çağrısı yapılır
    • API yanıtıyla "gizli" özelliğin etkinleştirilip etkinleştirilmeyeceği kontrol edilir
    • Her build için gizli özellik yalnızca inceleme geçtikten sonra etkinleştirilir
    • Dinamik/yorumlanan koda gerek yok
    • Bu yöntem durma problemine indirgenebilir ve bu nedenle karar verilemez

  • Apple'ın hoşlanmadığı davranışları zorla kabul ettirirken zaman tabanlı hileler kullanılır

    • Uygulama gönderildikten 20 gün sonra bir düğmenin davranışı değiştirilir
    • "Dosya aç" iletişim kutusunun doğrudan kullanıcının kök dizinine gitmesi sağlanır

  • Apple'ın dinamik güncellemelerle ilgili dilinin açıklaması

    • Çalıştırılabilir kod indirilemez veya kurulamaz
    • Yorumlanan kod indirilebilir, ancak şu koşulları karşılamalıdır
      • Uygulamanın ana amacını değiştirmemelidir
      • Başka kodlar veya uygulamalar için bir mağaza oluşturmamalıdır
      • İmza, sandbox veya diğer güvenlik özelliklerini atlatmamalıdır

  • Çoğu dolandırıcı uygulama, haftalık aboneliklerle para sızdırır

    • Tekrarlanmayan haftalık geçişler için kullanım senaryoları vardır (ör. seyahatte VPN uygulaması)
    • Tekrarlayan haftalık ödemeler manuel onay gerektirir
    • Tüm uygulamaların haftalık yinelenen ödemelere izin vermemesi gerekir

  • 2021'de App Store Review ekibi her hafta 100.000'den fazla uygulamayı inceliyordu

    • İncelemecilerin zamanlarının %100'ünü incelemeye ayırdığı varsayılırsa uygulama başına yaklaşık 12 dakika düşer

  • Korsan uygulamaları "kötücül" diye adlandırmak abartılıdır

    • Bunun telif hakkı sahibi tarafından yazılıp yazılmadığı belirsiz

  • ABD'nin DMA benzeri yasalara ihtiyacı var

    • Tek bir şirket ABD'li kullanıcıların %60'ından fazlasını rehin almamalı
    • Apple ve Google, tüm mobil uygulama pazarında oluşan gelirin %15 ila %30'unu almamalı

  • Telegram kanallarında/gruplarında, uygulama mağazası incelemesini geçmiş en yeni uygulamalarla ilgilenen binlerce kişi var

    • Apple müdahale edene kadar kullanılıyor, ardından döngü yeniden başlıyor
    • İmza sertifikaları ve Apple geliştirici makinesi kontenjanları için de bir pazar var

  • Birçok uygulama sadece uzak bir web sayfasını gösteren bir webview'den ibaret

    • Sunucu sayfayı her güncellediğinde uygulama da güncellenmiş oluyor
    • İnceleme gerekmiyor

  • Bazı uygulamalar ancak yeterince popüler olduktan sonra insan incelemesinden geçiyor

    • Skacz Kurwa olayı bunun bir örneği
    • Aile dostu olmayan başlığına rağmen ciddi ilgi gördü