Apple активно працює над безпекою своїх додатків та App Store. Вона використовує армію рецензентів та інструменти для перевірки поданих додатків. Проте, навіть за таких заходів безпеки, деякі шкідливі додатки все одно проходять перевірку. Ось деякі методи, які використовують розробники, і те, що Apple може зробити, щоб запобігти цьому.
Apple застосовує комплексні заходи безпеки для захисту своїх додатків від шкідливих програм та маніпуляцій. Користувачі можуть завантажувати додатки для iOS та iPadOS тільки через App Store, де кожен додаток проходить ретельну перевірку. Цей процес поєднує автоматизовані системи та роботу людина-рецензентів для забезпечення високих стандартів безпеки. Команда рецензентів App Store складається з понад 500 експертів, які повинні перевіряти близько 132 500 поданих додатків щотижня, використовуючи різноманітні інструменти для виявлення потенційних шахрайств і порушень конфіденційності. Однак, незважаючи на ці зусилля, деякі шкідливі додатки все одно проходять перевірку.
Цього літа 9to5Mac повідомив, що піратський додаток для стрімінгу, що маскувався під інструмент для управління фото, зміг обійти перевірку команди рецензентів Apple, використовуючи функцію геолокації, щоб приховати свою справжню мету.
Додаток «Collect Cards: Store Box» був доступний в App Store більше року і став другим за популярністю безкоштовним додатком у Бразилії, перш ніж його було видалено. Додаток показував спрощений інтерфейс рецензентам в США, надаючи доступ до піратського контенту з Netflix, Disney+, Amazon Prime Video, HBO Max і навіть Apple TV+ в інших регіонах. Приховуючи всі функції стрімінгу для користувачів у США, співробітники Apple побачили лише спрощену версію, орієнтовану на фото та відео.
Незважаючи на всі заходи безпеки, Apple веде нескінченну гру в кішки-мишки, намагаючись ідентифікувати та зупинити шахрайські тактики розробників перед тим, як їх додатки потраплять у магазин. Без сумніву, Google стикається з подібними проблемами та щорічно очищає Google Play від сотень поганих додатків.
Попри це, Apple все ж зупинила значну кількість шахрайських додатків. Минулого року компанія заявила, що заблокувала понад 153 мільйони фальшивих користувацьких акаунтів і деактивувала майже 374 мільйони акаунтів розробників через шахрайство та зловживання. Вона також повідомила, що виявила та заблокувала понад 47 000 нелегітимних додатків на піратських майданчиках.
Ще один приклад використання обману через геолокацію стався в 2017 році, коли Uber було звинувачено в створенні «геозони» навколо штаб-квартири Apple в Купертіно. Для користувачів, що перебували в цій зоні, включаючи рецензентів Apple, додаток автоматично вимикав код, який використовувався для відстеження та ідентифікації користувачів через мережу.
Нечесні розробники мають безліч методів для обману, і ці методи експлуатують обмеження процесу перевірки додатків Apple, який не може ретельно тестувати додатки в різних регіонах або протягом тривалого часу.
Однією з тактик є використання React Native та SDK Microsoft CodePush, що дозволяє розробникам оновлювати частини своїх додатків, після того як вони потрапили в App Store. Це дозволяє зміщувати несанкціонований код або додавати нові функції, як-от шахрайські платіжні системи, після того як додаток був перевірений та затверджений Apple. Однак ці методи можуть бути заблоковані після виявлення. Для цього Apple використовує статичні аналізатори коду, які можуть виявити змінені або шкідливі частини додатків.
Підсумок:
Завдяки своїм строгим заходам безпеки Apple значно зменшує кількість шкідливих програм у своєму магазині додатків, хоча деякі додатки все одно можуть пройти перевірку. Постійне вдосконалення процесу рецензування та запобігання новим шахрайським методам є важливими етапами для збереження безпеки користувачів.