我们最近报道了多个 iOS 盗版流媒体应用程序如何通过欺骗审核流程而在 App Store 上获得批准。虽然我们简要提到了这些开发人员使用的一些技术,但9to5Mac现在深入研究了这些应用程序是如何设计来欺骗苹果的。
开发者用来绕过App Store审核的技术
上个月,一款名为“Collect Cards”的应用程序在一些国家/地区的 App Store 下载次数最多的免费应用程序排名中名列前茅。在我们的报告之后,苹果公司下架了该应用程序,但同一应用程序的许多其他版本后来在 App Store 上发布。但开发者究竟如何才能欺骗 App Store 审核团队呢?
在我们最初的报告中,我们解释说这些应用程序使用地理围栏来阻止 Apple 的任何人看到该应用程序的实际功能。但通过分析这些应用程序的代码,我们现在更好地了解了这是如何发生的。
正如我们猜测的那样,这些应用程序共享相同的代码库 – 即使它们是由不同的开发者帐户分发的。它们基于 React Native(一种基于 JavaScript 的跨平台框架)构建,并使用 Microsoft 的 CodePush SDK,该 SDK 允许开发人员更新应用程序的某些部分,而无需将新版本发送到 App Store。
构建 React Native 应用程序和使用 CodePush 并不违反 App Store 规则。事实上,有许多流行的应用程序都这样做。然而,恶意开发者利用这些技术来绕过App Store审核。
9to5Mac分析的其中一款应用程序指向 GitHub 存储库,该存储库似乎为多个盗版流媒体应用程序提供文件。该应用程序还使用特定的 API 根据 IP 地址检查设备的位置。它返回国家、地区、城市,甚至估计的经度和纬度等数据。
第一次打开应用程序时,它会等待几秒钟来调用地理定位 API。这样,App Store 的自动审核流程就不会在应用程序代码中发现任何异常情况。我们还通过代理运行该应用程序来检查该应用程序的行为,以将我们的位置伪造为加利福尼亚州圣何塞。对于这个位置,应用程序永远不会显示其隐藏的界面。
Apple 批准该应用程序的基本功能后,开发人员可以使用 CodePush 对其进行更新,添加他们想要的任何内容。然后,该应用程序会在“安全”位置显示其真实界面。
苹果对此能做什么?
当然,苹果也不能幸免于试图欺骗其审查系统的应用程序。然而,该公司可以通过实施额外的测试来检查应用程序在其他位置的行为来改进它。与此同时,苹果应该更主动地从App Store中查找和删除诈骗应用程序。
2017年,Uber被指控为苹果苹果总部总部建造“地理围栏”。当应用程序在此地理围栏内运行时,它会自动禁用用于在网络上进行指纹识别和跟踪用户的代码。即便如此,苹果似乎并没有采取太多措施来防止类似情况的发生。
2021年,文件显示,App Store审核团队拥有超过500名人类专家,每周审核超过10万个应用程序。即便如此,绝大多数应用程序在进行手动审核流程之前都会先经过自动审核流程,以检查它们是否违反了 App Store 指南。
在我们的文章发表后,苹果发言人告诉9to5Mac ,这些应用程序已从 App Store 中删除,但没有提供有关该公司阻止其他此类应用程序获得批准的措施的详细信息。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)