- 「Collect Cards」アプリが一部の国で無料アプリのダウンロードランキング上位に入る。
- 9to5Macの報道後、Appleは当該アプリを削除したが、同じアプリの別バージョンが再びApp Storeに公開された。
- 技術分析:
- アプリは同一のコードベースを共有しており、別の開発者アカウントから配信されている。
- React Nativeベースで構築されており、MicrosoftのCodePush SDKを使って、新しいビルドをApp Storeに送らなくてもアプリの一部を更新できる。
- これらの技術自体はApp Storeの規約に違反しない。
- 悪意ある開発者の手口:
- 悪意ある開発者はこれらの技術を悪用してApp Storeレビューを回避する。
- 特定のGitHubリポジトリが複数の海賊版ストリーミングアプリ向けのファイルを提供している。
- 位置情報ベースのAPIを使ってデバイスの所在地を確認する。
- アプリを最初に開いたとき、地理位置情報APIを呼び出す前に数秒待機する。
- App Storeの自動レビュー工程がアプリのコード内の不審な点を見つけられないようにする。
- 特定の安全な場所でのみ隠されたインターフェースを表示する。
Appleが取り得る対応
- レビューシステムの改善:
- Appleは、異なる場所でのアプリの挙動を確認するための追加テストを実装できる。
- 詐欺アプリをより積極的に見つけて削除すべきである。
- 過去の事例:
- 2017年、UberはApple本社に対するジオフェンスを設定していた疑いで告発された。
- アプリがこのジオフェンス内で実行されると、ユーザーを追跡するコードを自動的に無効化した。
- Appleはこのような事態を防ぐための対策を十分に講じていないように見える。
- 現在の状況:
- 2021年の文書によれば、App Storeレビュー担当チームは500人以上の専門家で構成され、毎週100,000件以上のアプリをレビューしている。
- ほとんどのアプリは手動レビュー工程に入る前に自動レビュー工程を通過する。
- Appleの公式反応:
- _9to5Mac_の記事後、Appleの広報担当者は当該アプリがApp Storeから削除されたと述べたが、他の類似アプリの承認を防ぐための措置については具体的に言及しなかった。
GN⁺の見解
- この記事は、App Storeレビューシステムの抜け穴を悪用する悪意あるアプリの存在を詳しく示している。
- Appleは技術的に優れたセキュリティシステムを持つ一方で、より精巧なレビューの仕組みが必要であることを示唆している。
- ユーザーの立場では、アプリをダウンロードする前にレビューと評判を確認することが重要だ。
- 他のモバイルアプリストアでも同様の問題が起こり得るため、業界全体でセキュリティプロトコルを強化する必要がある。
- 新しい技術やオープンソースを採用する際には、セキュリティ面を十分に考慮すべきである。
1件のコメント
Hacker Newsのコメント
Appleのジオフェンシングのトリックを無力化しても、挙動を隠すのは簡単
Appleが嫌う挙動を押し通す際には時間ベースのトリックを使用
Appleの動的アップデートに関する文言の説明
ほとんどの詐欺アプリは週額サブスクリプションで金を抜き取る
2021年、App Store Reviewチームは毎週10万件以上のアプリを審査していた
海賊版アプリを「悪意のある」と呼ぶのは誇張表現
米国にはDMAのような法律が必要
Telegramチャンネル/グループでは、アプリストアの審査を通過した最新アプリに何千人もの人々が関心を示している
多くのアプリはリモートWebページのWebViewにすぎない
一部のアプリは十分な人気を得た後にのみ人間のレビューを受ける