Wie Entwickler die App-Store-Prüfung täuschen, um schädliche Apps genehmigt zu bekommen

 (9to5mac.com)
2 Punkte von GN⁺ 2024-08-05 | 1 Kommentare | Auf WhatsApp teilen
  • Die App „Collect Cards“ erreichte in einigen Ländern Spitzenplätze bei den kostenlosen App-Downloads.
  • Nach einem Bericht von 9to5Mac entfernte Apple die App, doch eine andere Version derselben App erschien erneut im App Store.
  • Technische Analyse:
    • Die App teilt sich dieselbe Codebasis und wird über verschiedene Entwicklerkonten vertrieben.
    • Sie wurde auf Basis von React Native entwickelt und nutzt Microsofts CodePush SDK, um Teile der App zu aktualisieren, ohne einen neuen Build an den App Store zu senden.
    • Diese Techniken verstoßen nicht gegen die Richtlinien des App Store.
  • Methoden böswilliger Entwickler:
    • Böswillige Entwickler missbrauchen diese Techniken, um die App-Store-Prüfung zu umgehen.
    • Ein bestimmtes GitHub-Repository stellt Dateien für mehrere Piraten-Streaming-Apps bereit.
    • Die App prüft den Standort des Geräts mithilfe einer standortbasierten API.
    • Beim ersten Öffnen wartet die App einige Sekunden, bevor sie die Geolokalisierungs-API aufruft.
    • Dadurch findet der automatisierte Review-Prozess des App Store nichts Auffälliges im Code der App.
    • Eine versteckte Benutzeroberfläche wird nur an bestimmten als sicher eingestuften Orten sichtbar.

Was Apple dagegen tun könnte

  • Verbesserung des Review-Systems:
    • Apple könnte zusätzliche Tests einführen, um das Verhalten von Apps an verschiedenen Standorten zu überprüfen.
    • Das Unternehmen sollte betrügerische Apps aktiver aufspüren und entfernen.
  • Frühere Fälle:
    • 2017 wurde Uber beschuldigt, einen Geofence rund um Apples Hauptsitz eingerichtet zu haben.
    • Wenn die App innerhalb dieses Geofence ausgeführt wurde, deaktivierte sie automatisch den Code zur Verfolgung von Nutzern.
    • Apple scheint nicht genug Maßnahmen ergriffen zu haben, um solche Situationen zu verhindern.
  • Aktuelle Lage:
    • Laut einem Dokument aus dem Jahr 2021 besteht das App-Store-Review-Team aus mehr als 500 Spezialisten und prüft jede Woche über 100.000 Apps.
    • Die meisten Apps durchlaufen zunächst einen automatisierten Review-Prozess, bevor sie manuell geprüft werden.
  • Offizielle Reaktion von Apple:
    • Nach dem Artikel von 9to5Mac erklärte ein Apple-Sprecher, dass die betreffende App aus dem App Store entfernt worden sei, äußerte sich jedoch nicht konkret zu Maßnahmen, um die Genehmigung anderer ähnlicher Apps zu verhindern.

Meinung von GN⁺

  • Dieser Artikel zeigt im Detail, dass es schädliche Apps gibt, die Schwachstellen im App-Store-Review-System ausnutzen.
  • Er deutet darauf hin, dass Apple zwar technisch starke Sicherheitssysteme besitzt, jedoch ausgefeiltere Review-Mechanismen benötigt.
  • Aus Sicht der Nutzer ist es wichtig, vor dem Download einer App Bewertungen und Reputation zu prüfen.
  • Da auch andere mobile App-Stores ähnliche Probleme haben können, sollten Sicherheitsprotokolle branchenweit verschärft werden.
  • Bei der Einführung neuer Technologien oder von Open Source sollten Sicherheitsaspekte ausreichend berücksichtigt werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-05
Hacker-News-Kommentare

  • Selbst wenn man Apples Geofencing-Tricks aushebelt, ist es einfach, das Verhalten zu verbergen

    • API-Aufruf an den Server mit der Build-Nummer der App
    • Steuerung, ob die „geheime“ Funktion per API-Antwort aktiviert wird
    • Aktivierung der geheimen Funktion für jeden Build erst nach bestandener Prüfung
    • Kein dynamischer/interpretierter Code erforderlich
    • Diese Methode lässt sich auf das Halteproblem zurückführen und ist daher unentscheidbar

  • Zeitbasierte Tricks nutzen, wenn man ein von Apple unerwünschtes Verhalten durchdrücken will

    • Das Verhalten eines Buttons 20 Tage nach dem Einreichen der App ändern
    • Den Dialog „Datei öffnen“ direkt in das Root-Verzeichnis des Nutzers springen lassen

  • Erklärung der Apple-Formulierung zu dynamischen Updates

    • Ausführbarer Code darf nicht heruntergeladen oder installiert werden
    • Interpretierter Code darf heruntergeladen werden, muss aber die folgenden Bedingungen erfüllen
      • Den Hauptzweck der App nicht ändern
      • Keinen Store für anderen Code oder andere Apps erstellen
      • Signierung, Sandbox oder andere Sicherheitsfunktionen nicht umgehen

  • Die meisten Betrugs-Apps ziehen den Nutzern über Wochenabos Geld aus der Tasche

    • Es gibt Anwendungsfälle für nicht wiederkehrende Wochenpässe (z. B. VPN-Apps auf Reisen)
    • Wiederkehrende wöchentliche Zahlungen sollten eine manuelle Genehmigung erfordern
    • Nicht alle Apps sollten wiederkehrende Wochenzahlungen anbieten dürfen

  • 2021 prüfte das App Store Review Team pro Woche mehr als 100.000 Apps

    • Wenn man annimmt, dass Prüfer 100 % ihrer Zeit für Reviews aufwenden, bleiben pro App etwa 12 Minuten

  • Piraterie-Apps als „bösartig“ zu bezeichnen, ist übertrieben

    • Fraglich, ob das vom Rechteinhaber geschrieben wurde

  • Die USA brauchen Gesetze wie den DMA

    • Ein einzelnes Unternehmen sollte nicht mehr als 60 % der US-Nutzer in Geiselhaft halten können
    • Apple und Google sollten nicht 15 % bis 30 % aller Umsätze des gesamten mobilen App-Markts abschöpfen dürfen

  • Tausende Menschen in Telegram-Kanälen/-Gruppen interessieren sich für die neuesten Apps, die die App-Store-Prüfung bestanden haben

    • Sie nutzen sie, bis Apple Maßnahmen ergreift, und dann wiederholt sich das Ganze
    • Es gibt auch einen Markt für Signaturzertifikate und Slots auf Apple-Entwicklerrechnern

  • Viele Apps sind nur Webviews entfernter Webseiten

    • Sie werden jedes Mal aktualisiert, wenn der Server die Seite aktualisiert
    • Keine Prüfung erforderlich

  • Manche Apps werden erst nach ausreichender Popularität von Menschen überprüft

    • Der Fall Skacz Kurwa ist ein Beispiel dafür
    • Trotz eines nicht familienfreundlichen Titels erhielt er erhebliche Aufmerksamkeit