Como desenvolvedores enganam a revisão da App Store para conseguir aprovar apps maliciosos

 (9to5mac.com)
2 pontos por GN⁺ 2024-08-05 | 1 comentários | Compartilhar no WhatsApp
  • O app "Collect Cards" chegou ao topo do ranking de downloads de apps gratuitos em alguns países.
  • Após a reportagem do 9to5Mac, a Apple removeu o app, mas outra versão do mesmo app voltou a ser publicada na App Store.
  • Análise técnica:
    • O app compartilha a mesma base de código e é distribuído por contas de desenvolvedor diferentes.
    • Foi desenvolvido com base em React Native e usa o CodePush SDK da Microsoft para atualizar partes do app sem enviar uma nova build para a App Store.
    • Essas tecnologias não violam as regras da App Store.
  • Técnicas de desenvolvedores maliciosos:
    • Desenvolvedores maliciosos abusam dessas tecnologias para burlar a revisão da App Store.
    • Um repositório específico no GitHub fornece arquivos para vários apps de streaming pirata.
    • Usa uma API baseada em localização para verificar a posição do dispositivo.
    • Quando o app é aberto pela primeira vez, ele espera alguns segundos antes de chamar a API de geolocalização.
    • Isso impede que o processo automatizado de revisão da App Store detecte algo estranho no código do app.
    • A interface oculta só é revelada em determinados locais considerados seguros.

O que a Apple pode fazer

  • Melhorar o sistema de revisão:
    • A Apple pode implementar testes adicionais para verificar o comportamento dos apps em diferentes localizações.
    • Também deveria buscar e remover apps fraudulentos de forma mais agressiva.
  • Casos anteriores:
    • Em 2017, a Uber foi acusada de definir uma cerca geográfica em torno da sede da Apple.
    • Quando o app era executado dentro dessa área, ele desativava automaticamente o código que rastreava usuários.
    • A Apple parece não ter tomado medidas suficientes para evitar situações desse tipo.
  • Situação atual:
    • Segundo um documento de 2021, a equipe de revisão da App Store é composta por mais de 500 especialistas e analisa mais de 100.000 apps por semana.
    • A maioria dos apps passa primeiro por um processo de revisão automatizado antes da revisão manual.
  • Resposta oficial da Apple:
    • Após a matéria do 9to5Mac, um porta-voz da Apple afirmou que o app foi removido da App Store, mas não detalhou medidas para impedir a aprovação de outros apps semelhantes.

Opinião do GN⁺

  • Este artigo mostra em detalhes a existência de apps maliciosos que exploram brechas no sistema de revisão da App Store.
  • Ele sugere que, embora a Apple tenha um sistema de segurança tecnicamente avançado, ainda precisa de mecanismos de revisão mais sofisticados.
  • Do ponto de vista do usuário, é importante verificar avaliações e reputação antes de baixar um app.
  • Outras lojas de aplicativos móveis também podem enfrentar problemas parecidos, então os protocolos de segurança precisam ser reforçados em todo o setor.
  • Ao adotar novas tecnologias ou open source, é preciso considerar adequadamente os aspectos de segurança.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-08-05
Opiniões no Hacker News

  • Mesmo neutralizando os truques de geofencing da Apple, é simples ocultar o comportamento

    • Fazer chamadas de API ao servidor com o número da build do app
    • Controlar pela resposta da API se os recursos “secretos” serão ativados
    • Ativar os recursos secretos de cada build só depois que a revisão for aprovada
    • Não requer código dinâmico/interpretado
    • Esse método pode ser reduzido ao problema da parada, portanto é indecidível

  • Ao forçar comportamentos que a Apple não gosta, usar truques baseados em tempo

    • Mudar o comportamento do botão 20 dias após o envio do app
    • Fazer a caixa de diálogo “Abrir arquivo” ir diretamente para o diretório raiz do usuário

  • Explicação da linguagem da Apple sobre atualizações dinâmicas

    • Código executável não pode ser baixado nem instalado
    • Código interpretado pode ser baixado, mas deve cumprir as seguintes condições
      • Não mudar o propósito principal do app
      • Não criar uma loja para outro código ou apps
      • Não contornar assinatura, sandbox ou outros recursos de segurança

  • A maioria dos apps fraudulentos tira dinheiro dos usuários por meio de assinaturas semanais

    • Existem casos de uso para passes semanais não recorrentes (ex.: app de VPN durante uma viagem)
    • Cobranças semanais recorrentes deveriam exigir aprovação manual
    • Nem todo app deveria poder oferecer cobrança recorrente semanal

  • Em 2021, a equipe de App Store Review analisava mais de 100.000 apps por semana

    • Supondo que os revisores dediquem 100% do tempo à revisão, isso dá cerca de 12 minutos por app

  • Chamar apps pirateados de “maliciosos” é um exagero

    • Fica a dúvida se isso foi escrito pelo detentor dos direitos autorais

  • Os EUA precisam de uma lei como a DMA

    • Uma única empresa não deveria manter mais de 60% dos usuários americanos como reféns
    • Apple e Google não deveriam ficar com 15% a 30% de toda a receita gerada pelo mercado de apps móveis

  • Em canais/grupos do Telegram, milhares de pessoas se interessam pelos apps mais recentes que passaram pela revisão da app store

    • Usam até a Apple tomar alguma medida, e depois o ciclo se repete
    • Também existe mercado para certificados de assinatura e vagas em máquinas de desenvolvedor Apple

  • Muitos apps são apenas webviews de páginas remotas

    • São atualizados sempre que o servidor atualiza a página
    • Não precisam de revisão

  • Alguns apps só passam por revisão humana depois de ficarem populares o suficiente

    • O caso Skacz Kurwa é um exemplo disso
    • Apesar do título nada apropriado para a família, recebeu bastante atenção