Cách các nhà phát triển đánh lừa quy trình duyệt App Store để được phê duyệt ứng dụng độc hại

 (9to5mac.com)
2 điểm bởi GN⁺ 2024-08-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • Ứng dụng "Collect Cards" đã vươn lên nhóm đầu trong bảng xếp hạng tải xuống ứng dụng miễn phí ở một số quốc gia.
  • Sau báo cáo của 9to5Mac, Apple đã gỡ ứng dụng này, nhưng một phiên bản khác của cùng ứng dụng lại tiếp tục xuất hiện trên App Store.
  • Phân tích kỹ thuật:
    • Ứng dụng dùng chung cùng một code base và được phát hành từ các tài khoản nhà phát triển khác nhau.
    • Ứng dụng được xây dựng dựa trên React Native và sử dụng CodePush SDK của Microsoft để có thể cập nhật một phần ứng dụng mà không cần gửi bản build mới lên App Store.
    • Các kỹ thuật này tự thân không vi phạm quy định của App Store.
  • Thủ thuật của nhà phát triển độc hại:
    • Các nhà phát triển độc hại đã lợi dụng các kỹ thuật này để lách quy trình duyệt của App Store.
    • Một kho lưu trữ GitHub cụ thể cung cấp các tệp cho nhiều ứng dụng streaming lậu.
    • Ứng dụng dùng API dựa trên vị trí để kiểm tra vị trí của thiết bị.
    • Khi ứng dụng được mở lần đầu, nó chờ vài giây trước khi gọi API định vị địa lý.
    • Điều này khiến quy trình duyệt tự động của App Store không phát hiện được điều bất thường trong mã của ứng dụng.
    • Ứng dụng chỉ hiển thị giao diện ẩn tại những vị trí an toàn đã được xác định trước.

Apple có thể phản ứng thế nào

  • Cải thiện hệ thống duyệt:
    • Apple có thể triển khai thêm các bài kiểm tra để xác minh cách ứng dụng hoạt động ở những vị trí khác nhau.
    • Họ cũng cần chủ động hơn trong việc tìm và gỡ bỏ các ứng dụng lừa đảo.
  • Trường hợp trước đây:
    • Năm 2017, Uber bị tố cáo đã thiết lập hàng rào địa lý quanh trụ sở Apple.
    • Khi ứng dụng chạy trong phạm vi địa lý đó, nó tự động vô hiệu hóa đoạn mã theo dõi người dùng.
    • Có vẻ như Apple vẫn chưa thực hiện đủ biện pháp để ngăn những tình huống như vậy.
  • Tình hình hiện tại:
    • Theo tài liệu năm 2021, đội ngũ duyệt App Store gồm hơn 500 chuyên gia và xem xét hơn 100.000 ứng dụng mỗi tuần.
    • Phần lớn ứng dụng phải vượt qua quy trình duyệt tự động trước khi bước vào giai đoạn duyệt thủ công.
  • Phản hồi chính thức của Apple:
    • Sau bài viết của 9to5Mac, người phát ngôn của Apple cho biết ứng dụng đó đã bị gỡ khỏi App Store, nhưng không nêu cụ thể biện pháp nào để ngăn các ứng dụng tương tự khác được phê duyệt.

Ý kiến của GN⁺

  • Bài viết này cho thấy rất chi tiết sự tồn tại của các ứng dụng độc hại lợi dụng lỗ hổng trong hệ thống duyệt App Store.
  • Dù Apple có hệ thống bảo mật tốt về mặt kỹ thuật, vụ việc cho thấy họ vẫn cần một cơ chế duyệt tinh vi hơn.
  • Với người dùng, việc kiểm tra đánh giá và uy tín trước khi tải ứng dụng là rất quan trọng.
  • Các kho ứng dụng di động khác cũng có thể gặp vấn đề tương tự, nên cần tăng cường giao thức bảo mật trên toàn ngành.
  • Khi áp dụng công nghệ mới hoặc mã nguồn mở, cần cân nhắc đầy đủ khía cạnh bảo mật.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-08-05
Ý kiến trên Hacker News

  • Ngay cả khi vô hiệu hóa được mẹo geofencing của Apple, việc che giấu hành vi vẫn rất đơn giản

    • Gọi API tới máy chủ bằng số build của ứng dụng
    • Dùng phản hồi API để kiểm soát việc có kích hoạt tính năng "bí mật" hay không
    • Chỉ kích hoạt tính năng bí mật của từng build sau khi vượt qua khâu duyệt
    • Không cần mã động/mã được thông dịch
    • Cách này có thể quy về bài toán dừng nên không thể quyết định được

  • Dùng mẹo dựa trên thời gian khi muốn lách những hành vi mà Apple không thích

    • Thay đổi hành vi của nút sau 20 ngày kể từ khi gửi ứng dụng
    • Làm hộp thoại "Mở tệp" chuyển thẳng tới thư mục gốc của người dùng

  • Mô tả ngôn ngữ của Apple liên quan đến cập nhật động

    • Không được tải xuống hoặc cài đặt mã có thể thực thi
    • Có thể tải xuống mã được thông dịch nhưng phải đáp ứng các điều kiện sau
      • Không thay đổi mục đích chính của ứng dụng
      • Không tạo một cửa hàng cho mã hoặc ứng dụng khác
      • Không vượt qua chữ ký, sandbox hoặc các tính năng bảo mật khác

  • Phần lớn ứng dụng lừa đảo moi tiền thông qua đăng ký thuê bao theo tuần

    • Có những trường hợp sử dụng hợp lệ cho vé tuần không định kỳ (ví dụ: ứng dụng VPN khi đi du lịch)
    • Thanh toán theo tuần có tính lặp lại cần được phê duyệt thủ công
    • Không nên cho phép mọi ứng dụng dùng thanh toán lặp lại theo tuần

  • Năm 2021, đội App Store Review đã xem xét hơn 100.000 ứng dụng mỗi tuần

    • Nếu giả sử người duyệt dành 100% thời gian cho việc duyệt, thì mỗi ứng dụng mất khoảng 12 phút

  • Gọi ứng dụng vi phạm bản quyền là "độc hại" là cách diễn đạt phóng đại

    • Không rõ chúng có phải do chủ sở hữu bản quyền viết ra hay không

  • Mỹ cần những đạo luật như DMA

    • Không nên để một công ty bắt hơn 60% người dùng Mỹ làm con tin
    • Apple và Google không nên lấy 15% đến 30% mọi doanh thu phát sinh từ toàn bộ thị trường ứng dụng di động

  • Hàng nghìn người trong các kênh/nhóm Telegram quan tâm tới những ứng dụng mới nhất đã vượt qua khâu duyệt của app store

    • Họ dùng cho tới khi Apple ra tay, rồi vòng lặp lại tiếp diễn
    • Cũng tồn tại một thị trường cho chứng chỉ ký và suất máy nhà phát triển Apple

  • Nhiều ứng dụng thực chất chỉ là webview của một trang web từ xa

    • Chúng được cập nhật mỗi khi máy chủ cập nhật trang
    • Không cần duyệt lại

  • Một số ứng dụng chỉ bị con người kiểm duyệt sau khi đã đủ nổi tiếng

    • Vụ việc Skacz Kurwa là một ví dụ
    • Dù có tiêu đề không phù hợp với gia đình, nó vẫn thu hút được nhiều sự chú ý đáng kể