باگ اپ استور که به تازگی توسط برخی توسعهدهندهها کشف و مورد سوءاستفاده قرار گرفته است، بدافزارها را تایید و اجازه نصب بر روی دستگاه شما را میدهد.
ماه گذشته، اپلیکیشنی به نام Collect Cards رتبه اول را در میان بیشترین اپلیکیشنهای رایگان دانلود شده در برخی کشورها در اپ استور به دست آورد. پس از عمومی شدن این مسئله که اپلیکیشن مذکور بدافزاری بیش نبوده است، اپل اقدام به حذف آن کرد. بااینحال، جالب است بدانید که چگونه توسعهدهندگان آن از باگ اپ استور سوءاستفاده کرده و این اپلیکیشن را بهراحتی و بدون مشکل بر روی اپ استور قرار دادهاند.
در گزارشی، تیم 9to5mac بررسی کرد که این اپلیکیشنها از نوعی کدگذاری استفاده میکنند که باعث میشود تیم بررسی اپ استور، کارایی کامل آن را متوجه نشوند. حال جزئیات بیشتری از نحوه عملکرد این توسعهدهندگان و سوءاستفاده از باگ اپ استور مشخص شده است. این برنامهها، از یک کد پایه مشابه استفاده میکنند و تمامی توسعهدهندگانشان، همین مسیر را در پیش گرفتهاند. این اپها با React Native ساخته شده که نوعی فریمورک کراس پلتفرم بر پایه JavaScript است و از CodePush SDK ساخته مایکروسافت استفاده میکنند تا بتوانند پس از عرضه در اپ استور، بتوانند بخشهایی از اپلیکیشن خود را بدون ارسال جزئیات آن و با خبر کردن اپل، آپدیت کنند.
متاسفانه ساخت اپلیکیشن به کمک React Native و CodePush SDK برخلاف قوانین اپ استور نیست و به همین دلیل بهراحتی تاییدیه میگیرند. در واقع، بسیاری از اپلیکیشنهای محبوب حال حاضر اپ استور نیز به کمک همین روش ساخته شدهاند اما کارآمد بودن و راحتی آن، تبدیل به راهی برای سوءاستفاده شده که باعث میشود برخی توسعهدهندگان اقدام به منتشر کردن بدافزار در اپ استور کنند.
یکی از اپلیکیشنهایی که کدنویسی آن بررسی شد، از یک صفحه GitHub نشات گرفته که فایلهایی برای برخی شبکههای استریمینگ غیرقانونی در دسترس قرار میدهد. همچنین API این برنامه نیز چک شد که اطلاعاتی چون کشور، منطقه، شهر و حتی مختصات کاربر را دریافت و به سرور ارسال کند! بعد از اینکه برنامه را باز کردید، بعد از چند ثانیه این API اجرا شده و شروع به ارسال این مختصات میکند. بدین ترتیب، از باگ اپ استور سوءاستفاده میشود و سیستم بررسی اپل هیچ فعالیت مشکوکی در کد نویسی برنامه رویت نمیکند. برای این اپلیکیشن از یک پروکسی نیز استفاده شد تا لوکیشن تقلبی شهر سن خوزه در ایالت کالیفرنیا را ارسال کند که برای این لوکیشن، ماهیت واقعی برنامه به نمایش درنیامد.
بهطور خلاصه، این اپلیکیشنها با استفاده از کارایی ساده و معمولی، تاییدیه اولیه حضور در اپ استور را دریافت میکنند. پس از وارد شدن در اپ استور، توسعهدهنده از طریق CodePush تغییراتی که میخواهد را بدون خبردار شدن اپل در برنامه ایجاد میکند. پس از آن، API لحاظ شده نیز ماهیت واقعی برنامه را فقط در مکانهایی که امن است رونمایی میکند تا کاربران بتوانند از محتوای غیرقانونی آن استفاده کنند!
واضح است که باگ اپ استور باعث شده این سیستم در مقابل بدافزارها و برنامههای کلاهبرداری آسیبپذیر باشد و این شرکت باید بهدنبال راهچارهای برای این موضوع بگردد. برای مثال، میتوان تستهای بیشتری لحاظ کرد و جزئیات اپلیکیشنها را در کشورهای مختلف بررسی کرد تا اگر بهنوعی کدگذاری مخفی در آنان وجود داشت باشد، از این طریق رویت شود. بهطور کلی، اپل باید دقیقتر اپلیکیشنها را بررسی و بدافزارها را از روی اپ استور حذف کند.
در سال 2017، اتهاماتی به اپلیکیشن اوبر وارد شد که اثر انگشت کاربر و فعالیت وی در وب را رهگیری میکند. وقتی اپل پیگیر این موضوع شد، به واقعی بودنش پی برده اما پس از مجازات کردن اوبر در این راستا، تلاشی برای بستن این راه و جلوگیری از چنین کاری از سوی اپلیکیشنهای دیگر انجام نداد. همین باعث شد که باگ اپ استور تا به امروز نیز توسط برخی مورد استفاده قرار بگیرد.
در سال 2021 مشخص شد که اپل حدود 500 متخصص استخدام کرده که هر هفته بیش از 100 هزار اپلیکیشن را بررسی کرده و تایید یا رد کردن آنان در اپ استور را انجام میدهند. با این حال، تعداد برنامههای اپ استور به قدری زیاد است که بخش عمده آن، توسط رباتها چک میشود و اگر از قوانین پایه پیروی کرده باشند، اجازه قرارگیریشان در اپ استور صادر میشود. بهدنبال این گزارش نیز اپل سعی در حذف تعدادی از این بدافزارها کرد اما هیچ جزئیاتی در مورد اقدامات پیشگیرانهاش برای جلوگیری از این روند عنوان نکرد.
