悪徳開発者はどのようにして Apple の App Store のセキュリティ審査を回避するのでしょうか?思っているよりもずっと簡単です

Apple は、アプリと App Store を保護するために講じている広範な対策を引き続き公表しています。提出された申請書を審査するための人間の審査員とツールが多数います。しかし、開発者は依然として悪意のあるアプリを検査に通過させています。ここでは、彼らが使用するテクニックのいくつかと、それを阻止するために Apple ができることを紹介します。

Apple は包括的なセキュリティ対策を講じて、アプリをマルウェアや改ざんから保護しています。ユーザーは、最初に徹底的な審査を受ける AppStore からのみ iOS および iPadOS アプリをダウンロードできます。この包括的な取り組みでは、自動システムと人間のレビュー担当者を組み合わせて、高いセキュリティ基準を維持します。同社のアプリレビューチームは 500 人を超える専門家で構成されており、毎週約 132,500 個の提出されたアプリを評価し、さまざまなツールを使用して潜在的な詐欺やプライバシー侵害を検出する必要があります。こうした取り組みにもかかわらず、一部の悪意のあるアプリケーションは依然としてすり抜けています。

この夏の初め、9to5Mac は、写真管理ツールを装った海賊版ストリーミング アプリが、位置情報に基づく機能を使用して真の目的を隠すことで Apple の App Store 審査チームを回避することに成功したと報告しました。

「Collect Cards: StoreBox」と呼ばれる製品は 1 年以上にわたって App Store に掲載され、最終的にはブラジルで 2 番目にダウンロード数の多い無料アプリケーションになりました。その後棚から撤去されました。このアプリは、米国の Apple レビュー担当者にシンプルなインターフェイスを提供すると同時に、Netflix、Disney+、Amazon Prime Video、HBO Max、さらには他の地域の AppleTV+ の海賊版コンテンツも提供します。ストリーミング関連の機能をすべて米国のユーザーから隠すことで、Apple 従業員には写真とビデオに焦点を当てた機能を簡素化したバージョンだけが表示されました。

あらゆる予防措置とスクリーニング措置を講じているにもかかわらず、Apple はアプリをストアに公開する前に開発者の欺瞞的な戦術を特定して阻止しようと、絶え間ないいたちごっこを続けています。 Googleは毎年何百もの悪質なアプリをGoogle Playから削除しているため、同様の問題に直面していることは想像に難くない。

しかし、Apple は多くの不正行為をブロックしてきました。昨年、Apple は詐欺や悪用により 1 億 5,300 万を超える偽のユーザー アカウントをブロックし、3 億 7,400 万近くの開発者アカウントを停止しました。 Appleはまた、過去12か月間で、海賊版店頭にある4万7000以上の違法アプリを特定し、ユーザーにアクセスできないようにブロックしたと述べた。残念なことに、悪意のある者はその方法を改良し続けており、欺瞞戦術や隠し機能などの高度な技術を通じて Apple の保護を回避しようとしています。

2017年にも位置情報に基づくなりすましの別の事件が発生し、このときUberはAppleのクパチーノ本社の周囲に「ジオフェンス」を設置したとして告発された。 Apple の審査チームを含め、そのゾーン内でアプリを使用するすべての人に対して、アプリは Uber がネットワーク上のユーザーのフィンガープリントと追跡に使用するコードを自動的に無効にします。

位置ベースの機能に加えて、悪徳開発者が利用できる方法は他にもたくさんあります。これらの方法は、Apple の審査プロセスの制限、つまり、別の場所や長期間にわたってアプリを徹底的にテストすることができないことを利用しています。

1 つの戦略は、ReactNative と Microsoft の CodePushSDK を使用することです。これにより、開発者は新しいビルドを送信することなく、承認後にアプリの一部を更新できます。もう 1 つのアプローチは、自動レビュー中の検出を回避するために地理位置情報 API 呼び出しを数秒遅らせることです。

一部の開発者は、レビュー プロセス中に基本的なコンプライアンス機能のみを提供し、その後 CodePush を使用して隠れた機能や悪意のある機能を導入します。また、異なる開発者アカウントを介して共有コード ベースを持つ複数のアプリケーションを公開する開発者もおり、すべてのインスタンスを追跡して削除するタスクがより複雑になります。

さらに欺瞞的なケースでは、アプリは無害なソフトウェアを装っていますが、承認されるとまったく別のものに変わります。開発者がこうしたトリックを実行するのを止めることはほぼ不可能です。

ただし、Apple はアプリの申請プロセスを改善する可能性があります。たとえば、レビュー チームは追加のテストを実装して、ソフトウェアが他の場所でどのように動作するかをチェックできます。 Apple は、セキュリティ研究者からの指導を受動的に受け入れるのではなく、より積極的に不正行為を特定し、App Store から削除することもできるでしょう。