Bagaimana pengembang menipu peninjauan App Store agar aplikasi berbahaya disetujui

 (9to5mac.com)
2 poin oleh GN⁺ 2024-08-05 | 1 komentar | Bagikan ke WhatsApp
  • Aplikasi "Collect Cards" sempat naik ke peringkat atas unduhan aplikasi gratis di beberapa negara.
  • Setelah laporan dari 9to5Mac, Apple menghapus aplikasi tersebut, tetapi versi lain dari aplikasi yang sama kembali dirilis di App Store.
  • Analisis teknis:
    • Aplikasi-aplikasi tersebut berbagi basis kode yang sama dan didistribusikan dari akun pengembang yang berbeda.
    • Dibangun berbasis React Native dan menggunakan CodePush SDK dari Microsoft, sehingga sebagian aplikasi dapat diperbarui tanpa mengirim build baru ke App Store.
    • Teknologi-teknologi ini tidak melanggar aturan App Store.
  • Teknik pengembang berbahaya:
    • Pengembang berbahaya menyalahgunakan teknologi ini untuk mengakali peninjauan App Store.
    • Repositori GitHub tertentu menyediakan file untuk beberapa aplikasi streaming bajakan.
    • Menggunakan API berbasis lokasi untuk memeriksa lokasi perangkat.
    • Saat aplikasi pertama kali dibuka, aplikasi menunggu beberapa detik sebelum memanggil API geolokasi.
    • Ini membuat proses peninjauan otomatis App Store tidak menemukan hal mencurigakan di kode aplikasi.
    • Antarmuka tersembunyi hanya ditampilkan di lokasi aman tertentu.

Tindakan yang bisa dilakukan Apple

  • Peningkatan sistem peninjauan:
    • Apple dapat menerapkan pengujian tambahan untuk memeriksa perilaku aplikasi di lokasi yang berbeda.
    • Apple perlu lebih aktif mencari dan menghapus aplikasi penipuan.
  • Kasus sebelumnya:
    • Pada 2017, Uber dituduh menetapkan batas geografis di sekitar kantor pusat Apple.
    • Jika aplikasi berjalan di dalam batas geografis ini, kode pelacakan pengguna otomatis dinonaktifkan.
    • Apple tampaknya belum mengambil langkah yang memadai untuk mencegah situasi seperti ini.
  • Situasi saat ini:
    • Menurut dokumen tahun 2021, tim peninjauan App Store terdiri dari lebih dari 500 pakar dan meninjau lebih dari 100.000 aplikasi setiap minggu.
    • Sebagian besar aplikasi melewati proses peninjauan otomatis sebelum masuk ke proses peninjauan manual.
  • Respons resmi Apple:
    • Setelah artikel 9to5Mac, juru bicara Apple menyatakan bahwa aplikasi tersebut telah dihapus dari App Store, tetapi tidak menjelaskan secara spesifik langkah untuk mencegah aplikasi serupa lainnya disetujui.

Opini GN⁺

  • Artikel ini menunjukkan secara rinci keberadaan aplikasi berbahaya yang mengeksploitasi celah dalam sistem peninjauan App Store.
  • Ini mengisyaratkan bahwa meski Apple memiliki sistem keamanan yang unggul secara teknis, mekanisme peninjauan yang lebih canggih tetap diperlukan.
  • Dari sudut pandang pengguna, penting untuk memeriksa ulasan dan reputasi sebelum mengunduh aplikasi.
  • Toko aplikasi seluler lain juga dapat mengalami masalah serupa, sehingga protokol keamanan perlu diperkuat di seluruh industri.
  • Saat mengadopsi teknologi baru atau open source, aspek keamanan harus dipertimbangkan secara memadai.

Bacaan terkait

1 komentar

 
GN⁺ 2024-08-05
Komentar Hacker News

  • Bahkan jika trik geofencing Apple dinetralisir, menyembunyikan perilaku tetap mudah

    • Melakukan panggilan API ke server menggunakan nomor build aplikasi
    • Mengontrol apakah fitur "rahasia" diaktifkan melalui respons API
    • Mengaktifkan fitur rahasia untuk tiap build hanya setelah lolos review
    • Tidak memerlukan kode dinamis/terinterpretasi
    • Metode ini dapat direduksi ke halting problem sehingga tidak dapat diputuskan

  • Menggunakan trik berbasis waktu saat memaksakan perilaku yang tidak disukai Apple

    • Mengubah perilaku tombol 20 hari setelah aplikasi diajukan
    • Membuat dialog "Buka File" langsung berpindah ke direktori root pengguna

  • Penjelasan bahasa Apple terkait pembaruan dinamis

    • Kode yang dapat dieksekusi tidak boleh diunduh atau dipasang
    • Kode terinterpretasi boleh diunduh, tetapi harus memenuhi syarat berikut
      • Tidak mengubah tujuan utama aplikasi
      • Tidak membuat store untuk kode atau aplikasi lain
      • Tidak melewati penandatanganan, sandbox, atau fitur keamanan lainnya

  • Sebagian besar aplikasi penipuan mengambil uang melalui langganan mingguan

    • Ada kasus penggunaan untuk pass mingguan yang tidak berulang (misalnya aplikasi VPN saat bepergian)
    • Pembayaran mingguan yang berulang memerlukan persetujuan manual
    • Tidak semua aplikasi seharusnya diizinkan menawarkan pembayaran mingguan berulang

  • Pada 2021, tim App Store Review meninjau lebih dari 100.000 aplikasi per minggu

    • Jika diasumsikan reviewer menghabiskan 100% waktunya untuk review, itu sekitar 12 menit per aplikasi

  • Menyebut aplikasi bajakan sebagai "berbahaya" adalah ungkapan yang berlebihan

    • Diragukan apakah itu ditulis oleh pemilik hak cipta

  • AS membutuhkan undang-undang seperti DMA

    • Satu perusahaan tidak boleh menyandera lebih dari 60% pengguna AS
    • Apple dan Google tidak boleh mengambil 15% hingga 30% dari semua pendapatan yang dihasilkan di seluruh pasar aplikasi mobile

  • Di channel/grup Telegram, ribuan orang tertarik pada aplikasi terbaru yang lolos review app store

    • Digunakan sampai Apple mengambil tindakan, lalu pola itu terulang lagi
    • Ada juga pasar untuk sertifikat penandatanganan dan slot mesin pengembang Apple

  • Banyak aplikasi hanyalah webview dari halaman web jarak jauh

    • Diperbarui setiap kali server memperbarui halamannya
    • Tidak perlu review

  • Beberapa aplikasi baru melalui review manusia setelah cukup populer

    • Kasus Skacz Kurwa adalah contohnya
    • Mendapat perhatian besar meski judulnya tidak ramah keluarga