悪意のある開発者がApp Storeの審査プロセスをだます方法とは?
AppleのアプリストアであるApp Storeでは生活を豊かにする数多くのアプリが配信されている一方、悪意のある開発者による不適切なアプリも配信されています。このような悪質なアプリがAppleによる審査を通過してしまう理由について、テクノロジー系メディアの9to5Macが解説しています。
How developers trick App Store into approving malicious apps
https://9to5mac.com/2024/08/02/developers-trick-app-store-review/
2023年11月に配信されたアプリ「Collect Cards:Store box」は、一見すると写真やビデオを管理するためのアプリのように思えますが、その実態はNetflixやDisney+、Amazon Prime Video、HBO Max、Apple TV+のコンテンツを含む海賊版ストリーミングプラットフォームでした。
Collect Cards:Store boxは人気を集め、ブラジルのApp Storeでは無料アプリランキングの2位にランクインしたこともあるそうです。なお、9to5Macの報告を受けてAppleはApp StoreからCollect Cards:Store boxを削除しています。しかし、Collect Cards:Store boxの削除後も同様のアプリが多数App Storeでリリースされているとのこと。そこで9to5Macは、これらのアプリがAppleの審査を通過した手法について説明しています。
9to5Macによると、これらのアプリはジオフェンシングを利用して、Apple側に対し海賊版ストリーミングプラットフォームという実態を隠していたとのこと。さらに9to5Macはこれらのアプリのコードの分析を実施しました。
調査の結果、これらのアプリはJavaScriptに基づくクロスプラットフォームフレームワークのReact Native上に構築されており、MicrosoftのCodePush Management SDKを使用しているため、新しいビルドをApple側に提出しなくても、アプリの一部を更新できることが判明しました。
AppleはReact Nativeアプリの構築とCodePush Management SDKの使用を禁じておらず、悪意のある開発者は、これらのテクノロジーを利用してApp Storeの審査プロセスを回避しているとのこと。実際にこれらのアプリでは、審査を受ける際にAppleの本社があるカリフォルニア州サンノゼからのアクセス時には、海賊版ストリーミングプラットフォームという一面を隠し、審査に影響のない別の機能を持つアプリとして装っていたというわけです。
Appleがアプリを承認すると、開発者はCodePush Management SDKを使用して更新を実施。これによって審査プロセスでは隠されていた海賊版ストリーミングプラットフォームという一面があらわになります。
これまでにも審査プロセスに対するジオフェンシングへの取り組みは多数報告されており、2017年にUberはApple本社があったクパチーノをジオフェンスに設定したことが告発されています。このジオフェンス内でアプリを起動すると、ウェブ上でユーザーの指紋採取とトラッキングに使用されるコードが自動的に無効となっていたとのこと。
9to5Macは「複数の場所でのアプリの動作を確認するための追加のテストを実装することで、審査システムをだまそうとするアプリに対して一石を投じることができます」「AppleはApp Storeから詐欺アプリをより積極的に見つけ出して削除する必要があります」と提言しました。
08/07 07:00
GIGAZINE