Cómo los desarrolladores engañan la revisión de la App Store para lograr que aprueben apps maliciosas

 (9to5mac.com)
2 puntos por GN⁺ 2024-08-05 | 1 comentarios | Compartir por WhatsApp
  • La app "Collect Cards" llegó a los primeros puestos de descargas gratuitas en algunos países.
  • Tras el reporte de 9to5Mac, Apple eliminó la app, pero otra versión de la misma app volvió a publicarse en la App Store.
  • Análisis técnico:
    • La app comparte la misma base de código y se distribuye desde distintas cuentas de desarrollador.
    • Está construida sobre React Native y usa el SDK CodePush de Microsoft para actualizar partes de la app sin enviar un nuevo build a la App Store.
    • Estas tecnologías no violan las reglas de la App Store.
  • Técnicas de desarrolladores maliciosos:
    • Los desarrolladores maliciosos abusan de estas tecnologías para evadir la revisión de la App Store.
    • Un repositorio específico de GitHub proporciona archivos para varias apps de streaming pirata.
    • Usan una API basada en ubicación para verificar la localización del dispositivo.
    • Cuando la app se abre por primera vez, espera unos segundos antes de llamar a la API de geolocalización.
    • Esto evita que el proceso automatizado de revisión de la App Store detecte algo extraño en el código de la app.
    • Solo revela la interfaz oculta en ubicaciones específicas consideradas seguras.

Qué puede hacer Apple

  • Mejoras al sistema de revisión:
    • Apple podría implementar pruebas adicionales para verificar cómo se comporta la app en distintas ubicaciones.
    • Debería buscar y eliminar con más agresividad las apps fraudulentas.
  • Casos anteriores:
    • En 2017, Uber fue acusada de establecer una geocerca alrededor de la sede de Apple.
    • Si la app se ejecutaba dentro de esa geocerca, desactivaba automáticamente el código que rastreaba a los usuarios.
    • Parece que Apple no ha tomado medidas suficientes para evitar situaciones como esta.
  • Situación actual:
    • Según un documento de 2021, el equipo de revisión de la App Store está compuesto por más de 500 especialistas y revisa más de 100,000 apps por semana.
    • La mayoría de las apps pasan por un proceso de revisión automatizado antes de entrar a la revisión manual.
  • Respuesta oficial de Apple:
    • Después del artículo de 9to5Mac, un vocero de Apple dijo que la app fue retirada de la App Store, pero no mencionó medidas concretas para impedir la aprobación de otras apps similares.

Opinión de GN⁺

  • Este artículo muestra en detalle la existencia de apps maliciosas que explotan las debilidades del sistema de revisión de la App Store.
  • Aunque Apple cuenta con un sistema de seguridad técnicamente sólido, sugiere que necesita mecanismos de revisión más sofisticados.
  • Desde la perspectiva del usuario, es importante revisar las opiniones y la reputación antes de descargar una app.
  • Otras tiendas de apps móviles también podrían enfrentar problemas similares, por lo que los protocolos de seguridad deben reforzarse en toda la industria.
  • Al adoptar nuevas tecnologías o software de código abierto, es necesario considerar a fondo los aspectos de seguridad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-08-05
Opiniones de Hacker News

  • Incluso si se neutraliza el truco de geofencing de Apple, es sencillo ocultar el comportamiento

    • Hacer una llamada API al servidor con el número de build de la app
    • Controlar mediante la respuesta de la API si se activa una función "secreta"
    • Activar la función secreta de cada build solo después de pasar la revisión
    • No se necesita código dinámico ni interpretado
    • Este método puede reducirse al problema de la detención, por lo que es indecidible

  • Usar trucos basados en tiempo al impulsar comportamientos que a Apple no le gustan

    • Cambiar el comportamiento de un botón 20 días después de enviar la app
    • Hacer que el cuadro de diálogo de "Abrir archivo" vaya directamente al directorio raíz del usuario

  • Explicación del lenguaje de Apple sobre actualizaciones dinámicas

    • No se puede descargar ni instalar código ejecutable
    • Se puede descargar código interpretado, pero debe cumplir las siguientes condiciones
      • No cambiar el propósito principal de la app
      • No crear una tienda para otro código u otras apps
      • No eludir la firma, el sandbox ni otras funciones de seguridad

  • La mayoría de las apps fraudulentas sacan dinero mediante suscripciones semanales

    • Existen casos de uso para pases semanales no recurrentes (por ejemplo, una app VPN durante un viaje)
    • Los cobros semanales recurrentes requieren aprobación manual
    • No todas las apps deberían poder permitir cobros recurrentes semanales

  • En 2021, el equipo de App Store Review revisaba más de 100,000 apps por semana

    • Suponiendo que los revisores dedicaran el 100% de su tiempo a revisar, serían unos 12 minutos por app

  • Llamar "maliciosa" a una app pirateada es una exageración

    • Queda la duda de si fue hecha por el titular de los derechos de autor

  • EE. UU. necesita una ley como la DMA

    • Una sola empresa no debería poder tomar como rehenes a más del 60% de los usuarios en EE. UU.
    • Apple y Google no deberían quedarse con entre el 15% y el 30% de todos los ingresos generados en el mercado total de apps móviles

  • Miles de personas en canales/grupos de Telegram se interesan por las apps más recientes que lograron pasar la revisión de la App Store

    • Las usan hasta que Apple toma medidas, y luego el ciclo se repite
    • También existe un mercado para certificados de firma y lugares en máquinas de desarrollador de Apple

  • Muchas apps no son más que una webview de una página web remota

    • Se actualizan cada vez que el servidor actualiza la página
    • No requieren revisión

  • Algunas apps solo pasan por revisión humana después de volverse lo bastante populares

    • El caso de Skacz Kurwa es un ejemplo
    • A pesar de su título poco apto para toda la familia, recibió bastante atención