डेवलपर्स App Store review को धोखा देकर malicious app कैसे approve कराते हैं

 (9to5mac.com)
2 पॉइंट द्वारा GN⁺ 2024-08-05 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • "Collect Cards" ऐप कुछ देशों में free app downloads रैंकिंग में शीर्ष पर पहुंच गया।
  • 9to5Mac की रिपोर्ट के बाद Apple ने उस ऐप को हटा दिया, लेकिन उसी ऐप का एक दूसरा version फिर से App Store पर जारी कर दिया गया।
  • तकनीकी विश्लेषण:
    • ऐप एक ही code base साझा करते हैं और अलग-अलग developer accounts से वितरित किए जाते हैं।
    • यह React Native पर बनाया गया है और Microsoft के CodePush SDK का उपयोग करता है, जिससे App Store में नया build भेजे बिना भी ऐप के कुछ हिस्सों को update किया जा सकता है।
    • ये तकनीकें App Store के नियमों का उल्लंघन नहीं करतीं।
  • malicious developers की तकनीकें:
    • malicious developers इन तकनीकों का दुरुपयोग करके App Store review को bypass करते हैं।
    • एक खास GitHub repository कई pirate streaming apps के लिए files उपलब्ध कराती है।
    • device की location जांचने के लिए location-based API का उपयोग किया जाता है।
    • ऐप पहली बार खुलने पर geolocation API को call करने से पहले कुछ seconds इंतजार करता है।
    • इससे App Store की automated review process ऐप के code में कुछ असामान्य नहीं पकड़ पाती।
    • यह केवल कुछ सुरक्षित locations में ही hidden interface दिखाता है।

Apple क्या कर सकता है

  • review system में सुधार:
    • Apple ऐप के अलग-अलग locations में behavior की जांच करने के लिए अतिरिक्त tests लागू कर सकता है।
    • उसे fraudulent apps को और अधिक सक्रिय रूप से खोजकर हटाना चाहिए।
  • पिछले मामले:
    • 2017 में Uber पर Apple headquarters के लिए geofence सेट करने का आरोप लगा था।
    • जब ऐप इस geofence के भीतर चलता था, तो वह users को track करने वाला code अपने आप disable कर देता था।
    • ऐसा लगता है कि Apple ने इस तरह की स्थिति रोकने के लिए पर्याप्त कदम नहीं उठाए।
  • मौजूदा स्थिति:
    • 2021 के एक दस्तावेज़ के अनुसार, App Store review team में 500 से अधिक experts हैं और वह हर हफ्ते 100,000 से अधिक apps की समीक्षा करती है।
    • अधिकांश apps manual review process से पहले automated review process से गुजरते हैं।
  • Apple की आधिकारिक प्रतिक्रिया:
    • 9to5Mac के लेख के बाद Apple के एक spokesperson ने कहा कि संबंधित ऐप को App Store से हटा दिया गया है, लेकिन अन्य समान apps की approval रोकने के लिए उठाए जाने वाले कदमों पर कोई ठोस टिप्पणी नहीं की।

GN⁺ की राय

  • यह लेख App Store review system की खामियों का फायदा उठाने वाले malicious apps की मौजूदगी को विस्तार से दिखाता है।
  • यह संकेत देता है कि Apple के पास तकनीकी रूप से मजबूत security systems हैं, लेकिन उसे अधिक परिष्कृत review mechanism की आवश्यकता है।
  • users के लिए ऐप download करने से पहले reviews और reputation की जांच करना महत्वपूर्ण है।
  • दूसरे mobile app stores भी इसी तरह की समस्याओं का सामना कर सकते हैं, इसलिए पूरे industry में security protocols को मजबूत किया जाना चाहिए।
  • नई technologies या open source अपनाते समय security पहलुओं पर पर्याप्त विचार किया जाना चाहिए।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-08-05
Hacker News की राय

  • भले ही Apple की geofencing trick को निष्प्रभावी कर दिया जाए, व्यवहार छिपाना आसान है

    • ऐप के build number के साथ सर्वर पर API call
    • API response के जरिए "secret" feature को enable करना है या नहीं, इसे नियंत्रित करना
    • review pass होने के बाद ही हर build का secret feature enable करना
    • dynamic/interpreted code की ज़रूरत नहीं
    • यह तरीका halting problem तक घटाया जा सकता है, इसलिए यह undecidable है

  • जब Apple को नापसंद व्यवहार को आगे बढ़ाना हो, तो time-based trick का इस्तेमाल करें

    • ऐप submit करने के 20 दिन बाद button के व्यवहार को बदलना
    • "Open File" dialog को सीधे user root directory पर ले जाना

  • Apple की dynamic update से संबंधित language का विवरण

    • executable code को download या install नहीं किया जा सकता
    • interpreted code download किया जा सकता है, लेकिन उसे निम्न शर्तें पूरी करनी होंगी
      • ऐप के मुख्य उद्देश्य को नहीं बदलना चाहिए
      • दूसरे code या apps के लिए store नहीं बनाना चाहिए
      • signing, sandbox, या अन्य security features को bypass नहीं करना चाहिए

  • ज़्यादातर scam apps weekly subscription के ज़रिए पैसे ऐंठते हैं

    • non-recurring weekly pass के उपयोग के मामले मौजूद हैं (उदाहरण: यात्रा के दौरान VPN app)
    • recurring weekly payment के लिए manual approval चाहिए
    • सभी apps को weekly recurring billing की अनुमति नहीं दी जानी चाहिए

  • 2021 में App Store Review team हर हफ्ते 100,000 से अधिक apps की समीक्षा करती थी

    • अगर मान लें कि reviewers अपना 100% समय review में लगाते हैं, तो प्रति app लगभग 12 मिनट लगते हैं

  • pirated apps को "malicious" कहना बढ़ा-चढ़ाकर कहना है

    • यह भी सवाल है कि क्या इसे copyright holder ने लिखा है

  • अमेरिका को DMA जैसे कानूनों की ज़रूरत है

    • एक कंपनी को अमेरिका के 60% से अधिक users को बंधक नहीं बनाना चाहिए
    • Apple और Google को पूरे mobile app market से होने वाली कुल आय का 15% से 30% नहीं लेना चाहिए

  • Telegram channel/group में हज़ारों लोग उन नए apps में रुचि रखते हैं जो app store review pass कर चुके होते हैं

    • Apple के कार्रवाई करने तक उनका इस्तेमाल होता है, फिर वही चक्र दोहराया जाता है
    • signing certificates और Apple developer machine slots के लिए भी एक बाज़ार मौजूद है

  • कई apps सिर्फ remote webpage की webview भर हैं

    • सर्वर हर बार page update करता है, तो वे भी update हो जाते हैं
    • review की ज़रूरत नहीं

  • कुछ apps पर्याप्त लोकप्रियता मिलने के बाद ही human review से गुजरते हैं

    • Skacz Kurwa मामला इसका उदाहरण है
    • family-friendly न होने वाले title के बावजूद इसे काफ़ी ध्यान मिला