Onlangs wist een kwaadaardige app de beveiligingsfilters van Apple’s App Store te omzeilen. De app was een tijdje beschikbaar, maar een rapport bracht het aan het licht en het bedrijf ondernam actie. Nu zijn er meer details naar buiten gekomen over hoe deze apps het beoordelingssysteem van de gigant uit Cupertino ‘misleiden’ om de App Store te bereiken.
Kwaadaardige apps gebruiken geofence om het beoordelingssysteem van de App Store te misleiden
Zoals gemeld door 9to5Mac, gebruiken de kwaadaardige apps voornamelijk een methode genaamd “geofence”. Het bestaat uit het weergeven van een andere UI of functionaliteit, afhankelijk van de locatie die door de app is gedetecteerd. Een piratenstreaming-app kan bijvoorbeeld zijn echte UI verbergen wanneer hij door de beveiligingssystemen van Apple heen komt. Ze kunnen ook hun toevlucht nemen tot valse namen om onopgemerkt te blijven. Dit gebeurde onlangs met een app genaamd “Collect Cards”, waarvan het echte doel was om piratenmedia-inhoud aan te bieden.
De geofence voorkomt dat de automatische evaluatiesystemen van de App Store in eerste instantie kunnen detecteren wat de app daadwerkelijk doet. Als de app een locatie detecteert die overeenkomt met een “gevaarlijk” geografisch gebied (zoals de Verenigde Staten), kan de gebruikersinterface een eenvoudig kaartspel weergeven. Als de app echter andere landen detecteert met minder strenge anti-piraterijwetten, zoals Brazilië, zal de app zijn ware aard laten zien.
Bovendien activeert de app zijn geolocatie-API niet direct na het uitvoeren ervan, om geen argwaan te wekken bij het automatische evaluatiesysteem. Standaard zal het dus altijd eerst de nep-UI tonen.
Vergelijkbare apps delen dezelfde codebasis
Ontwikkelaars van dit soort apps gebruiken een gemeenschappelijke codebase. Ze zijn meestal gebouwd rond het React Native-framework en CodePush (Microsoft’s SDK). Dat laatste is vooral belangrijk omdat het tweaks aan de app mogelijk maakt zonder dat er nieuwe updates via de App Store hoeven te worden ingediend. Op die manier wordt het risico op detectie verder verkleind. De app doorloopt immers niet de gebruikelijke beveiligingsfilters die elke update-upload vereist.
Volgens de bron komt de codebase voor dit soort apps uit één GitHub-repository. Dus in theorie zou iedereen kunnen proberen om zijn eigen kwaadaardige apps te uploaden en de beveiligingsfilters te omzeilen. Hoewel de piratenstreaming-app werd verwijderd, heeft Apple niet bekendgemaakt of het zijn app-beoordelingssysteem zou aanpassen. In het verleden hebben niet-kwaadaardige apps, zoals Uber, in theorie ook geofences gebruikt om een systeem van gebruikerstracking op het web te verbergen.
