- L’app « Collect Cards » est montée en tête du classement des téléchargements d’apps gratuites dans certains pays.
- Après un article de 9to5Mac, Apple a retiré l’app, mais une autre version de la même app a ensuite été republiée sur l’App Store.
- Analyse technique :
- L’app partage la même base de code et est distribuée via différents comptes développeur.
- Elle est construite sur React Native et utilise le SDK CodePush de Microsoft, ce qui permet de mettre à jour certaines parties de l’app sans envoyer une nouvelle build sur l’App Store.
- Ces techniques ne violent pas les règles de l’App Store.
- Techniques des développeurs malveillants :
- Des développeurs malveillants détournent ces techniques pour contourner la revue de l’App Store.
- Un dépôt GitHub précis fournit des fichiers pour plusieurs apps de streaming pirate.
- L’app utilise une API de géolocalisation pour vérifier la position de l’appareil.
- Lors du premier lancement, elle attend quelques secondes avant d’appeler l’API de géolocalisation.
- Cela empêche le processus de revue automatisé de l’App Store de repérer quoi que ce soit d’anormal dans le code de l’app.
- Elle ne révèle son interface cachée que dans certaines positions considérées comme sûres.
Ce qu’Apple peut faire
- Améliorer le système de revue :
- Apple pourrait mettre en place des tests supplémentaires pour vérifier le comportement des apps depuis différents emplacements.
- L’entreprise devrait rechercher et supprimer plus activement les apps frauduleuses.
- Cas passés :
- En 2017, Uber a été accusé d’avoir défini une barrière géographique autour du siège d’Apple.
- Quand l’app s’exécutait à l’intérieur de cette zone, elle désactivait automatiquement le code de suivi des utilisateurs.
- Apple ne semble pas avoir pris suffisamment de mesures pour empêcher ce type de situation.
- Situation actuelle :
- D’après un document de 2021, l’équipe chargée de la revue de l’App Store est composée de plus de 500 experts et examine plus de 100 000 apps par semaine.
- La plupart des apps passent d’abord par un processus de revue automatisé avant la revue manuelle.
- Réaction officielle d’Apple :
- Après l’article de 9to5Mac, un porte-parole d’Apple a indiqué que l’app avait été retirée de l’App Store, sans préciser les mesures prises pour empêcher l’approbation d’autres apps similaires.
Avis de GN⁺
- Cet article montre en détail l’existence d’apps malveillantes qui exploitent les failles du système de revue de l’App Store.
- Il suggère qu’Apple dispose d’un système de sécurité techniquement solide, mais qu’un mécanisme de revue plus sophistiqué est nécessaire.
- Du point de vue des utilisateurs, il est important de vérifier les avis et la réputation avant de télécharger une app.
- D’autres stores d’apps mobiles peuvent rencontrer des problèmes similaires, ce qui implique un renforcement des protocoles de sécurité à l’échelle du secteur.
- Lors de l’adoption de nouvelles technologies ou de l’open source, les aspects de sécurité doivent être pleinement pris en compte.
1 commentaires
Avis de Hacker News
Même en neutralisant les astuces de géorepérage d’Apple, il reste simple de dissimuler un comportement
Utilisation d’astuces basées sur le temps pour imposer des comportements qu’Apple n’aime pas
Explication du libellé d’Apple concernant les mises à jour dynamiques
La plupart des apps frauduleuses extorquent de l’argent via des abonnements hebdomadaires
En 2021, l’équipe App Store Review examinait plus de 100 000 apps par semaine
Qualifier une app pirate de « malveillante » est exagéré
Les États-Unis ont besoin d’une loi comme le DMA
Des milliers de personnes sur des canaux/groupes Telegram s’intéressent aux dernières apps qui ont passé la review de l’App Store
Beaucoup d’apps ne sont rien d’autre que des WebView pointant vers des pages web distantes
Certaines apps ne font l’objet d’une review humaine qu’après avoir acquis une popularité suffisante