App Store bị lừa chấp thuận ứng dụng độc hại

App Store bị lừa chấp thuận ứng dụng độc hại

Để qua mặt quy trình kiểm duyệt của App Store, nhà phát triển được cho là đã dùng React Native và CodePush để cập nhật từng phần ứng dụng.

Apple hiện có quy trình kiểm duyệt gắt gao đối với các ứng dụng trên App Store và được đánh giá khó hơn nhiều lần so với Play Store của Google. Tuy nhiên, một số nhà phát triển không minh bạch vẫn có cách lách quy định.

Dù đã có nghi vấn trước đây, vấn đề này bắt đầu được 9to5mac đi sâu phân tích sau khi vào tháng trước, trang này phát hiện ứng dụng Collect Cards: Store box đã tồn tại trên kho ứng dụng hơn một năm. Phần mô tả không đề cập nhiều đến tính năng, ảnh chụp màn hình là giao diện đơn giản, cho thấy nó là phần mềm quản lý ảnh và video.

Nhưng thực tế, khi tải xuống, ứng dụng lại biến thành nền tảng phát trực tuyến lậu, với nội dung từ Netflix, Disney+, Amazon Prime Video, HBO Max và thậm chí cả Apple TV+. Mọi thứ chỉ được chú ý khi phần mềm lọt top 2 ứng dụng miễn phí được tải xuống nhiều nhất trên App Store tại Brazil.

Ban đầu, nhà phát triển đứng sau được cho là đã dùng Geofencing - công nghệ sử dụng vị trí địa lý để xác định hoặc giới hạn khu vực cụ thể - để ngăn không cho bất kỳ ai tại Apple nhìn thấy khả năng thực sự của ứng dụng, từ đó qua mặt kiểm duyệt. Tuy nhiên, câu chuyện phức tạp hơn.

Khi phân tích mã nguồn của Collect Cards: Store box và một số ứng dụng tương tự trên App Store, chuyên gia của 9to5mac nhận thấy hầu hết chia sẻ cùng một cơ sở mã ngay cả khi được phân phối bởi các tài khoản của nhà phát triển khác nhau. Chúng được dựng trên React Native, hệ thống đa nền tảng dựa trên java script và sử dụng SDK CodePush của Microsoft, cho phép nhà phát triển cập nhật từng phần của ứng dụng mà không cần phải gửi bản dựng mới đến App Store.

Việc sử dụng React Native và CodePush không vi phạm quy tắc của App Store. Trên thực tế, có nhiều ứng dụng phổ biến đang làm như vậy. Tuy nhiên, các nhà phát triển "độc hại" lợi dụng công nghệ này để qua mặt quá trình đánh giá của App Store.

Nhà phát triển này sau đó sử dụng tệp chuyên cung cấp cho các phần mềm phát trực tuyến lậu để cập nhật, thường được chia sẻ công khai trên các nền tảng như Github. Một API cụ thể được dùng để kiểm tra vị trí của thiết bị dựa trên địa chỉ IP và trả về dữ liệu như quốc gia, khu vực, thành phố, thậm chí cả kinh độ và vĩ độ ước tính.

Khi được mở lần đầu, ứng dụng sẽ đợi vài giây để gọi API định vị địa lý. Theo cách này, quy trình đánh giá tự động của App Store sẽ không thấy bất kỳ điều gì bất thường trong mã của ứng dụng. Dựa trên vị trí địa lý, ứng dụng sẽ không tiết lộ giao diện ẩn của nó. Nói cách khác, sau khi Apple chấp thuận ứng dụng với các chức năng cơ bản, nhà phát triển sẽ sử dụng CodePush để cập nhật bất kỳ thứ gì họ muốn. Cuối cùng, ứng dụng sẽ chạy tính năng thực sự của nó ở những vị trí "an toàn".

Sau bài viết của 9to5mac, Apple đã xóa các ứng dụng liên quan, nhưng từ chối bình luận.

Theo tài liệu tòa án được công bố năm 2021, nhóm kiểm duyệt App Store hiện có hơn 500 chuyên gia, phụ trách đánh giá hơn 100.000 ứng dụng mỗi tuần. Apple cũng áp dụng hệ thống đánh giá tự động trước khi chuyển sang quy trình đánh giá thủ công.

← Bài trước Bài sau →