▲neo 4달전 | parent | favorite | on: GN⁺: 개발자가 악성 앱을 승인받기 위해 App Store 리뷰를 속이는 방법(9to5mac.com)Hacker News 의견 Apple의 지오펜싱 트릭을 무력화하더라도 행동을 숨기는 것은 간단함 앱의 빌드 번호로 서버에 API 호출 API 응답으로 "비밀" 기능 활성화 여부 제어 리뷰 통과 후에만 각 빌드의 비밀 기능 활성화 동적/해석 코드 불필요 이 방법은 정지 문제로 환원 가능하여 결정 불가능함 Apple이 싫어하는 행동을 밀어붙일 때 시간 기반 트릭 사용 앱 제출 후 20일 후에 버튼의 행동 변경 "파일 열기" 대화 상자가 사용자 루트 디렉토리로 직접 이동하게 함 Apple의 동적 업데이트 관련 언어 설명 실행 가능한 코드는 다운로드 또는 설치 불가 해석된 코드는 다운로드 가능하지만 다음 조건을 충족해야 함 앱의 주요 목적을 변경하지 않음 다른 코드나 앱을 위한 스토어를 생성하지 않음 서명, 샌드박스 또는 기타 보안 기능을 우회하지 않음 대부분의 사기 앱은 주간 구독을 통해 돈을 빼앗음 비반복적인 주간 패스의 사용 사례 존재 (예: 여행 중 VPN 앱) 반복적인 주간 결제는 수동 승인이 필요함 모든 앱이 주간 반복 결제를 허용해서는 안 됨 2021년에 App Store Review 팀이 매주 100,000개 이상의 앱을 검토함 검토자들이 100% 시간을 검토에 할애한다고 가정하면 앱당 약 12분 소요 해적판 앱을 "악성"이라고 부르는 것은 과장된 표현임 저작권 소유자가 작성한 것인지 의문 미국은 DMA와 같은 법률이 필요함 한 회사가 60% 이상의 미국 사용자를 인질로 잡아서는 안 됨 Apple과 Google이 전체 모바일 앱 시장에서 발생하는 모든 수익의 15%에서 30%를 차지해서는 안 됨 텔레그램 채널/그룹에 수천 명의 사람들이 앱 스토어 검토를 통과한 최신 앱에 관심을 가짐 Apple이 조치를 취할 때까지 사용하고, 그 후 다시 반복됨 서명 인증서와 Apple 개발자 머신 자리를 위한 시장도 존재 많은 앱이 원격 웹페이지의 웹뷰일 뿐임 서버가 페이지를 업데이트할 때마다 업데이트됨 검토 불필요 일부 앱은 충분한 인기를 얻은 후에만 인간 검토를 거침 Skacz Kurwa 사건이 그 예시 가족 친화적이지 않은 제목에도 불구하고 상당한 주목을 받음
Hacker News 의견
Apple의 지오펜싱 트릭을 무력화하더라도 행동을 숨기는 것은 간단함
Apple이 싫어하는 행동을 밀어붙일 때 시간 기반 트릭 사용
Apple의 동적 업데이트 관련 언어 설명
대부분의 사기 앱은 주간 구독을 통해 돈을 빼앗음
2021년에 App Store Review 팀이 매주 100,000개 이상의 앱을 검토함
해적판 앱을 "악성"이라고 부르는 것은 과장된 표현임
미국은 DMA와 같은 법률이 필요함
텔레그램 채널/그룹에 수천 명의 사람들이 앱 스토어 검토를 통과한 최신 앱에 관심을 가짐
많은 앱이 원격 웹페이지의 웹뷰일 뿐임
일부 앱은 충분한 인기를 얻은 후에만 인간 검토를 거침