GN⁺: 개발자가 악성 앱을 승인받기 위해 App Store 리뷰를 속이는 방법

 (9to5mac.com)
2P by neo 4달전 | favorite | 댓글 1개
  • "Collect Cards" 앱이 일부 국가에서 무료 앱 다운로드 순위에서 상위에 오름.
  • 9to5Mac의 보고서 후 Apple은 해당 앱을 제거했으나, 같은 앱의 다른 버전이 다시 App Store에 출시됨.
  • 기술 분석:
    • 앱이 동일한 코드 베이스를 공유하며, 다른 개발자 계정에서 배포됨.
    • React Native 기반으로 구축되었으며, Microsoft의 CodePush SDK를 사용해 새로운 빌드를 App Store에 보내지 않고도 앱의 일부를 업데이트할 수 있음.
    • 이러한 기술들은 App Store 규정을 위반하지 않음.
  • 악성 개발자 기법:
    • 악성 개발자들은 이러한 기술을 악용해 App Store 리뷰를 우회함.
    • 특정 GitHub 저장소가 여러 해적 스트리밍 앱에 대한 파일을 제공함.
    • 위치 기반 API를 사용해 기기의 위치를 확인함.
    • 처음 앱이 열리면 지리적 위치 API를 호출하기 전에 몇 초를 대기함.
    • App Store 자동화 리뷰 프로세스가 앱의 코드에서 이상한 점을 발견하지 못하게 함.
    • 특정 안전한 위치에서만 숨겨진 인터페이스를 드러냄.

Apple이 할 수 있는 대응

  • 리뷰 시스템 개선:
    • Apple은 앱의 다른 위치에서의 동작을 확인하기 위한 추가 테스트를 구현할 수 있음.
    • 사기 앱을 더 적극적으로 찾아 제거해야 함.
  • 과거 사례:
    • 2017년에 Uber는 Apple의 본사에 대한 지리적 경계를 설정한 혐의로 고발됨.
    • 앱이 이 지리적 경계 내에서 실행되면, 사용자를 추적하는 코드를 자동으로 비활성화함.
    • Apple은 이와 같은 상황을 방지하기 위한 조치를 충분히 취하지 않은 것으로 보임.
  • 현재 상황:
    • 2021년 문서에 따르면, App Store 리뷰 팀은 500명 이상의 전문가로 구성되어 있으며 매주 100,000개 이상의 앱을 리뷰함.
    • 대부분의 앱은 수동 리뷰 프로세스를 거치기 전에 자동화 리뷰 프로세스를 통과함.
  • Apple의 공식 반응:
    • _9to5Mac_의 기사 후 Apple 대변인은 해당 앱이 App Store에서 제거되었다고 밝혔으나, 다른 유사 앱의 승인을 막기 위한 조치에 대해서는 구체적으로 언급하지 않음.

GN⁺의 의견

  • 이 기사는 App Store 리뷰 시스템의 허점을 악용하는 악성 앱의 존재를 상세히 보여줌.
  • Apple은 기술적으로 우수한 보안 시스템을 가지고 있으나, 더 정교한 리뷰 메커니즘이 필요함을 시사함.
  • 사용자 입장에서는 앱 다운로드 전에 리뷰와 평판을 확인하는 것이 중요함.
  • 다른 모바일 앱 스토어들도 비슷한 문제를 겪을 수 있으므로, 업계 전반에 걸쳐 보안 프로토콜이 강화되어야 함.
  • 새로운 기술이나 오픈 소스를 채택할 때 보안 측면을 충분히 고려해야 함.
neo 4달전  [-]
Hacker News 의견

  • Apple의 지오펜싱 트릭을 무력화하더라도 행동을 숨기는 것은 간단함

    • 앱의 빌드 번호로 서버에 API 호출
    • API 응답으로 "비밀" 기능 활성화 여부 제어
    • 리뷰 통과 후에만 각 빌드의 비밀 기능 활성화
    • 동적/해석 코드 불필요
    • 이 방법은 정지 문제로 환원 가능하여 결정 불가능함

  • Apple이 싫어하는 행동을 밀어붙일 때 시간 기반 트릭 사용

    • 앱 제출 후 20일 후에 버튼의 행동 변경
    • "파일 열기" 대화 상자가 사용자 루트 디렉토리로 직접 이동하게 함

  • Apple의 동적 업데이트 관련 언어 설명

    • 실행 가능한 코드는 다운로드 또는 설치 불가
    • 해석된 코드는 다운로드 가능하지만 다음 조건을 충족해야 함
      • 앱의 주요 목적을 변경하지 않음
      • 다른 코드나 앱을 위한 스토어를 생성하지 않음
      • 서명, 샌드박스 또는 기타 보안 기능을 우회하지 않음

  • 대부분의 사기 앱은 주간 구독을 통해 돈을 빼앗음

    • 비반복적인 주간 패스의 사용 사례 존재 (예: 여행 중 VPN 앱)
    • 반복적인 주간 결제는 수동 승인이 필요함
    • 모든 앱이 주간 반복 결제를 허용해서는 안 됨

  • 2021년에 App Store Review 팀이 매주 100,000개 이상의 앱을 검토함

    • 검토자들이 100% 시간을 검토에 할애한다고 가정하면 앱당 약 12분 소요

  • 해적판 앱을 "악성"이라고 부르는 것은 과장된 표현임

    • 저작권 소유자가 작성한 것인지 의문

  • 미국은 DMA와 같은 법률이 필요함

    • 한 회사가 60% 이상의 미국 사용자를 인질로 잡아서는 안 됨
    • Apple과 Google이 전체 모바일 앱 시장에서 발생하는 모든 수익의 15%에서 30%를 차지해서는 안 됨

  • 텔레그램 채널/그룹에 수천 명의 사람들이 앱 스토어 검토를 통과한 최신 앱에 관심을 가짐

    • Apple이 조치를 취할 때까지 사용하고, 그 후 다시 반복됨
    • 서명 인증서와 Apple 개발자 머신 자리를 위한 시장도 존재

  • 많은 앱이 원격 웹페이지의 웹뷰일 뿐임

    • 서버가 페이지를 업데이트할 때마다 업데이트됨
    • 검토 불필요

  • 일부 앱은 충분한 인기를 얻은 후에만 인간 검토를 거침

    • Skacz Kurwa 사건이 그 예시
    • 가족 친화적이지 않은 제목에도 불구하고 상당한 주목을 받음
답변달기