谁来为App Store的审核漏洞买单业界

砍柴网 / 柚子 / 2015-03-20 16:36
一直以来,苹果一直在标榜自己App Store的安全性,苹果的封闭系统和App Store看似严格的审核制度也给人一种错觉,认为App Store比一般的移动应用市场如Google Play、豌豆荚...

连日来,苹果服务器持续出现异常,甚至在3月11日出现了大面积瘫痪,App Store无法正常登陆,部分App不能正常显示。这次宕机引起了不少猜测,有说是苹果自身程序漏洞的,也有说是黑客恶意攻击的,但不管事实如何,App Store的漏洞给用户和开发者带来的困扰是真实存在的,也让舆论再次聚焦在了App Store上。

一直以来,苹果一直在标榜自己App Store的安全性,苹果的封闭系统和App Store看似严格的审核制度也给人一种错觉,认为App Store比一般的移动应用市场如Google Play、豌豆荚、360应用市场等更加安全,不会存在盗版、垃圾或者恶意软件,但事实却总是让人大跌眼镜。

应用名称被山寨应用抢注

苹果用户在使用App Store搜索一些热门应用时,经常会出现许多山寨应用,不少人会细心的发现,有些热门应用的名称也已经被山寨应用抢先注册了。与商标或者域名被抢先注册不同的是,这些山寨应用会直接影响到用户的体验,甚至带来危害。

苹果公司早在2010年就发送邮件表示要开始打击软件名抢注行为。苹果强化了App Store上架审核,仅仅注册了应用名称,如果90天内没有提交代码、未来30天内仍未提交软件,苹果将删除该软件名称的注册记录,允许其他开发者使用。

但这样的审核制度仍然让有心人有机可趁。2014年11月,平安集团旗下的上海陆家嘴国际金融资产交易市场(简称“陆金所”)App就遭到山寨,投诉无果后,将苹果公司上诉至美国北加州旧金山地区法院,苹果公司才在AppStore中下架了山寨“陆金所App”。

盗版射鸡

正版射鸡

无独有偶,2015年3月,上海腾翀网络科技有限公司《聚会玩》团队开发的《射鸡》也惨遭山寨。与一般被山寨的应用不同,大部分山寨软件仅仅是模仿或者抄袭,而“山寨射鸡”则是完全照搬,连游戏界面、设计原图都只是改了颜色,让人啼笑皆非,不禁要怀疑,苹果所谓的审核机制到底是什么标准。

《聚会玩》的负责人表示,目前《聚会玩》团队已经向苹果公司提交了申诉和证据,如果苹果公司消极不作为,那就是对用户和开发者双方的不负责任。

恶意软件栽赃无辜开发者

如何成为App Store的应用开发者?成本仅仅是99美元的开发者注册费用。虽说这一低门槛给广大开发者带来了好处,但也有人打起了坏主意。

2013年,一位以“Mario Casas”马甲隐藏自己真实身份的应用销售者,将一款名为Super Monster Bros by Adventure Time Pocket Free Games(简称SMB)的垃圾游戏栽赃给了CocoaChina,触控科技旗下开发者社区。

SMB

这款游戏除了粗制滥造,还公然盗用了任天堂旗下《口袋妖怪》的众多形象,引起了轩然大波。直到媒体曝光之后,苹果公司才对其进行下架处理。而其背后的开发者“Mario Casas”使用的恶意手法也渐渐浮出水面。

原来,由于很多App的技术支持会外包给第三方,同时存在一些开发商委托发行商发布App,但自行负责技术支持的情况,App Store的support url的填写状况非常复杂,苹果只审核开发者名称,并不要求support url与开发者身份保持一致,也不会对此进行审核。不少山寨软件开发者会在应用的技术支持链接处填上一个完全无关的网址,将自己的恶行栽赃给无辜的人。

恶意程序能轻易通过审批

以上两种状况苹果公司或许会将责任推到人工审核上,但是恶意程序也能轻易通过审批就一定是技术审核的问题了。

早在2011年,知名安全研究员查理-米勒(Charlie Miller)在苹果应用商店中发布了一款名为InstaStock的股票查看程序,该程序可以利用他自己的服务器来获得新的代码。而根据苹果应用商店的规定,这种行为是被严令禁止的,这样的应用程序也是无法通过审核的。

而2013年8月,几名佐治亚理工学院的研究员透露,他们将恶意程序注入一款新闻阅读软件后,成功地骗过了App Store的审核。这款可以上架App Store的软件只有在用户进行安装时才会“生效”,它会在用户的设备上生成恶意代码,然后在不知不觉中盗取用户的个人信息。实验证明,苹果的安全审核程序无法识别这种伪装的恶意程序。

种种事实表明,苹果既严格又松散的应用审核制度实际存在相当大的漏洞,他们会小心翼翼的检查每个API,会严格要求上架的App与自己的产品不冲突,维护自己的产品以及封闭的系统;但是却对直接影响用户体验、消费的项目放任自流,甚至不管不顾。山寨、垃圾、恶意软件的横行,不仅是对开发者的不尊重,也是对用户不负责的表现。



1.砍柴网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为砍柴网或将追究责任;3.作者投稿可能会经砍柴网编辑修改或补充。


阅读延展

1
3