توسعه‌دهنده‌ها چطور اپ‌استور اپل را برای تأیید اپ‌های مخرب فریب می‌دهند؟

بنابر گزارشی از 9to5mac مبنی‌بر چگونگی انتشار اپ‌های مخرب در اپ‌استور اپل، ماه گذشته اپلیکیشنی به نام Collect Cards به رتبه اول پردانلودترین اپلیکیشن‌های رایگان برخی کشورها رسید. پس از انتشار گزارش مخرب‌بودن آن، اپل این اپلیکیشن را کاملاً حذف کرد؛ اما نسخه‌های دیگری از همان اپلیکیشن به‌سرعت در اپ‌استور منتشر شدند.

تیم بررسی اپ‌استور اپل بیش از ۵۰۰ متخصص انسانی برای بررسی بیش از ۱۰۰ هزار اپلیکیشن در هفته دارد. باوجوداین، اکثر اپلیکیشن‌ها برای بررسی اینکه آیا قوانین اپ‌استور را نقض می‌کنند یا خیر، ابتدا فرایند بررسی خودکار را پشت‌سر می‌گذارند و سپس به‌صورت دستی تجزیه‌و‌تحلیل می‌شوند.

درواقع، این اپلیکیشن‌ها با دورزدن قانون حصاربندی جغرافیایی از نوع دیجیتال یا به‌اصطلاح Geofence، از دسترسی کارمندان اپل به عملکرد واقعی خود مانع می‌شوند. این اپلیکیشن‌ها از کد پایه‌ی مشترکی استفاده می‌کنند؛ حتی اگر با حساب توسعه‌دهنده‌های مختلف توزیع شوند.

آن‌ها با استفاده از فریم‌ورک کراس‌پلتفرم مبتنی‌بر جاوااسکریپت به نام React Native و کیت توسعه‌ی نرم‌افزار CodePush مایکروسافت ساخته شده‌اند که به توسعه‌دهندگان اجازه می‌دهد بدون ارسال نسخه‌ی جدید به اپ‌استور، بخش‌هایی از اپلیکیشن‌های خود را به‌روزرسانی کنند.

در تحلیل هر اپلیکیشن‌،‌ به مخزن گیت‌هاب اشاره می‌کند که ظاهراً فایل‌های چندین اپلیکیشن استریم غیرمجاز را در‌اختیار قرار می‌دهد. این اپلیکیشن از رابط برنامه‌نویسی کاربردی (API) خاص برای بررسی موقعیت مکانی دستگاه بر‌اساس آدرس IP نیز استفاده می‌کند. این API داده‌هایی مانند کشور، منطقه، شهر و حتی طول و عرض جغرافیایی تقریبی را تغییر می‌دهد.

هنگامی‌که اپلیکیشن برای اولین‌بار باز می‌شود، چند ثانیه منتظر می‌ماند تا API موقعیت مکانی را شناسایی کند. بدین‌ترتیب، فرایند بررسی خودکار اپ استور مورد غیرعادی در کد اپلیکیشن مشاهده نمی‌کند؛ بنابراین، این اپ در نظر سیستم ناظر اپ‌استور، در منطقه‌ی امن قرار می‌گیرد. پس از اینکه اپل آن اپلیکیشن را با قابلیت‌های اصلی تأیید کرد، توسعه‌دهندگان از CodePush برای به‌روزرسانی آن برای هر آن چیزی که می‌خواهند، استفاده می‌کنند.