Apple blijft bekendheid geven aan de uitgebreide maatregelen die het neemt om apps en de App Store te beveiligen. Het beschikt over een leger van menselijke beoordelaars en hulpmiddelen om ingediende aanvragen te beoordelen. Ontwikkelaars laten kwaadaardige apps echter nog steeds door de inspectie heen. Hier zijn enkele van de technieken die ze gebruiken, en wat Apple kan doen om ze te stoppen.

Apple gebruikt uitgebreide beveiligingsmaatregelen om zijn apps te beschermen tegen malware en manipulatie. Gebruikers kunnen alleen iOS- en iPadOS-apps downloaden uit de AppStore, die eerst een grondige beoordeling ondergaan. Deze uitgebreide inspanning combineert geautomatiseerde systemen en menselijke reviewers om hoge beveiligingsnormen te handhaven. Het app-beoordelingsteam van het bedrijf bestaat uit meer dan 500 experts die wekelijks ongeveer 132.500 ingediende apps moeten beoordelen en een verscheidenheid aan tools moeten gebruiken om mogelijke fraude en privacyschendingen op te sporen. Ondanks deze inspanningen glippen sommige kwaadaardige toepassingen nog steeds door de kieren.

Eerder deze zomer rapporteerde 9to5Mac over een illegale streaming-app, vermomd als een tool voor fotobeheer, die erin slaagde het beoordelingsteam van de App Store van Apple te omzeilen door locatiegebaseerde functies te gebruiken om het ware doel ervan te verbergen.

Een product met de naam "Collect Cards: StoreBox" stond meer dan een jaar in de App Store en werd uiteindelijk de op een na meest gedownloade gratis applicatie in Brazilië. Vervolgens werd het uit de schappen gehaald. De app biedt een eenvoudige interface voor Apple-recensenten in de VS en biedt tegelijkertijd illegale inhoud van Netflix, Disney+, Amazon Prime Video, HBO Max en zelfs AppleTV+ uit andere regio's. Door alle streaminggerelateerde functies voor Amerikaanse gebruikers te verbergen, zagen Apple-medewerkers alleen een uitgeklede versie gericht op foto's en video's.

Ondanks alle voorzorgsmaatregelen en screeningmaatregelen blijft Apple betrokken bij een voortdurend kat-en-muisspel, waarbij wordt geprobeerd de misleidende tactieken van ontwikkelaars te identificeren en te dwarsbomen voordat ze hun apps in de winkel plaatsen. Het is niet moeilijk voor te stellen dat Google met een soortgelijk probleem wordt geconfronteerd, aangezien het jaarlijks honderden slechte apps van Google Play verwijdert.

Apple heeft echter veel frauduleuze activiteiten geblokkeerd. Vorig jaar blokkeerde Apple meer dan 153 miljoen valse gebruikersaccounts en schortte bijna 374 miljoen ontwikkelaarsaccounts op vanwege fraude en misbruik. Apple zei ook dat het de afgelopen twaalf maanden meer dan 47.000 illegale apps op illegale winkels heeft geïdentificeerd en geblokkeerd, zodat ze de gebruikers niet konden bereiken. Helaas blijven slechte actoren hun methoden verbeteren en proberen ze de bescherming van Apple te omzeilen door middel van geavanceerde technieken zoals misleidingstactieken en verborgen functies.

Een ander geval van locatiegebaseerde spoofing deed zich voor in 2017, toen Uber werd beschuldigd van het opzetten van een ‘geofence’ rond het hoofdkantoor van Apple in Cupertino. Voor iedereen die de app binnen die zone gebruikt, inclusief het beoordelingsteam van Apple, schakelt de app automatisch de code uit die Uber gebruikt om vingerafdrukken te maken en gebruikers via het netwerk te volgen.

Naast locatiegebaseerde functies zijn er nog veel meer methoden waar gewetenloze ontwikkelaars van kunnen profiteren. Deze methoden profiteren van de beperkingen van het beoordelingsproces van Apple, namelijk het onvermogen om apps grondig te testen op verschillende locaties of over langere perioden.

Eén strategie is het gebruik van ReactNative en Microsoft's CodePushSDK, waarmee ontwikkelaars delen van een app na goedkeuring kunnen bijwerken zonder een nieuwe build te hoeven indienen. Een andere aanpak is om API-oproepen voor geolocatie een paar seconden uit te stellen om detectie tijdens automatische beoordeling te omzeilen.

Sommige ontwikkelaars bieden alleen basiscompliancefunctionaliteit tijdens het beoordelingsproces en gebruiken vervolgens CodePush om verborgen of kwaadaardige functionaliteit te introduceren. Er zijn ook ontwikkelaars die meerdere applicaties met gedeelde codebases publiceren via verschillende ontwikkelaarsaccounts, waardoor de taak van het volgen en verwijderen van alle instanties complexer wordt.

In meer misleidende gevallen doen apps zich voor als onschuldige software, maar veranderen ze in iets heel anders zodra ze zijn goedgekeurd. Het is bijna onmogelijk om ontwikkelaars ervan te weerhouden deze trucjes uit te halen.

Apple zou echter zijn proces voor het indienen van apps kunnen verbeteren. Het reviewteam kan bijvoorbeeld aanvullende tests uitvoeren om te controleren hoe de software zich elders gedraagt. Apple zou ook proactiever kunnen zijn bij het identificeren en verwijderen van fraude uit de App Store, in plaats van passief advies van beveiligingsonderzoekers te accepteren.