Apple은 앱과 App Store를 보호하기 위해 취하는 광범위한 조치를 계속해서 공개하고 있습니다. 제출된 신청서를 검토할 수 있는 수많은 인간 검토자와 도구가 있습니다. 그러나 개발자는 여전히 악성 앱이 검사를 통과하도록 허용합니다. 그들이 사용하는 몇 가지 기술과 이를 막기 위해 Apple이 할 수 있는 일은 다음과 같습니다.

Apple은 포괄적인 보안 조치를 사용하여 앱을 맬웨어 및 변조로부터 보호합니다. 사용자는 먼저 철저한 검토를 거친 iOS 및 iPadOS 앱만 AppStore에서 다운로드할 수 있습니다. 이러한 포괄적인 노력은 자동화된 시스템과 인간 검토자를 결합하여 높은 보안 표준을 유지합니다. 회사의 앱 검토 팀은 매주 제출된 약 132,500개의 앱을 평가하고 다양한 도구를 사용하여 잠재적인 사기 및 개인정보 침해를 탐지해야 하는 500명 이상의 전문가로 구성되어 있습니다. 이러한 노력에도 불구하고 일부 악성 애플리케이션은 여전히 ​​문제를 겪고 있습니다.

올 여름 초, 9to5Mac은 실제 목적을 숨기기 위해 위치 기반 기능을 사용하여 Apple의 App Store 검토 팀을 우회하는 사진 관리 도구로 위장한 불법 스트리밍 앱에 대해 보고했습니다.

"Collect Cards: StoreBox"라는 제품은 App Store에 1년 넘게 출시되었으며 결국 브라질에서 두 번째로 많이 다운로드되는 무료 애플리케이션이 되었습니다. 이후 선반에서 제거되었습니다. 이 앱은 미국의 Apple 리뷰어에게 간단한 인터페이스를 제공하는 동시에 Netflix, Disney+, Amazon Prime Video, HBO Max 및 다른 지역의 AppleTV+에서 불법 복제된 콘텐츠를 제공합니다. 미국 사용자에게 모든 스트리밍 관련 기능을 숨김으로써 Apple 직원은 사진과 비디오에 초점을 맞춘 간단한 버전만 볼 수 있었습니다.

모든 예방 조치와 검사 조치에도 불구하고 Apple은 앱을 스토어에 출시하기 전에 개발자의 기만적인 전술을 식별하고 저지하기 위해 계속해서 고양이와 쥐 게임을 계속하고 있습니다. Google이 매년 Google Play에서 수백 개의 악성 앱을 제거하기 때문에 비슷한 문제에 직면하고 있다고 상상하는 것은 어렵지 않습니다.

그러나 Apple은 많은 사기 행위를 차단했습니다. 지난해 Apple은 사기 및 남용으로 인해 1억 5,300만 개 이상의 가짜 사용자 계정을 차단했으며 약 3억 7,400만 개에 달하는 개발자 계정을 정지했습니다. Apple은 또한 지난 12개월 동안 불법 복제된 상점에 있는 47,000개 이상의 불법 앱을 식별하고 사용자에게 접근하지 못하도록 차단했다고 밝혔습니다. 불행하게도, 악의적인 행위자들은 속임수 전술과 숨겨진 기능과 같은 정교한 기법을 통해 Apple의 보호 장치를 우회하려고 계속해서 방법을 개선하고 있습니다.

2017년에는 Uber가 Apple의 Cupertino 본사 주변에 '지오펜스'를 설치한 혐의로 기소된 또 다른 위치 기반 스푸핑 사례가 발생했습니다. Apple의 검토 팀을 포함하여 해당 영역 내에서 앱을 사용하는 모든 사람의 경우 앱은 Uber가 네트워크에서 사용자를 지문 인식하고 추적하는 데 사용하는 코드를 자동으로 비활성화합니다.

위치 기반 기능 외에도 부도덕한 개발자가 활용할 수 있는 방법이 더 많이 있습니다. 이러한 방법은 다양한 위치에서 또는 오랜 기간 동안 앱을 철저하게 테스트할 수 없다는 Apple 검토 프로세스의 한계를 활용합니다.

한 가지 전략은 ReactNative와 Microsoft의 CodePushSDK를 사용하는 것입니다. 이를 통해 개발자는 새 빌드를 제출하지 않고도 승인 후 앱의 일부를 업데이트할 수 있습니다. 또 다른 접근 방식은 자동 검토 중에 탐지를 피하기 위해 Geolocation API 호출을 몇 초 동안 지연시키는 것입니다.

일부 개발자는 검토 프로세스 중에 기본적인 규정 준수 기능만 제공한 다음 CodePush를 사용하여 숨겨진 기능이나 악의적인 기능을 도입합니다. 또한 다양한 개발자 계정을 통해 공유 코드 기반으로 여러 애플리케이션을 게시하는 개발자도 있으므로 모든 인스턴스를 추적하고 제거하는 작업이 더욱 복잡해집니다.

보다 기만적인 경우에는 앱이 무고한 소프트웨어인 것처럼 가장하지만 일단 승인되면 완전히 다른 소프트웨어로 변합니다. 개발자가 이러한 트릭을 사용하는 것을 막는 것은 거의 불가능합니다.

그러나 Apple은 앱 제출 프로세스를 개선할 수 있습니다. 예를 들어 검토 팀은 소프트웨어가 다른 곳에서 어떻게 작동하는지 확인하기 위해 추가 테스트를 구현할 수 있습니다. 또한 Apple은 보안 연구원의 지침을 수동적으로 받아들이는 대신 App Store에서 사기 행위를 식별하고 제거하는 데 보다 적극적으로 대처할 수도 있습니다.