A Apple continua a divulgar as extensas medidas tomadas para proteger os aplicativos e a App Store. Possui um exército de revisores humanos e ferramentas para revisar as inscrições enviadas. No entanto, os desenvolvedores ainda permitem que aplicativos maliciosos passem pela inspeção. Aqui estão algumas das técnicas que eles usam e o que a Apple pode fazer para impedi-los.

A Apple usa medidas de segurança abrangentes para proteger seus aplicativos contra malware e adulteração. Os usuários só podem baixar aplicativos iOS e iPadOS da AppStore, que primeiro passam por uma revisão completa. Este esforço abrangente combina sistemas automatizados e revisores humanos para manter elevados padrões de segurança. A equipe de revisão de aplicativos da empresa consiste em mais de 500 especialistas que devem avaliar aproximadamente 132.500 aplicativos enviados todas as semanas e usar uma variedade de ferramentas para detectar possíveis fraudes e violações de privacidade. Apesar desses esforços, alguns aplicativos maliciosos ainda escapam.

No início deste verão, 9to5Mac relatou sobre um aplicativo de streaming pirata disfarçado como uma ferramenta de gerenciamento de fotos que conseguiu contornar a equipe de revisão da App Store da Apple usando recursos baseados em localização para ocultar seu verdadeiro propósito.

Um produto chamado “Collect Cards: StoreBox” esteve na App Store por mais de um ano e acabou se tornando o segundo aplicativo gratuito mais baixado no Brasil. Posteriormente foi retirado das prateleiras. O aplicativo apresenta uma interface simples para os revisores da Apple nos EUA, ao mesmo tempo que oferece conteúdo pirata da Netflix, Disney+, Amazon Prime Video, HBO Max e até AppleTV+ de outras regiões. Ao ocultar todos os recursos relacionados ao streaming dos usuários dos EUA, os funcionários da Apple só viram uma versão simplificada focada em fotos e vídeos.

Apesar de todas as precauções e medidas de triagem em vigor, a Apple continua envolvida em um constante jogo de gato e rato, tentando identificar e frustrar as táticas enganosas dos desenvolvedores antes de colocar seus aplicativos na loja. Não é difícil imaginar que o Google enfrente um problema semelhante, já que elimina centenas de aplicativos ruins do Google Play todos os anos.

No entanto, a Apple bloqueou muitas atividades fraudulentas. No ano passado, a Apple bloqueou mais de 153 milhões de contas de usuários falsas e suspendeu quase 374 milhões de contas de desenvolvedores devido a fraudes e abusos. A Apple também disse que nos últimos 12 meses identificou e bloqueou mais de 47.000 aplicativos ilegais em lojas piratas para que não chegassem aos usuários. Infelizmente, os malfeitores continuam a melhorar os seus métodos, tentando contornar as proteções da Apple através de técnicas sofisticadas, como táticas de engano e recursos ocultos.

Outro caso de falsificação baseada em localização ocorreu em 2017, quando a Uber foi acusada de estabelecer uma “cerca geográfica” em torno da sede da Apple em Cupertino. Para qualquer pessoa que use o aplicativo nessa zona, incluindo a equipe de revisão da Apple, o aplicativo desativa automaticamente o código que o Uber usa para imprimir impressões digitais e rastrear usuários na rede.

Além dos recursos baseados em localização, existem muitos outros métodos dos quais desenvolvedores inescrupulosos podem aproveitar. Esses métodos aproveitam as limitações do processo de revisão da Apple, que é a incapacidade de testar exaustivamente aplicativos em locais diferentes ou por longos períodos de tempo.

Uma estratégia é usar o ReactNative e o CodePushSDK da Microsoft, que permite aos desenvolvedores atualizar partes de um aplicativo após a aprovação, sem ter que enviar uma nova compilação. Outra abordagem é atrasar as chamadas da API de geolocalização por alguns segundos para evitar a detecção durante a revisão automatizada.

Alguns desenvolvedores fornecem apenas funcionalidades básicas de conformidade durante o processo de revisão e, em seguida, usam o CodePush para introduzir funcionalidades ocultas ou maliciosas. Existem também desenvolvedores que publicam vários aplicativos com bases de código compartilhadas por meio de diferentes contas de desenvolvedor, tornando mais complexa a tarefa de rastrear e remover todas as instâncias.

Em casos mais enganosos, os aplicativos fingem ser software inocente, mas se transformam em algo completamente diferente depois de aprovados. É quase impossível impedir que os desenvolvedores usem esses truques.

No entanto, a Apple poderia melhorar o processo de envio de aplicativos. Por exemplo, a equipe de revisão pode implementar testes adicionais para verificar como o software se comporta em outros lugares. A Apple também poderia ser mais proativa na identificação e remoção de fraudes na App Store, em vez de aceitar passivamente as orientações dos pesquisadores de segurança.