Skip to main content

Безопасность магазина приложений

Проблема вводящих в заблуждение приложений в App Store всплыла на этой неделе после вчерашнего инцидента с LastPass. Разработчикам популярного менеджера паролей нужно было предупредить клиентов, что приложение под названием LassPass выдает себя за LastPass. Хотя это довольно вопиющий пример того, что может ускользнуть от проверки, может быть полезно получить больше информации о том, как обычно работает App Store.

Методические рекомендации

App Store предназначен для обеспечения безопасности клиентов посредством политики. На этой неделе над этим высмеивали, и это забавно, но это по-прежнему правда.

Когда дело доходит до приложений-самозванцев, это конкретное правило App Store, которого придерживаются разработчики при распространении приложений через App Store:

В Руководстве по проверке App Store 4.1 четко указано, что выдача себя за другое приложение или службу считается нарушением наших правил и может привести к удалению из App Store и программы Apple Developer Program.

Хотя первой линией защиты от нарушителей является процесс проверки, очевидно, что злоумышленник может время от времени прокрадываться, даже если для некоторых обман очевиден.

Что произойдет, если это произойдет? Удаляется не только приложение-нарушитель. Вся учетная запись разработчика аннулируется за нарушение условий обслуживания Apple. Вот что случилось с учетной записью разработчика обманчивого приложения LassPass.

Составление отчетов

Так что же могут сделать разработчики, если они найдут в App Store приложение-самозванец, имитирующее их собственное? Освещение в прессе, очевидно, поднимает проблему в широком масштабе, но не все застройщики могут привлечь одинаковое внимание средств массовой информации. (Я сомневаюсь, что Apple что-то нравится в этом пути, но это определенно вариант для разработчиков, которые не чувствуют себя услышанными достаточно быстро.)

Официальный канал для оповещения о нарушениях существует как для сообщения о спорах по содержанию, так и в спорах по именам. В случае с LastPass разработчики на самом деле не обращались к прессе, чтобы ускорить решение проблемы. Вместо этого они просто предупреждали своих пользователей о риске мошенничества, что, естественно, привлекло внимание средств массовой информации.

Судя по цифрам…

Также полезно рассмотреть инцидент LastPass в контексте. Судя по общедоступным данным за май 2023 года, охватывающим весь 2022 год, Apple активно уничтожала аккаунты, которые нарушали меры защиты App Store от мошенничества. В то же время, судя по изменениям в процессах, Apple с каждым годом видела меньше нарушителей.

В 2021 году Apple закрыла более 802 000 учетных записей разработчиков за потенциально мошенническую деятельность. В 2022 году это число сократилось до 428 000, отчасти благодаря новым методам и протоколам, которые позволяют App Store предотвращать создание потенциально мошеннических учетных записей. Кроме того, почти 105 000 заявок на участие в программе Apple Developer Program было отклонено из-за подозрений в мошеннических действиях, что помешало злоумышленникам отправлять приложения в App Store.

Хотя мы не видели таких же данных за 2023 год, мы, вероятно, можем ожидать появления новых цифр где-то в этом году. В любом случае, эти данные ставят усилия Apple против приложений-самозванцев в более широкий контекст. Знаете, даже если инцидент с LastPass на данный момент является легкой задачей.