# 개발자가 악성 앱을 승인받기 위해 App Store 리뷰를 속이는 방법 > Clean Markdown view of GeekNews topic #16169. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=16169](https://news.hada.io/topic?id=16169) - GeekNews Markdown: [https://news.hada.io/topic/16169.md](https://news.hada.io/topic/16169.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-08-05T09:47:06+09:00 - Updated: 2024-08-05T09:47:06+09:00 - Original source: [9to5mac.com](https://9to5mac.com/2024/08/02/developers-trick-app-store-review/) - Points: 2 - Comments: 1 ## Topic Body - "Collect Cards" 앱이 일부 국가에서 무료 앱 다운로드 순위에서 상위에 오름. - 9to5Mac의 보고서 후 Apple은 해당 앱을 제거했으나, 같은 앱의 다른 버전이 다시 App Store에 출시됨. - **기술 분석**: - 앱이 동일한 코드 베이스를 공유하며, 다른 개발자 계정에서 배포됨. - React Native 기반으로 구축되었으며, Microsoft의 CodePush SDK를 사용해 새로운 빌드를 App Store에 보내지 않고도 앱의 일부를 업데이트할 수 있음. - 이러한 기술들은 App Store 규정을 위반하지 않음. - **악성 개발자 기법**: - 악성 개발자들은 이러한 기술을 악용해 App Store 리뷰를 우회함. - 특정 GitHub 저장소가 여러 해적 스트리밍 앱에 대한 파일을 제공함. - 위치 기반 API를 사용해 기기의 위치를 확인함. - 처음 앱이 열리면 지리적 위치 API를 호출하기 전에 몇 초를 대기함. - App Store 자동화 리뷰 프로세스가 앱의 코드에서 이상한 점을 발견하지 못하게 함. - 특정 안전한 위치에서만 숨겨진 인터페이스를 드러냄. #### Apple이 할 수 있는 대응 - **리뷰 시스템 개선**: - Apple은 앱의 다른 위치에서의 동작을 확인하기 위한 추가 테스트를 구현할 수 있음. - 사기 앱을 더 적극적으로 찾아 제거해야 함. - **과거 사례**: - 2017년에 Uber는 Apple의 본사에 대한 지리적 경계를 설정한 혐의로 고발됨. - 앱이 이 지리적 경계 내에서 실행되면, 사용자를 추적하는 코드를 자동으로 비활성화함. - Apple은 이와 같은 상황을 방지하기 위한 조치를 충분히 취하지 않은 것으로 보임. - **현재 상황**: - 2021년 문서에 따르면, App Store 리뷰 팀은 500명 이상의 전문가로 구성되어 있으며 매주 100,000개 이상의 앱을 리뷰함. - 대부분의 앱은 수동 리뷰 프로세스를 거치기 전에 자동화 리뷰 프로세스를 통과함. - **Apple의 공식 반응**: - _9to5Mac_의 기사 후 Apple 대변인은 해당 앱이 App Store에서 제거되었다고 밝혔으나, 다른 유사 앱의 승인을 막기 위한 조치에 대해서는 구체적으로 언급하지 않음. ##### GN⁺의 의견 - 이 기사는 App Store 리뷰 시스템의 허점을 악용하는 악성 앱의 존재를 상세히 보여줌. - Apple은 기술적으로 우수한 보안 시스템을 가지고 있으나, 더 정교한 리뷰 메커니즘이 필요함을 시사함. - 사용자 입장에서는 앱 다운로드 전에 리뷰와 평판을 확인하는 것이 중요함. - 다른 모바일 앱 스토어들도 비슷한 문제를 겪을 수 있으므로, 업계 전반에 걸쳐 보안 프로토콜이 강화되어야 함. - 새로운 기술이나 오픈 소스를 채택할 때 보안 측면을 충분히 고려해야 함. ## Comments ### Comment 27795 - Author: neo - Created: 2024-08-05T09:47:06+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=41146779) - Apple의 지오펜싱 트릭을 무력화하더라도 행동을 숨기는 것은 간단함 - 앱의 빌드 번호로 서버에 API 호출 - API 응답으로 "비밀" 기능 활성화 여부 제어 - 리뷰 통과 후에만 각 빌드의 비밀 기능 활성화 - 동적/해석 코드 불필요 - 이 방법은 정지 문제로 환원 가능하여 결정 불가능함 - Apple이 싫어하는 행동을 밀어붙일 때 시간 기반 트릭 사용 - 앱 제출 후 20일 후에 버튼의 행동 변경 - "파일 열기" 대화 상자가 사용자 루트 디렉토리로 직접 이동하게 함 - Apple의 동적 업데이트 관련 언어 설명 - 실행 가능한 코드는 다운로드 또는 설치 불가 - 해석된 코드는 다운로드 가능하지만 다음 조건을 충족해야 함 - 앱의 주요 목적을 변경하지 않음 - 다른 코드나 앱을 위한 스토어를 생성하지 않음 - 서명, 샌드박스 또는 기타 보안 기능을 우회하지 않음 - 대부분의 사기 앱은 주간 구독을 통해 돈을 빼앗음 - 비반복적인 주간 패스의 사용 사례 존재 (예: 여행 중 VPN 앱) - 반복적인 주간 결제는 수동 승인이 필요함 - 모든 앱이 주간 반복 결제를 허용해서는 안 됨 - 2021년에 App Store Review 팀이 매주 100,000개 이상의 앱을 검토함 - 검토자들이 100% 시간을 검토에 할애한다고 가정하면 앱당 약 12분 소요 - 해적판 앱을 "악성"이라고 부르는 것은 과장된 표현임 - 저작권 소유자가 작성한 것인지 의문 - 미국은 DMA와 같은 법률이 필요함 - 한 회사가 60% 이상의 미국 사용자를 인질로 잡아서는 안 됨 - Apple과 Google이 전체 모바일 앱 시장에서 발생하는 모든 수익의 15%에서 30%를 차지해서는 안 됨 - 텔레그램 채널/그룹에 수천 명의 사람들이 앱 스토어 검토를 통과한 최신 앱에 관심을 가짐 - Apple이 조치를 취할 때까지 사용하고, 그 후 다시 반복됨 - 서명 인증서와 Apple 개발자 머신 자리를 위한 시장도 존재 - 많은 앱이 원격 웹페이지의 웹뷰일 뿐임 - 서버가 페이지를 업데이트할 때마다 업데이트됨 - 검토 불필요 - 일부 앱은 충분한 인기를 얻은 후에만 인간 검토를 거침 - Skacz Kurwa 사건이 그 예시 - 가족 친화적이지 않은 제목에도 불구하고 상당한 주목을 받음