App Store bị lừa chấp thuận ứng dụng độc hại

Một số nhà phát triển không minh bạch vẫn có cách lách quy trình kiểm duyệt gắt gao của App Store để đăng những ứng dụng độc hại lên gian hàng của Apple.

Quy trình kiểm duyệt của App Store được đánh giá khó hơn nhiều lần so với Play Store của Google.

Nhưng vào tháng trước, 9to5mac phát hiện ứng dụng Collect Cards: Store box đã tồn tại trên Apple Store được hơn một năm với ảnh chụp màn hình là giao diện đơn giản, cho thấy nó là phần mềm quản lý ảnh và video.

Khi tải xuống Collect Cards: Store box, ứng dụng biến thành nền tảng phát trực tuyến lậu, với nội dung từ Netflix, Disney+, Amazon Prime Video, HBO Max và thậm chí cả Apple TV+. Dù tồn tại đã lâu trên Apple Store, nhưng ứng dụng lậu này chỉ được phát hiện khi nó lọt top 2 ứng dụng miễn phí được tải xuống nhiều nhất trên App Store tại Brazil.

Chuyên gia của 9to5mac sau khi phân tích mã nguồn của Collect Cards: Store box và một số ứng dụng tương tự trên App Store đã nhận ra rằng hầu hết chúng chia sẻ cùng một cơ sở mã ngay cả khi được phân phối bởi các tài khoản của nhà phát triển khác nhau. Các ứng dụng lậu này được dựng trên React Native, hệ thống đa nền tảng dựa trên java script và sử dụng SDK CodePush của Microsoft, để nhà phát triển có thể cập nhật từng phần của ứng dụng mà không cần phải gửi bản dựng mới đến App Store.

Theo quy định của App Store, sử dụng React Native và CodePush không vi phạm quy tắc. Nhiều ứng dụng phổ biến đang làm như vậy. Tuy nhiên, công nghệ này đã bị các nhà phát triển "độc hại" lợi dụng để qua mặt quá trình đánh giá của App Store.

Sau khi Apple chấp thuận ứng dụng với các chức năng cơ bản, nhà phát triển sẽ sử dụng CodePush để cập nhật bất kỳ thứ gì họ muốn và ứng dụng sẽ chạy tính năng thực sự của nó ở những vị trí "an toàn".

Hiện nay, Apple đã xóa các ứng dụng liên quan và từ chối bình luận.