一段代码就可骗过 App Store 的火眼金睛
想通过 App Store 的审查,这似乎很难,360 的应用就常常被苹果下架。不过,现在有人发现欺骗 App Store 审查的变态方法,如果这个方法被不怀好意的人利用,iOS 的用户的个人信息可能会侵犯。
在 Usenix 安全会议上,来自乔治亚理工学院的科学家们演示了他们的研究成果——一段好像阿米巴变形虫的代码,这段代码在通过 App Store 应用测试的时候,表现是无害的,但当它被安装到 iOS 机器上,这段代码就会摇身一变,从小绵羊变为豺狼。
更重要的,通过这样的方式,他们的确成功地在 App Store 发布恶意应用。
科学家将内置了这段恶意代码的应用称为 Jekyll。应用的开发者称,“这款应用一旦安装完成后,就会回拨,请求命令。这让我们有机会赋予应用新,原本不存在的行为逻辑。”
根据论文,Jekyll 应用潜在的危害包括:
也许有人会关心,科学家发布 Jekyll 之后,是否有人安装。因为 Jekyll 仅在 App Store 上存活几分钟的时间,没有人运气不好安装了科学家们的实验作品。事实上,几分钟的时间里, App Store 尚不能将该应用添加到搜索列表中。
Jekyll 给苹果提了个醒,看似严密的 App Store 审查流程里有不起眼的缝隙。现在苹果树大招风,安全问题更应当重视,之前苹果的开发者中心被黑客入侵,相当于在苹果的头上敲了个大包。