いかにしてマルウェアアプリはApp Storeに侵入するのか？

Appleは「App Store以外からアプリをインストールするのはユーザーにとって危険である」と報告し、Apple端末のユーザーがApp Store以外からのアプリのダウンロードを行えないよう囲い込む戦略を行っています。これに対し開発者のデニス・トカレフ氏は「App Storeが安全である」という主張に異議を唱え、App Store上の悪意のあるアプリがどのように機能を隠しているのかについて解説しています。

How malware gets into the App Store and why Apple can't stop that / Habr
https://habr.com/en/post/580272/

トカレフ氏によると、アプリ開発者はアプリを実際に配信する前にAppleの審査を受けるため、アプリのバイナリファイルをAppleのサーバーにアップロードするとのこと。アプリのバイナリファイルがAppleサーバーにアップロードされる際、まずアプリケーションの安全性やバグを特定する静的解析が行われます。この際アプリに使用が許可されていないプライベートAPIが検出された場合、バイナリファイルのアップロードは拒否され、アプリ開発者に対し検出したAPIのリストが通知されます。

しかし、トカレフ氏はプライベートAPIの存在を隠す手段がいくつかあると指摘。その手段はApple純正のゲーム関連システム「Game Center」に存在するゼロデイ脆弱性を利用したものや、シーザー暗号を使用したものなどさまざまです。トカレフ氏は「関数名を含む文字列を難読化するか、いくつかに分割することでプライベートAPIが検出されなくなります。これらの手段が何億ものダウンロード数を誇るアプリで使用されているのを確認している」と話しています。

悪意のある開発者がプライベートAPIを悪用してApp Storeにアプリを公開した場合、セキュリティ上のリスクが生じる可能性があります。また、トカレフ氏は脆弱性の存在に加えてアプリの審査ガイドラインに不備があるとも指摘。2011年に元アメリカ国家安全保障局(NSA)職員が実験的に開発したマルウェアアプリがApp Storeに公開された事例や、2015年にUberがiOSユーザーのデータを不正に取得していた事例を引き合いに出し、「審査のプロセスはこのころから全く変わっていない」「Appleはユーザーの保護を拒否している」と主張しています。

トカレフ氏はAppleがApp Storeの安全神話を語ってアプリのサイドローディングを認めず、30％というアプリ内課金手数料を設けて市場を独占している現状を批判。App Storeをめぐる裁判で「アプリ開発者にApp Storeを経由しない支払方式を導入する権利を与えること」という判決が下ったことを是としながらも、開発者がより自由かつ公正な扱いを受けるために闘っていく必要があるとしています。