App Clip - Блиц-приложение - Apple App Clips Swift Tutorial - Xcode12
Nick Arnott nie mógł się domyślić, dlaczego Apple ciągle odrzucał aktualizację aplikacji mobilnej opracowanej przez jego firmę.
Okazało się, że problemem był duch maszyna.
Jego firma, Possible Mobile, jest dobrze zorientowana w zasadach składania aplikacji App Store i zbudowała aplikacje dla JetBlue, Better Homes & Gardens i Major League Soccer.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z Windows]Odrzucenie nastąpiło po tym, jak odkryto w połowie września, że tysiące aplikacji w App Store zostało zbudowanych z fałszywej wersji narzędzia programistycznego Apple, Xcode.
Wersja fałszywa, nazwana XcodeGhost i prawdopodobnie opracowany w Chinach, został pobrany przez m żadnych deweloperów ze źródeł zewnętrznych, prawdopodobnie dlatego, że uzyskanie kodu 4 GB od Apple trwało zbyt długo.
Narzędzie Xcode firmy Apple służy do tworzenia aplikacji dla urządzeń firmy.
Naukowcy bezpieczeństwa odkryli, że aplikacje z XcodeGhost stwarzało ryzyko prywatności, ponieważ aplikacje można łatwo skonfigurować do rejestrowania danych z urządzeń użytkowników i wysyłania ich na serwer zdalny.
Wpisanie ponad 4000 aplikacji zainfekowanych XcodeGhost do App Store oznaczone jako jeden z najbardziej znaczących udane naruszenia surowych kontroli bezpieczeństwa przez firmę Apple, grożąc podkopaniem wieloletnich starań firmy, aby utrzymać sklep wolny od złośliwego oprogramowania.
Po odrzuceniu aplikacji, "Possible Mobile" postanowił dowiedzieć się dlaczego i szczegółowo opisał swoje wysiłki w blogu.
Apple wskazał, że miało to coś wspólnego z XcodeGhost. Ale Arnott i jego zespół byli zaskoczeni: wersja Xcode, z której korzystali, była prawidłowa. Ponownie zainstalowały nowe wersje Xcode na kilku komputerach, ale Apple nadal odrzuciło aplikację.
Tworzenie aplikacji mobilnej przypomina trochę produkcję kiełbasy: wiele frameworków i bibliotek opracowanych przez inne firmy wykorzystuje się do takich funkcji jak wyświetlanie reklam i dostarczanie wideo.
Te frameworki często pojawiają się jako pliki binarne, a programiści nie mają wglądu w to, co faktycznie znajduje się w kodzie źródłowym, powiedział Jay Graves, CTO Possible Mobile w wywiadzie telefonicznym.
"Każda z najlepszych aplikacji od najlepsze marki w App Store będą miały coś od strony trzeciej, "powiedział Graves.
Próbowanie odgadnięcia, co jest binarne, to robią badacze bezpieczeństwa, a nie twórcy aplikacji, powiedział Graves. Po zadrapaniu głowami, domyślili się, że problem prawdopodobnie dotyczył zewnętrznego systemu.
Struktura została skompilowana ze skażoną wersją Xcode, a kod ten został następnie włączony do aplikacji przez Possible Mobile. Po ostrzeżeniu firma, która opracowała framework, naprawiła problem i dostarczyła czystą wersję, powiedział Graves.
Apple może teraz wykrywać aplikacje zainfekowane XcodeGhost. Ale jest już ulepszona wersja XcodeGhost, która próbuje utrudnić jej analizę i wykrywanie.
"Co jakiś czas słyszysz o tym, że dostałeś się do App Store, który nie powinien tam być" - powiedział Arnott . "Istnieje jednak nieskończona lista sztuczek, których złośliwi programiści mogą użyć, aby spróbować przejść przez proces oceny Apple."
Aby dowiedzieć się, czy struktura zewnętrzna była sprawcą, Possible Mobile użył polecenia narzędzie linii, grep, aby znaleźć adresy URL, z którymi XcodeGhost został zaprogramowany do kontaktu, powiedział Arnott.
"Problem z takim podejściem jest po zmianie tych ciągów" - powiedział Arnott. "Niekoniecznie mamy na to rozwiązanie."
Gra w kotka i myszkę będzie stanowić wyzwanie dla Apple i deweloperów, powiedział Graves. Wskazówki Apple mogą być niejasne, gdy aplikacje są odrzucane, prawdopodobnie w celu uniemożliwienia napastnikom informowania o procesach bezpieczeństwa Apple.
"Ta historia zdecydowanie się nie skończyła," powiedział Graves. "Zajęło to trochę czasu, ale wraz z rozprzestrzenianiem się urządzeń przenośnych i iOS stanowiących cel o dużej wartości, zwracają oni większą uwagę ze strony społeczeństwa czarnych."
Wcześniejsza wersja tej historii błędnie zidentyfikowała Major League Soccer. Błąd został naprawiony.
Centrum aplikacji na Facebooku oferujące promocję aplikacji mobilnej, płatną opcję aplikacji
Sklep z aplikacjami na Facebooku nie jest tak naprawdę sprzedawaniem aplikacji. Chodzi o promowanie aplikacji społecznościowych, które używają loginu Facebooka i promowanie Facebooka jako platformy w ogóle.
Jak firma korzystająca z aplikacji mobilnej odnalazła XcodeGhost firmy Apple w maszynie
Twórca aplikacji mobilnej miał trudności z ustaleniem, dlaczego Apple odrzuca jej do czasu znalezienia szkodliwego oprogramowania XcodeGhost ukrytego w mało prawdopodobnym miejscu.
