Mit steigender Popularität des App Stores und einer ständig wachsenden Apple-Nutzerschaft gestaltet es sich für den iPhone-Konzern zunehmend schwieriger, sein Sicherheitsversprechen vollumfänglich einzuhalten. Ständig versuchen Kriminelle die Sicherheitsfunktionen der kalifornischen Betriebssysteme zu umgehen, was immer häufiger von Erfolg gekrönt ist. Privacy1St erklärt in einem Beitrag auf Medium einige der verwendeten Techniken anhand eines Beispiels, welches gleich mehrere Bereiche des Ökosystems hierfür ausnutzt.


Betrüger bedienen sich fremden Registrierungsnummern
Konkret handelt es sich um die immer noch im App Store befindliche Anwendung namens „GPT4 - AI Chat Robot Assistant“. Diese stammt aus der Feder von SkyLink Tech und sorgt wie auch viele andere Apps, die auf den KI-Zug aufsprangen, für einige Furore unter den Anwendern. Neben einer eindeutigen Markenrechtsverletzung manipuliert der unter einem falschen Entwickler-Account agierende Entwickler das Bewertungssystem des Stores. Es gelang ihm einen legitimen Account zu duplizieren, indem er sich dessen Nummer aus dem „Data Universal Numbering System“ (D-U-N-S) bediente. Eine solche neunstellige D-U-N-S-Nummer erhält man normalerweise nur bei Angabe der Kontaktinformationen in offiziellen Stellen, woraufhin Apple die Legitimität bestätigt. Im Bericht ist die Rede von einer zu oberflächlichen Überprüfung seitens Cupertino, denn Betrügern gelingt es immer wieder, sich als Vertreter oder Eigentümer einer solchen Nummer auszugeben.

Vertrauen gewinnen
Zunächst erscheint der Eindruck, als stehe die Scam-App mit OpenAI in Verbindung, Produktnamen und ähnelnde Logos sollen einen offiziellen Eindruck erwecken. Innerhalb der Anwendung locken Belohnungen und Geschenke im Austausch für gute Bewertungen, denn jene stellen immer noch den größten Vertrauensvorschuss für potenzielle Neukunden dar. Eine solche Vorgehensweise steht allerdings ausdrücklich in Konflikt mit den geltenden „App Store“-Regeln, genannt „Discovery Fraud“. Selbst eine vorgegaukelte Bezahlschranke befindet sich an Bord. Hinter dieser verbirgt sich selbstverständlich nicht das in diesem Falle versprochene „OpenAI Training“. Doch damit nicht genug, greift die App ebenso UUIDs der unwissenden Anwender ab. Hierüber verfolgen die Betrüger die Aufrufe zur OpenAI-API.

Apple tut bislang scheinbar nichts
Soweit aus dem Bericht zu entnehmen, ist die betreffende App bereits am 13. September an Apple gemeldet worden. Nach wie vor kann man sie jedoch im Mac App Store herunterladen. Es sei eine Sache, dass zunehmend Anwendungen mit betrügerischen Absichten ihren Weg in das Apple-Ökosystem finden, eine andere allerdings, wenn der Anschein erweckt wird, dass man dagegen nichts unternehme, so Privacy1St. Er fordert daher „klare und schnelle Meldewege für diese Art von Betrug“.