Reicht ein Entwickler Apps für iOS, iPadOS, watchOS oder macOS im App Store ein, begutachtet Apple dieses zuerst, ob diese den Regeln des App Stores entsprechen. Dabei untersucht der Konzern beispielsweise, ob die App der Beschreibung und den Screenshots entspricht oder ob es sich um betrügerische Software oder gar Schadsoftware handelt. Doch oftmals ist dies für die Tester von Apple gar nicht so leicht zu erkennen.


Twitter-Nutzer "privacyis1st" hat auf medium.com einen längeren Artikel über einen wahrscheinlich chinesischen Entwickler veröffentlicht, welcher im Mac App Store sein Unwesen treibt. Der Entwickler unterhält sieben unterschiedliche Entwickler-Konten im Apple Entwicklerprogramm, um Apps zu veröffentlichen. Darüber veröffentlichte er sieben unterschiedliche Programme:

• PDF Reader for Adobe PDF Files
• Word Writer Pro
• Screen Recorder
• Webcam Expert
• Streaming Browser Video Player
• PDF Editor for Adobe Files
• PDF Reader

Bei diesen Apps handelte es sich um kostenfreie Apps – doch offensichtlich hat der Entwickler eine andere Einnahmequelle: Nach einer gewissen Zeit und wenn Apples Review-Team die App gerade nicht begutachtet, leiten die Apps den Nutzer auf eine Webseite, auf der er ein Abo abschließen soll:


Command-And-Control
Der Entwickler nutzt ein bekanntes Paradigma namens Command-And-Control, um Inhalte vor Apples Review-Team zu verbergen: Während des Begutachtungsprozesses fragt die App bei einem Server an, wie sie sich verhalten soll. Wird die App gerade begutachtet, verhält diese sich regelkonform – doch sobald der Review-Prozess abgeschlossen ist, meldet der Server andere Daten an die App und diese leitet den Anwender auf betrügerische Webseiten um. Dabei kann der Entwickler spezifizieren, welcher Text dem Nutzer präsentiert und welche URL verwendet werden soll.

Viele gefälschte Bewertungen
Um möglichst viele Downloads zu erhalten, fälschte der Entwickler viele Bewertungen im Mac App Store. Dies wird schnell ersichtlich, wenn man sich die Bewertungstexte ansieht:


Diese sind in einem sehr ähnlichen Stil geschrieben und gehen, anders als echte Bewertungen, meistens nur sehr oberflächlich auf den Inhalt des Programms ein.

Möglicherweise Schadsoftware
Noch ist aber nicht klar, ob es sich "nur" um betrügerische Software handelt, oder ob diese auch Schadsoftware oder Spionage-Funktionen enthält. Befinden sich die Apps gerade nicht in der Begutachtungsphase im App Store, laden diese von einem Server eine verschlüsselte Datei herunter. Das Passwort zum Entschlüsseln findet sich aber in den Apps wieder, so dass der Inhalt zugreifbar ist. Bei den heruntergeladenen Daten handelt es sich um ein Zertifikat mit dem Namen "VPNCrtFileWindows" und diverse IP-Adressen und URLs von VPN-Diensten. Diese Adressen sind aktuell gültig und die Dienste funktionieren. Es ist unklar, wozu der Entwickler diese VPN-Dienste nutzt – aber es ist sehr gut möglich, dass hier Nutzerdaten übertragen werden.

Apps und Entwicklerkonten entfernt
Nach Veröffentlichung des Artikels handelte Apple und entfernte nicht nur die sieben Apps, sondern auch die sieben Entwicklerkonten aus dem Entwicklerprogramm. Doch dieses Beispiel zeigt leider, wie leicht sich der Review-Prozess von Apple austricksen lässt. Die Apps waren bereits mehrere Jahre im Mac App Store verfügbar und den Download-Statistiken nach luden auch viele Nutzer diese Programme herunter.