Betrug während des App Reviews: Apple führt angeblich erneute Begutachtung kurz nach Freischaltung durch
Seit Start des iOS-App-Stores werden Apps, bevor diese im Store angeboten werden dürfen, von Apple begutachtet. Apple prüft, ob die App sich an die vorgegebenen Richtlinien hält – falls nicht, wird die App nicht im App Store zugelassen und kann nicht auf Geräten von Endbenutzern installiert werden. In den vergangenen Jahren haben diverse Entwickler aber trotzdem Apps in den Store gebracht, welche offensichtlich gegen die Begutachtungsleitlinien verstoßen.
Änderungen durch Kommando eines SteuerserversDie Masche ist eigentlich trivial, aber trotzdem schwer von Apple aufzuspüren: Ein Entwickler reicht eine harmlos aussehende App bei Apple ein. Apple begutachtet die App und findet keine Auffälligkeiten bei der Überprüfung. Kurz nachdem die App im Store erschienen ist, ändert der Entwickler die Einstellungen auf einem Steuerserver und die App zeigt urplötzlich andere Inhalte oder Funktionen an, welche während dem App Review gar nicht sichtbar waren.
Nur manche Richtlinien können umgangen werdenMit diesem Verfahren können aber nicht alle Begutachtungsleitlinien umgangen werden. Beispielsweise ist die Nutzung von privaten Programmierschnittstellen weiterhin nur sehr schwer möglich, da Apple zuvor automatisch die Binärdatei untersucht – in den meisten Fällen würde die Nutzung auffallen. Die Einblendung anstößiger Inhalte ist mit diesem Verfahren aber recht einfach möglich.
Apple reagiertEinem
Reddit-Nutzer nach hat Apple genau für diese Fälle nun aber einen zusätzlichen Schritt bei der Begutachtung von Apps eingeführt: 48 bis 72 Stunden nach Freigabe untersucht der App-Reviewer die App noch einmal, ob sich das Verhalten oder die Funktionalität geändert hat. Auf diese Art und Weise bekommt der Reviewer die App so zu Gesicht, wie auch Kunden das Programm sehen werden.
Natürlich ist dieses Verfahren auch nicht wasserdicht: Aktuell führt Apple den App-Review aus dem Apple-Klasse-A-Netzwerk, beginnend mit der IP-Nummer 17.*, durch – so kann ein Steuerserver recht einfach erkennen, ob es sich um einen erneuten Review handelt.