سوءاستفاده کلاهبرداران از ابزار اختصاصی اپل برای توزیع اپلیکیشن مخرب روی آیفون
سوءاستفاده کلاهبرداران از ابزار اختصاصی اپل برای توزیع اپلیکیشن مخرب روی آیفون
تست فلایت (Apple TestFlight) ابزاری است که اپل تولید کرده و به توسعهدهندگان امکان میدهد پیش از انتشار عمومی نسخهی نهایی اپلیکیشن روی اپ استور، نسخهی بتای آن را دردسترس کاربران قرار دهند. بااینحال آنطور که 9to5Mac گزارش میدهد، افراد سودجو از تست فلایت بهعنوان راهی برای انتشار اپلیکیشنهای مخرب استفاده کردهاند و اپل از این موضوع مطلع نبوده است.
بهطور مشخصتر گفته میشود یک کمپین سازمانیافته به نام CryptoRom طی چند وقت اخیر اپلیکیشنهای جعلی را با پوشش اپلیکیشنهای حوزهی رمزارز برای دو پلتفرم اندروید و iOS منتشر کرده است. درحالحاضر اندروید برخلاف iOS امکان نصب اپلیکیشنها را در خارج از پلی استور ارائه میدهد، اما کاربران گوشیهای آیفون از لحاظ تئوری صرفاً میتوانند اپلیکیشنها را ازطریق اپ استور دانلود و نصب کنند.
متأسفانه کلاهبرداران فهمیدهاند که میتوانند با استفاده از ابزاری که توسط خود اپل توسعه داده شده، معیارهای امنیتی این شرکت را دور بزنند و همان اپلیکیشنهای مخرب اندروید را برای کاربران آیفون و آیپد نیز منتشر کنند.
توسعهدهندگان iOS میتوانند ازطریق تست فلایت از حداکثر ۱۰٬۰۰۰ کاربر برای حضور در تست نسخهی بتا دعوت کنند. از آنجایی که تست فلایت برای آزمون نرمافزارهای نهایینشده ارائه میشود، اپلیکیشنهای توزیعشده توسط این پلتفرم مورد بررسی تیم امنیتی اپل قرار نمیگیرد. درنتیجهی این اتفاق، اپل بهصورت پیشفرض از این موضوع مطلع نمیشود که کلاهبرداران در حال انتشار اپلیکیشنهای مخرب بهعنوان نسخهی بتای اپلیکیشنهای سالم هستند.
بدین ترتیب هر کاربری در iOS که تست فلایت را نصب کرده باشد، توانایی دانلود اپلیکیشن مخرب را دارد و بهعنوان هدفی بالقوه شناخته میشود. روند نصب اپلیکیشن با تست فلایت بسیار ساده است و توسعهدهنده حتی میتواند بهجای دعوت کردن هر کاربر ازطریق ایمیل، یک لینک دانلود عمومی بسازد.
مقالههای مرتبط:
- کلاهبرداری یکمیلیوندلاری فردی چینی از اپل
- اپل کلاهبرداری ۱٫۵ میلیارد دلاری در اپ استور را خنثی کرده است
شرکت امنیتی سوفوس که نخستین بار گزارش مربوط به سوءاستفاده از تست فلایت را منتشر کرده است میگوید شماری از کاربران بدون اطلاع قبلی نسخهی جعلی اپلیکیشنی را که به نظر میرسیده مربوط به صرافی ژاپنی BTCBOX است، دانلود و نصب کردهاند. همچنین چند سایت، کاربران را به نصب نسخهی جعلی اپلیکیشن شرکت BitFury که در حوزهی استخراج رمزارز فعالیت میکند ترغیب کردهاند.
در بخشی از گزارش آمده که کلاهبرداران تلاش کردهاند کاربران آیفون را با وب اپلیکیشنهای مخرب نیز هدف قرار دهند.
ازآنجاکه تغییر نحوهی کارکرد تست فلایت تأثیر مستقیمی روی توسعهدهندگان میگذارد، اپل تأکید میکند که کاربران باید حواسشان جمع باشد و هیچ نرمافزاری را از منابع ناشناس دانلود و نصب نکنند، حتی اگر آن نرمافزار ازطریق تست فلایت توزیع شده باشد.
