蘋果的 TestFlight 主要是協助開發者在正式上架 iOS 應用程式到 APP Store 給大眾前,可以發佈測試版應用程式給使用者的一種工具。然而,在蘋果官方未知情的狀況下,卻有詐騙者持續透過此平台發佈惡意的應用程式給使用者。
根據資安公司 Sophos (透過 ArsTechnica) 的報導,一個經組織並名為 “CryptoRom” 的犯罪活動一直在向 iOS 和 Android 使用者發佈假冒的加密貨幣應用程式。也因為 Android 平台上的側載 (sideloading) 機制,不透過 Google Play 在其他地方安裝應用程式的流程較為簡單; 但理論上 iOS 的使用者只能從 APP Store 下載與安裝應用程式。
不幸的是,詐騙者已經發現可以透過蘋果的官方平台 (在本例為 TestFlight) 建立與發佈同樣的惡意應用程式給 iPhone 及 iPad 使用者。透過 TestFlight,開發者可以邀請多達 10,000 名測試者進行試用版應用程式的安裝,更因為該平台主要是用於測試準發佈的應用程式,並無需經過 APP Store 的審核流程。
由於如此,蘋果官方並不知道詐騙者將惡意應用程式以測試版的形式進行發佈,所以任何安裝 TestFlight 的 iOS 使用者都可以下載該應用程式。加上以 TestFlight 安裝應用程式的流程非常簡單,開發者甚至可以建立公開的下載連結,而無需透過電子郵件邀請每個使用者。
資安公司 Sophos 的惡意軟體分析師 Jagadeesh Chandraiah 寫道:「一些聯繫我們的受害者說,他們被指示安裝一個似乎是日本加密貨幣交易所 BTCBOX 的應用程式」、「我們還發現有假網站偽裝成加密貨幣挖礦公司 BitFury,並透過 TestFlight 銷售假應用程式。我們將繼續尋找其他使用相同方法的 CryptoRom 應用程式。」
該報告甚至指出詐騙者為了避開 APP Store 審核流程,也同時推廣惡意的網頁應用程式 (那些可以在 iOS 裝置的主畫面上以應用程式運行的網頁)。
因為調整 TestFlight 的運作方式將會影響開發者,蘋果強調就算應用程式是透過 TestFlight 發佈,使用者也可以不要下載和安裝任何來源不明的軟體避免詐騙。該公司也提供一個關於如何避免網路釣魚和其他詐騙的提醒網頁。
原文連結:https://9to5mac.com/2022/03/16/scammers-have-been-using-apples-testflight-to-distribute-malicious-ios-apps/