安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】骗子们正在利用伪造的苹果应用的内部订阅功能来骗钱

http://p0.qhimg.com/t01045609c1c84cb811.png

在2017年度的苹果开发者大会上,苹果公司对外宣称从App Store诞生以来,苹果公司已经给广大苹果应用开发者们提供了多达700亿美金的开发分成,而仅仅去年一年的时间开发分成就达到了210亿美金。但现在的问题就是,这些钱最终真的都去到了合法应用开发者的口袋里了吗?

答案当然是否定的,因为苹果应用开发者Johnny Lin在上周对苹果自家的App Store进行分析的过程中发现,应用商店中绝大多数热门应用的下载量和热度完全都是刷出来的,而这些骗子通过苹果商店的应用内购和订阅功能已经赚取了数十万美金。


骗子可以利用’Search Ads’平台来刷苹果应用的排名


Search Ads是苹果应用商店App Store中新上线的一个功能,苹果公司在去年的全球开发者大会(WWDC)上才正式推出这项服务,Search Ads可以通过一些广告搜索策略和搜索优化(SEO)在App Store中帮助苹果开发者推广自己的应用。但是,不法分子目前却正在利用这项不成熟的功能来恶意伪造某些苹果应用的热度。

Johnny Lin在这篇超长的研究报告中写到:“目前App Store中还没有专门的广告过滤功能和广告审批方案,而这些骗子利用的正是App Store的这个缺陷。这些恶意广告看起来跟真实的搜索结果没有多大区别,而且某些广告甚至会占据搜索结果的整个页面(第一页)。我在进行了更进一步的分析之后不幸发现,这并非偶然事件,这些应用通常都会出现在App Store的Top排行榜的前几名。由此看来,这些骗子貌似在应用中绑定了非常多的关键词。”


请广大苹果用户一定要小心虚假的应用内购和订阅


Johnny Lin所发现的其中一款赚钱最多的应用名叫“Mobile Protection: Clean & Security VPN”,它会欺骗用户注册一个需每周付费99.99美金的订阅服务,当用户的手指按在Touch ID上的那一刻,用户将会成功订阅这个百分之百的纯垃圾服务。

http://p9.qhimg.com/t01ca935a69987002a6.png

而Johnny Lin表示,根据市场营销公司Sensor Tower提供的数据,仅仅是这一个苹果应用每个月就可以给它的开发者带来八万美金的收益。

这款名叫“Mobile Protection: Clean & Security VPN”的应用标注自己是一款病毒扫描工具,并且还声称可以给用户免费试用全功能的智能杀毒软件。我们暂且不论这款应用是不是真的像其所声称的那么好,但应用内部存在很多单词拼写错误和语法错误的情况,再加上App Store中的评论已经假的不能再假了,所以这款应用绝对是有问题的。

接下来,当用户点击了所谓的“免费试用”之后,应用将会弹出Touch ID界面并给出以下提示信息:

"Use Touch ID to start your free trial to Full Virus, Malware Scanner? You will pay $99.99 for a 7-day subscription starting June 9, 2017."
(使用Touch ID领取完整版杀毒软件的免费试用特权,之后你将从2017年6月9日开始支付每周99.99美元的订阅服务费)

通常来说,很多用户都不会仔细看这些信息内容,而且有些使用Touch ID的用户很可能会无意中将手指放到Touch ID上,而手指一按,每个月400美金就这样消失不见了。

根据Johnny Lin的计算统计,这些骗子每个月只要能够成功欺骗到两百名用户订阅这些垃圾服务,他们每个月就能够赚到八万美金,而一年就是九十六万美金。

http://p3.qhimg.com/t01b16bc93f76d7f3a4.png

Johnny Lin表示,这些恶意开发者们 利用的就是苹果App Store的Search Ads服务,由于这项服务还没有部署广告过滤以及相应的广告审批措施,因此它也就不幸成为了不法分子的利用工具。

虽然苹果已经将这款应用以及Lin所发现的其他几款恶意应用下架了,但是App Store中仍然存在大量利用应用内购和错误应用描述来欺骗用户购买垃圾服务的恶意应用,而苹果想要彻底整治App Store的生态环境,恐怕还要下很大的功夫才行。


影响很严重?那应该如何取消应用订阅呢?


如果你很不幸下载了某一款恶意应用,然后又很不幸地订阅了一项非常昂贵的服务,那么你可以通过下列几个步骤来取消未来需要支付的服务:

1.打开“设置”,选择 iTunes & App Store -> Apple ID -> 查看Apple ID

2.输入你Apple ID的密码,或者按下Touch ID

3.点击“订阅”,然后选择你想要取消的订阅服务,选择好后点击“确认”

4.完成之后,这一次的订阅服务期满之后就不会再进行扣费了

除此之外,Lin还专门给苹果公司提供了一份非常长的修改建议,以帮助其App Store提升安全性,例如修改Touch ID订阅界面、加强对订阅服务的审查力度、简化订阅服务的取消步骤、尽快为Search Ads服务制定广告审批方案、以及退款给受欺诈用户等等,感兴趣的同学可以通过【这篇文章】了解修改建议的详细内容。



原文链接:http://thehackernews.com/2017/06/apple-subscription-scam.html

未经允许不得转载:安全路透社 » 【技术分享】骗子们正在利用伪造的苹果应用的内部订阅功能来骗钱

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册