回归最本质的信息安全

苹果APP Store被不法者钻空子,植入大量诈骗应用

2017年6月15日发布

14,337
5
6

导语:在今年的苹果全球开发者大会上,苹果公司宣布,由于世界各地的人们都喜欢应用程序,用户正以创纪录的速度下载,其公司已经支付了开发商700多亿美元,而去年仅支付了210亿美元。

APP市场迅猛发展,开发商获利颇丰

在今年的苹果全球开发者大会上,苹果公司宣布,由于世界各地的人们都喜欢应用程序,用户正以创纪录的速度下载,其公司已经支付了开发商700多亿美元,而去年仅支付了210亿美元。

苹果表示,游戏和娱乐类别中的应用程序带来的收入最多,主要来自流行的免费增值游戏,包括内部程序购买以及内容订阅。同时,照片及视频类别程序在2016年发展最为迅猛,增幅接近90%。App Store主动付费订阅量同比增长58%。生活、健康和健身类程序下载量强势上涨70%。

但是,这里我们有一个疑问,是不是上面提到的所有的钱都流进了合法应用程序开发人员的口袋呢?

实际情况可能并非如此!作为黑客兼应用程序开发人员,Johnny Lin于上周对苹果的App Store进行了分析,发现应用商店中大部分的热门应用程序都是完全虚假的,并正在通过“应用程序购买和订阅机制”为开发商月赚数十万美元。

诈骗者使用“搜索广告”平台来提升应用程序排名

在去年6月份的全球开发者大会(WWDC)上,苹果公司正式公布了在App Store内尝试“搜索广告”模式的战略方针。而狡猾的开发人员正是利用“搜索广告”和一些搜索引擎优化(SEO)来推广其App Store中的应用,提升排名。

Johnny Lin在他发表的一篇名为《如何利用苹果应用商店月入八万美金》的帖子中写道,

诈骗者们正在利用广告没有过滤和审批流程这一事实来实施非法活动。这些广告看起来和实际结果几乎没有任何区别,有些广告甚至占据了整个搜索结果的第一页。而在进一步分析后,我发现,很不幸的是,这些并非孤立事件,它们在应用商店的畅销应用(Top Grossing)列表中相当常见。而且这种情况不仅仅局限于与安全相关的关键字,看起来诈骗者正在扩展其他关键字。

App Store搜索广告的具体内容

苹果高级副总裁Phil Schiller表示,

每周App Store上有几亿搜索,65%的应用下载都由搜索带动。对用户和开发者来说,搜索是很宝贵的工具。对开发者来说,这种推广效率很高。

AppStore推出的搜索广告,可以从展示形式、条数、计费方式以及展示人群这四方面进一步了解。

1. 展示形式

640.jpeg

搜索广告将作为第一个显示结果出现在搜索结果页中。苹果希望,通过它帮助开发者更有效地推广自己的App。Phil Schiller说:用户不会对搜索引擎或社交媒体中的广告陌生。与搜索结果关联度很高的才会出现在广告位置上,搜索结果只是App,不能通过搜索得到别的东西。

2. 条数 

苹果还是相对克制,搜索结果中的广告有且仅有一条,并且会用蓝色背景和图标,清晰标识出这是一个广告。

3. 计费方式 

定价系统采用CPC模式(Cost Per Click网络广告的收费计算形式),只有用户点击广告才会计费。对营销人而言,第二价格竞价系统,是从其iAd引荐过来的技术,开发者只需要在用户点击广告时付费。苹果认为,这是一套对开发者十分公平的系统。对一些小型独立开发者来说,这套搜索系统也会很高效。

4. 展示人群 

苹果明确表示,13岁以下的青少年不会看到搜索广告。

注意!不要掉入虚假苹果“应用内订阅/购买”的陷阱 

Johnny Lin发现,在应用商店“畅销应用”中有一款名为“Mobile protection :Clean & Security VPN”的应用程序,用户只需将其拇指放在Touch ID上,就可以完成每周需要支付99.99美元订阅费的垃圾服务。

1497407446152163.png

根据Lin的说法,从移动应用数据分析公司Sensor Tower得到的数据显示,单单这款应用程序每个月就可以为开发商带来大约80000美元的盈利。

带有拼写和语法错误以及虚假评论的“Mobile protection :Clean & Security VPN”应用程序声称自己是一款病毒扫描器,并通过“提供免费使用服务”来吸引用户安装该程序,进而诱导用户进行应用内支付。

但是一旦受害者点击免费试用,Touch ID屏幕上就会显示:是否使用Touch ID来获取一个7天的免费病毒/恶意软件扫描服务?从2017年6月9日起,您将需要支付99.99美元/7天的订阅费用。

1497407479570228.png

通常,登录Touch ID屏幕的用户都会无意中用手指轻触Touch ID,如此一来,诈骗者每月仅从一个用户身上就能赚取将近400美元。

根据Lin的统计发现,狡猾的应用程序开发人员已经至少骗取了200个人完成虚假的苹果“应用程序内订阅/购买”服务,按照每人每月需支出近 400美元计算,他们可以轻松月赚80000美元,这就意味着,每年有96万美元的收入。

此消息出来之后,苹果公司已经将Mobile Protection从App Store上移除了,再搜索这款 App也只是显示该应用已从美国区 App Store下架。不过这只是中治标不治本的方式,其App Store中仍然存在大量使用“应用内订购”和误导性描述的虚假应用,来诱骗用户花费大量资金购买垃圾应用服务。

如何取消应用程序订阅? 

如果你也不幸地下载了任何有问题的虚假应用程序并需要支付昂贵的订阅费用,可以通过下述步骤取消订阅服务:

打开设置APP并转到iTunes & App Store→Apple ID → 查看 Apple ID;
输入您的Apple ID密码,或根据提示指纹解锁Touch ID;
点击订阅,然后点击你要取消的订阅服务,再点击确认;

完成上述步骤后,一旦当前的订阅期限结束,你将不必继续支付任何费用。

本文翻译自:http://thehackernews.com/2017/06/apple-subscription-scam.html,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/5451.html

点赞 6
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

小二郎

小二郎

这个人很懒,什么也没留下

发私信

发表评论

    ricky
    ricky 2017-06-16 18:01

    Σ( ° △ °|||)︴ 这么吓人,还好我不用苹果

    绚濑绘里
    绚濑绘里 2017-06-15 16:25

    这时候突然觉得苹果在默默的收着那32%的手续费…

    lapua
    lapua 2017-06-15 16:01

    这还不是一次性支付的套路,这是订阅啊…订阅的话,第一次付费肯定是没法退的!这种发家致富途径千万别被国人看到啊

    沙拉拉卡
    沙拉拉卡 2017-06-15 11:04

    这也是够可恶的,一周100美元…