Η εξέταση μιας εφαρμογής απάτης για macOS που φτιάχτηκε από έναν ψεύτικο προγραμματιστή που υποδύεται νόμιμους λογαριασμούς αποκαλύπτει πώς μπορεί να χειραγωγηθεί το σύστημα ελέγχου του Mac App Store.
Το λογισμικό κατασκοπείας και το κακόβουλο λογισμικό είναι ένα συνεχιζόμενο πρόβλημα στους υπολογιστές και η Apple προσπαθεί να κρατήσει τα πράγματα ασφαλή διατηρώντας την ασφάλεια του App Store και του Mac App Store.
Φυσικά, κακόβουλοι χρήστες προσπαθούν συνέχεια να κάνουν κατάχρηση αυτών των συστημάτων και να παρακάμψουν τα χαρακτηριστικά ασφαλείας της Apple. Σε μια ανάλυση των τεχνικών που χρησιμοποιούνται από απατεώνες, μια ανάρτηση από το Privacy1St στο Medium εξηγεί τι συνέβη για μια εφαρμογή που εκμεταλλεύτηκε μια σειρά από τομείς του οικοσυστήματος της Apple για να προχωρήσει.
Η ανάλυση αφορά μια εφαρμογή που ονομάζεται GPT4 – AI Chat Robot Assistant της SkyLink Tech.
Η κανονική διαδικασία για τη λήψη ενός λογαριασμού προγραμματιστή βασίζεται στο ότι ο προγραμματιστής έχει έναν υπάρχοντα αριθμό D-U-N-S ή ότι θα εγγραφεί για έναν νέο μέσω μιας αναγνωρισμένης αρχής. Αυτός ο αριθμός παρέχεται μαζί με τα στοιχεία επικοινωνίας στην Apple, τα οποία η Apple χρησιμοποιεί στη συνέχεια για να επιβεβαιώσει τη νομιμότητα της εγγραφής.
Ωστόσο, η Apple ρωτά πραγματικά αν ο εκπρόσωπος είναι νόμιμος και το όνομά τους. Αυτό αναφέρεται στην έκθεση ως “εξορθολογισμένο” και λιγότερο αυστηρό από άλλους οργανισμούς. Οι απατεώνες χρησιμοποιούν ιστότοπους για να εγγραφούν και να λάβουν τον αριθμό D-U-N-S μιας εταιρείας χωρίς άδεια. Κατά την υποβολή της φόρμας, περιλαμβάνουν τα δικά τους στοιχεία επικοινωνίας και, στη συνέχεια, απλώς προσποιούνται ότι είναι ο εκπρόσωπος ή ο ιδιοκτήτης της εταιρείας που πλαστογραφούν.
Αφού εγγραφεί, η εφαρμογή που χρησιμοποιεί στη συνέχεια τεχνικές για να κερδίσει την εμπιστοσύνη από τους χρήστες, με λανθασμένους τρόπους. Για αρχή, η εφαρμογή ισχυρίζεται ότι σχετίζεται με την OpenAI, την εταιρεία πίσω από το ChatGPT, και χρησιμοποιεί ονόματα προϊόντων και παρόμοια λογότυπα για να παρουσιάσει την εφαρμογή ως επίσημη.
Ή, τουλάχιστον για να μπερδέψει τους χρήστες αρκετά ώστε να πιστέψουν ότι μπορεί να είναι η πραγματική εταιρεία από πίσω. Στη συνέχεια, οι εφαρμογές παρέχουν στιγμιότυπα οθόνης που είναι ξεκάθαρα ψέματα, συμπεριλαμβανομένων των ισχυρισμών ότι η εφαρμογή έχει σχέση όχι μόνο στο OpenAI αλλά και στο GoogleAI.
Η Google δεν έχει ακόμη επιτρέψει σε κανέναν να έχει πρόσβαση σε επίπεδο ChatGPT στα δικά της συστήματα AI. Μέσα στην ίδια την εφαρμογή, η εφαρμογή προσφέρει ανταμοιβές και δώρα στους χρήστες για τη σύνταξη καλών κριτικών στο Mac App Store, καθώς οι καλές κριτικές βοηθούν τους άλλους να κάνουν λήψη εφαρμογών.
Το πρόβλημα εδώ είναι ότι οι ανταμοιβές για καλές κριτικές είναι αντίθετες με τους κανόνες του App Store της Apple, σύμφωνα με τους όρους της. Η εφαρμογή παραπλανά επίσης σχετικά με ένα paywall, λέγοντας στους χρήστες ότι θα έχουν δωρεάν χρήση, αλλά στην πραγματικότητα δεν θα λάβουν αυτό που υποσχέθηκαν. Στην περίπτωση της εφαρμογής, θα ξεκλειδώσει το “OpenAI Training” και περισσότερες δυνατότητες.
Εκτός από πιο προφανή ζητήματα, διαπιστώθηκε ότι η εφαρμογή συνέλεγε κρυφά το Mac UUID χωρίς να ζητήσει άδεια. Σε αυτήν την περίπτωση, το Mac UUID χρησιμοποιείται για την παρακολούθηση των κλήσεων προς το OpenAI API.
Παρά την ανακάλυψη της εφαρμογής και την αναφορά της στην Apple στις 13 Σεπτεμβρίου, η εφαρμογή εξακολουθεί να είναι διαθέσιμη στο Mac App Store και δεν έχει γίνει καμία ενέργεια, υποστηρίζει η αναφορά.
Συνοπτικά, η έκθεση ισχυρίζεται ότι τα διάφορα ζητήματα με την εφαρμογή “δείχνουν ότι ακόμη και αν τα προϊόντα της Apple είναι καλά κατασκευασμένα, υπάρχουν πολλά πράγματα που πρέπει να καλυφθούν. Το πιο ανησυχητικό είναι ότι φαίνεται ότι η Apple δεν κάνει πολλά όταν άνθρωποι αναφέρουν αυτές τις απάτες».
«Η Apple θα πρέπει να παρέχει σαφείς και γρήγορες διαδρομές στους ανθρώπους για να αναφέρουν απλώς αυτού του είδους τις απάτες». Δεν είναι η πρώτη φορά που η Apple καλείται για τη χαλαρή ασφάλεια του Mac App Store.
Aκολουθήστε το AppleWorldHellas στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το AppleWorldHellas στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://appleworldhellas.com/feed. Ακολουθήστε επίσης το AppleWorldHellas.com σε Facebook, Twitter, Instagram, και YouTube