苹果今日宣布,Apple 透过侦测诈欺性开发者和使用者,并采取对应行动,来协助确保消费者可以在 App Store 安全可靠地探索 apps。
自 App Store 在 iPhone 上推出的第一天起,就存有各种威胁,且在之后几年,威胁的规模和复杂性也随之增加。Apple 也随之扩大应对这些威胁的力道,以奋力不懈的步伐,打击使用者和开发者可能遭遇的这些风险。
这背后需要大量的资源,才能确保这些不良行为人士无法取用到使用者最敏感的资讯,如位置到支付明细等。尽管不可能及时发现所有诈欺或恶意行为,但由于 Apple 领导业界的反诈欺作为,安全专家们一致认为 App Store 是寻找和下载各种 app 最安全的地方 1。
单就 2020 年来说,Apple 结合各种先进技术和专业人员的知识,保护客户不受到超过 15 亿美元的潜在诈欺交易侵害,包括阻止盗用客户金钱、资讯和时间的企图,并将近 100 万款具有风险易受攻击的新 app 下架隔离。
2020 年 Apple 为防止 App Store 诈欺行为所采取的行动的主要统计数据
App 审核
App 审核团队是不可或缺的重要防线,他们仔细审查每一款 app 和每一个更新,确保这些 app 都有遵守 App Store 在隐私、安全和垃圾邮件各方面的强制性准则。 这些准则会随着时间推移而改变,以应付新的威胁和挑战,目的是为了保护使用者并提供他们在 App Store 上的最佳体验。
Apple 的目标始终是要让各种新的 app 进入商店。在 2020 年间,审核团队协助 180,000 多个新开发者推出 app。有时候,这需要反复几次尝试才能顺利上架。一个 app 可能在提交审核时尚未完成开发或无法正常运行,或是这款 app 可能不具足够的机制来调适使用者产生的内容。在 2020 年间,由于这一系列类似的原因,
有近 100 万款有问题的新 app,以及另外近 100 万个 app 更新因此遭拒上架或被删除。
在这些遭拒绝的 app 中,有一些规模较小但却相当关键的,是可能损害使用者或严重削弱使用者体验的恶劣违规行为。仅仅在 2020 年间,App 审核团队因包含隐藏或未注明的功能拒绝掉超过 48,000 款 app;因发现该 app 是垃圾邮件、山寨产品,或操纵使用者购买等方式误导使用者拒绝掉 150,000 款 app。
一些开发者会以诱导转向的手法,在通过审核后从根本改变 app 的运作方式,藉以规避准则,实施被禁止的行为甚至是犯罪行为。在发现到这些 app 时,会立刻拒绝这些 app 并从商店中删除,而在开发者帐号被永久终止前,会通知这些开发者有 14 天的申诉程序。在 2020 年间,约有 95,000 款 app 因诈欺性违规行为从 App Store 中删除,主要都是这类诱导转向的诈欺手法。
例如,在最近几个月中,Apple 就拒绝或删除了一些 app,这些 app 在通过初步审核后就转换功能,变成真钱赌博 app、掠夺式贷款发行商及色情中心;利用游戏中的讯号促成毒品买卖;以及奖励使用者透过视讯聊天播放非法和色情内容等。
App 遭拒上架的另个常见原因,是这些 app 要求的使用者资料比真正需要的多,或是这些 app 蒐集的资料处理不当。在 2020 年间,App 审核团队因隐私违规拒绝了超过 21,5000 款 app。Apple 认为隐私是基本权利,这样的承诺也是使用者会选择 App Store 的重要原因之一。
即使备有这些严格的审核保障措施,但 App Store 上拥有 180 万款 app,诸多问题依然防不胜防。使用者可以透过 App Store 上的回报问题功能,或致电 Apple 支援来回报有问题的 app,而开发者可以使用上述这些方法或透过如 Feedback Assistant 以及 Apple Developer Support 等额外管道取得支援。
一个拿着防大镜的人检查一串脚印,代表 Apple 为根除 App Store 的诈欺行为所采取的积极措施
虚假的评分和评论
App Store 的评分和评论帮助许多使用者决定下载哪些 app,而开发者能依靠评分和评论纳入使用者所回馈的新功能。Apple 仰赖一个复杂的系统,其中结合机器学习、人工智能和专家团队的人工审核来调节这些评分和评论,以协助确保其准确性并维持信任度。自 2020 年以来,Apple 已经处理超过 10 亿个评分和超过 1 亿则评论,其中超过 2.5 亿个评分和评论因不符合审核标准而被删除。
Apple 最近还部署了新工具来验证评分和评论帐号真实性,能分析书写的评论是否有虚假的迹象,并确保会删除掉停用帐号的评论内容。
帐号诈骗
不幸的是,有些开发者帐号有时是出自诈欺目的而开设。如果开发者的违规行为十分恶劣或反复发生,违规者将会被逐出 Apple Developer Program,并终止其帐号。Apple 在 2020 年终止了 47 万个开发者帐号,并因虚假考量拒绝了另外 20.5 万个开发者注册,防止这些不良人士向商店提交 app。
尽管诈欺者采用繁复的技术来掩盖他们的行为,但 Apple 积极的监控作业,令这些帐号在开设后平均不到一个月就会被终止。
Apple 为确保下载 app 使用者的安全,所付出的努力甚至超出 App Store 之外。在过去 12 个月内,Apple 发现并挡掉盗版店面上近 11 万个非法 app。这些盗版店面分发的恶意软件通常会设计成与流行的 app 相似,或是未经原开发者授权而修改的流行 app,同时规避掉 App Store 的安全保护措施。
而就在上个月间,Apple 阻止了超过 320 万个透过 Apple Developer Enterprise Program 非法分发的 app 执行个体。这项计画是用来允许企业和其他大型组织开发 app,并向其员工私下分发不对外公开,仅供内部使用的 app。诈欺者试图透过这种方法分发 app,藉以规避严格的 app 审核流程,或透过操控企业内部人员泄漏输送非法内容所需的凭证,牵连到合法企业。
除了诈欺性的开发者帐号外,Apple 也致力辨识出和停用诈欺性的使用者帐号。单论 2020 年,Apple 就因诈欺和滥用行为,停用了 2.44 亿个使用者帐号。此外,还拒绝掉 4.24 亿个试图建立的帐号,因为这些帐号呈现出和诈欺及滥用行为一致的模式。
一个放大镜显示出 app 后方的窃贼,意表虚假的评分和评论
支付和信用卡诈欺
财务资讯和交易,是使用者会在网络分享的最敏感资料之一。Apple 已经投入相当大量的资源建立更安全的支付技术,如 Apple Pay 和 StoreKit,有超过 900,000 款 app 会仰赖这些技术在 App Store 上销售商品和服务。举例来说,透过 Apple Pay 交易,始终不会和店家告知你的信用卡号码,这消除掉支付交易流程间的一个风险因素。
随着网络资料泄漏事件的经常发生,这些保护措施是确保使用者安全的重要一环。但使用者可能没有意识到,当他们的信用卡资讯被破解或从其他来源被窃取时,诈欺者可能会转向至如 App Store 这样的网络市集,试图购买可被漂白或用于非法目的的数位商品和服务。
Apple 也不遗余力地关切这类诈欺行为。仅仅在 2020 年间,结合先进技术和人工审查就阻挡掉超过 300 万张失窃信用卡用于购买失窃商品和服务,并挡掉近 100 万个帐号再次进行交易。总计来说,Apple 在 2020 年间共保护使用者免受超过 15 亿美元的潜在诈欺性交易。
从 App 审核、到诈欺性帐号检测,再到预防金融犯罪,Apple 在幕后日以继夜地工作,在在都为了确保 App Store 能成为使用者和开发者一个安全且信任之地。