據《IT之家》,蘋果TestFlight是用來安裝測試版App的工具,旨在幫助開發者在AppStore上向用戶發布測試版應用程式。
然而,有些騙子們一直在利用這個平台進行詐騙,在蘋果不知情的情況下向其用戶分發惡意程式。
據安全公司Sophos,他們發現一個被稱為「CryptoRom」的組織,一直在向iOS和Android用戶分發虛假的加密貨幣App。他們利用蘋果官方平台TestFlight,來創建並向iPhone和iPad用戶分發惡意App,從而達到他們的目的。
通過TestFlight,開發者可以邀請最多1萬名測試者安裝他們的測試版App,這些應用程式不需要通過蘋果AppStore的審查程序,因此該平台可實現類似側載的過程,而騙子們就利用了這一點將其惡意軟體分發給一些用戶。
同時,蘋果也很難發現有騙子將詐騙應用程式作為測試版App發布,而且所有安裝了TestFlight的iOS用戶都可以下載其應用程式。
「一些與受害者回饋說,他們被指示安裝了一款疑似BTCBOX(一個日本加密貨幣交易所)的應用程式。」Sophos分析師JagadeeshChandraiah表示,「我們還發現了假冒BitFury的網站,也是通過TestFlight分發假App,我們正繼續尋找使用同樣方法的其他CryptoRom應用程式。」
報告還顯示,騙子還在嘗試推廣惡意Web應用程式(即可以添加到iOS設備主螢幕上作為應用運行的網站),以繞過AppStore的審查程序。
由於修改TestFlight邏輯會影響到開發者,蘋果表示,用戶應該避免下載和安裝任何來源不明的軟體來防止被騙,即使是通過TestFlight分發的軟體。
本文為品玩授權刊登,原文標題為「蘋果TestFlight被發現用來向iPhone用戶推廣惡意程序」