蘋果今日宣布,Apple 透過偵測詐欺性開發者和使用者,並採取對應行動,來協助確保消費者可以在 App Store 安全可靠地探索 apps。
自 App Store 在 iPhone 上推出的第一天起,就存有各種威脅,且在之後幾年,威脅的規模和複雜性也隨之增加。Apple 也隨之擴大應對這些威脅的力道,以奮力不懈的步伐,打擊使用者和開發者可能遭遇的這些風險。
這背後需要大量的資源,才能確保這些不良行為人士無法取用到使用者最敏感的資訊,如位置到支付明細等。儘管不可能及時發現所有詐欺或惡意行為,但由於 Apple 領導業界的反詐欺作為,安全專家們一致認為 App Store 是尋找和下載各種 app 最安全的地方 1。
單就 2020 年來說,Apple 結合各種先進技術和專業人員的知識,保護客戶不受到超過 15 億美元的潛在詐欺交易侵害,包括阻止盜用客戶金錢、資訊和時間的企圖,並將近 100 萬款具有風險易受攻擊的新 app 下架隔離。
2020 年 Apple 為防止 App Store 詐欺行為所採取的行動的主要統計數據
App 審核
App 審核團隊是不可或缺的重要防線,他們仔細審查每一款 app 和每一個更新,確保這些 app 都有遵守 App Store 在隱私、安全和垃圾郵件各方面的強制性準則。 這些準則會隨著時間推移而改變,以應付新的威脅和挑戰,目的是為了保護使用者並提供他們在 App Store 上的最佳體驗。
Apple 的目標始終是要讓各種新的 app 進入商店。在 2020 年間,審核團隊協助 180,000 多個新開發者推出 app。有時候,這需要反覆幾次嘗試才能順利上架。一個 app 可能在提交審核時尚未完成開發或無法正常運行,或是這款 app 可能不具足夠的機制來調適使用者產生的內容。在 2020 年間,由於這一系列類似的原因,
有近 100 萬款有問題的新 app,以及另外近 100 萬個 app 更新因此遭拒上架或被刪除。
在這些遭拒絕的 app 中,有一些規模較小但卻相當關鍵的,是可能損害使用者或嚴重削弱使用者體驗的惡劣違規行為。僅僅在 2020 年間,App 審核團隊因包含隱藏或未注明的功能拒絕掉超過 48,000 款 app;因發現該 app 是垃圾郵件、山寨產品,或操縱使用者購買等方式誤導使用者拒絕掉 150,000 款 app。
一些開發者會以誘導轉向的手法,在通過審核後從根本改變 app 的運作方式,藉以規避準則,實施被禁止的行為甚至是犯罪行為。在發現到這些 app 時,會立刻拒絕這些 app 並從商店中刪除,而在開發者帳號被永久終止前,會通知這些開發者有 14 天的申訴程序。在 2020 年間,約有 95,000 款 app 因詐欺性違規行為從 App Store 中刪除,主要都是這類誘導轉向的詐欺手法。
例如,在最近幾個月中,Apple 就拒絕或刪除了一些 app,這些 app 在通過初步審核後就轉換功能,變成真錢賭博 app、掠奪式貸款發行商及色情中心;利用遊戲中的訊號促成毒品買賣;以及獎勵使用者透過視訊聊天播放非法和色情內容等。
App 遭拒上架的另個常見原因,是這些 app 要求的使用者資料比真正需要的多,或是這些 app 蒐集的資料處理不當。在 2020 年間,App 審核團隊因隱私違規拒絕了超過 21,5000 款 app。Apple 認為隱私是基本權利,這樣的承諾也是使用者會選擇 App Store 的重要原因之一。
即使備有這些嚴格的審核保障措施,但 App Store 上擁有 180 萬款 app,諸多問題依然防不勝防。使用者可以透過 App Store 上的回報問題功能,或致電 Apple 支援來回報有問題的 app,而開發者可以使用上述這些方法或透過如 Feedback Assistant 以及 Apple Developer Support 等額外管道取得支援。
一個拿著防大鏡的人檢查一串腳印,代表 Apple 為根除 App Store 的詐欺行為所採取的積極措施
虛假的評分和評論
App Store 的評分和評論幫助許多使用者決定下載哪些 app,而開發者能依靠評分和評論納入使用者所回饋的新功能。Apple 仰賴一個複雜的系統,其中結合機器學習、人工智慧和專家團隊的人工審核來調節這些評分和評論,以協助確保其準確性並維持信任度。自 2020 年以來,Apple 已經處理超過 10 億個評分和超過 1 億則評論,其中超過 2.5 億個評分和評論因不符合審核標準而被刪除。
Apple 最近還部署了新工具來驗證評分和評論帳號真實性,能分析書寫的評論是否有虛假的跡象,並確保會刪除掉停用帳號的評論內容。
帳號詐騙
不幸的是,有些開發者帳號有時是出自詐欺目的而開設。如果開發者的違規行為十分惡劣或反覆發生,違規者將會被逐出 Apple Developer Program,並終止其帳號。Apple 在 2020 年終止了 47 萬個開發者帳號,並因虛假考量拒絕了另外 20.5 萬個開發者註冊,防止這些不良人士向商店提交 app。
儘管詐欺者採用繁複的技術來掩蓋他們的行為,但 Apple 積極的監控作業,令這些帳號在開設後平均不到一個月就會被終止。
Apple 為確保下載 app 使用者的安全,所付出的努力甚至超出 App Store 之外。在過去 12 個月內,Apple 發現並擋掉盜版店面上近 11 萬個非法 app。這些盜版店面分發的惡意軟體通常會設計成與流行的 app 相似,或是未經原開發者授權而修改的流行 app,同時規避掉 App Store 的安全保護措施。
而就在上個月間,Apple 阻止了超過 320 萬個透過 Apple Developer Enterprise Program 非法分發的 app 執行個體。這項計畫是用來允許企業和其他大型組織開發 app,並向其員工私下分發不對外公開,僅供內部使用的 app。詐欺者試圖透過這種方法分發 app,藉以規避嚴格的 app 審核流程,或透過操控企業內部人員洩漏輸送非法內容所需的憑證,牽連到合法企業。
除了詐欺性的開發者帳號外,Apple 也致力辨識出和停用詐欺性的使用者帳號。單論 2020 年,Apple 就因詐欺和濫用行為,停用了 2.44 億個使用者帳號。此外,還拒絕掉 4.24 億個試圖建立的帳號,因為這些帳號呈現出和詐欺及濫用行為一致的模式。
一個放大鏡顯示出 app 後方的竊賊,意表虛假的評分和評論
支付和信用卡詐欺
財務資訊和交易,是使用者會在網路分享的最敏感資料之一。Apple 已經投入相當大量的資源建立更安全的支付技術,如 Apple Pay 和 StoreKit,有超過 900,000 款 app 會仰賴這些技術在 App Store 上銷售商品和服務。舉例來說,透過 Apple Pay 交易,始終不會和店家告知你的信用卡號碼,這消除掉支付交易流程間的一個風險因素。
隨著網路資料洩漏事件的經常發生,這些保護措施是確保使用者安全的重要一環。但使用者可能沒有意識到,當他們的信用卡資訊被破解或從其他來源被竊取時,詐欺者可能會轉向至如 App Store 這樣的網路市集,試圖購買可被漂白或用於非法目的的數位商品和服務。
Apple 也不遺餘力地關切這類詐欺行為。僅僅在 2020 年間,結合先進技術和人工審查就阻擋掉超過 300 萬張失竊信用卡用於購買失竊商品和服務,並擋掉近 100 萬個帳號再次進行交易。總計來說,Apple 在 2020 年間共保護使用者免受超過 15 億美元的潛在詐欺性交易。
從 App 審核、到詐欺性帳號檢測,再到預防金融犯罪,Apple 在幕後日以繼夜地工作,在在都為了確保 App Store 能成為使用者和開發者一個安全且信任之地。