3 月 17 日消息,苹果 TestFlight 是用来安装测试版 App 的工具,旨在帮助开发者在 App Store 上向用户发布测试版应用程序。然而,有些骗子们一直在利用这个平台进行诈骗,在苹果不知情的情况下向其用户分发恶意程序。
据安全公司 Sophos,他们发现一个被称为 “CryptoRom” 的组织一直在向 iOS 和 Android 用户分发虚假的加密货币 App。他们利用苹果官方平台 TestFlight 来创建并向 iPhone 和 iPad 用户分发恶意 App,从而达到他们的目的。
了解到,通过 TestFlight,开发者可以邀请最多 1 万名测试者安装他们的测试版 App,这些应用不需要通过苹果 App Store 的审查程序,因此该平台可实现类似侧载的过程,而骗子们就利用了这一点将其恶意软件分发给一些用户。
同时,苹果也很难发现有骗子将诈骗应用作为测试版 App 发布,而且所有安装了 TestFlight 的 iOS 用户都可以下载其应用。
“一些与受害者反馈说,他们被指示安装了一款疑似 BTCBOX(一个日本加密货币交易所)的应用程序,”Sophos 分析师 Jagadeesh Chandraiah 表示,“我们还发现了假冒 BitFury 的网站,也是通过 TestFlight 分发假 App。我们正继续寻找使用同样方法的其他 CryptoRom 应用程序 “。
报告还显示,骗子还在尝试推广恶意 Web 应用(即可以添加到 iOS 设备主屏幕上作为应用运行的网站),以绕过 App Store 的审查程序。
由于修改 TestFlight 逻辑会影响到开发者,苹果表示,用户应该避免下载和安装任何来源不明的软件来防止被骗,即使是通过 TestFlight 分发的软件。