Apple 的 App Store 審核程序近日備受關注,兩宗事件凸顯其安全漏洞。加密貨幣新聞網站 CoinDesk 報導,一款假冒 Ledger Live 的 Mac 應用程式在 Mac App Store 上架,誘騙用戶輸入恢復短語,導致錢包被清空。事件影響逾 50 名受害者,損失至少 US$9.5 million,約 HK$74.1 million 的比特幣、以太幣及其他加密貨幣。
其中一名受害者音樂家 G. Love 在 X 平台發文,表示損失 5.9 BTC,價值近 US$75,000,約 HK$585,000。調查員 ZachXBT 指出,三宗最大個別損失分別為 US$2 million、US$2.1 million 及 US$3.2 million,約 HK$15.6 million、HK$16.38 million 及 HK$24.
96 million。該應用已遭移除,但外界質疑 Apple 審核機制如何讓其停留兩週。
Freecash 數據收集爭議
同週,TechCrunch 報導 Freecash 應用被禁。該應用以付費瀏覽 TikTok 為餌,實為收集用戶敏感數據,包括宗教及性取向,並售予第三方。雖然數據收集模式常見於免費應用,但批評指其手法具誤導性。Wired 早於一月報導其欺騙性營銷,TikTok 已禁部分廣告,惟 Apple 直至 TechCrunch 聯絡後才移除應用,並終止開發者帳戶。Android 版亦疑遭 Google Play 下架。
兩案均顯示 Apple 初審疏漏及反應遲緩。 Apple 回應指 Ledger Live 違反 App Review Guidelines 3.1.2(a) 條款,涉惡意 bait-and-switch 功能;Freecash 違反同條及 2.3.1 條款,涉誤導營銷。Apple 強調零容忍欺詐行為,每週處理近 150,000 宗提交,2024 年審核逾 770 萬宗,拒絕 190 萬宗,其中 bait-and-switch 違規導致逾 17,000 宗移除或拒絕。
Apple App Store 聲稱提供安全環境,處理海量應用提交,每週約 150,000 宗。然近年 fleeceware VPN、假冒遊戲及 AI nudify apps 等問題頻現,假評價推高不良應用。Phil Schiller 14 年前已批評詐騙應用猖獗,情況未見改善。Craig Federighi 稱 sideloading 利黑客,但官方商店仍出現竊密及詐財個案,質疑審核僅限惡意軟件掃描。
Apple 平台約有 200 萬 iOS 應用,審核壓力龐大,但受害者損失難以忽視。 | 事件 | 損失金額 | 受害人數 | 移除原因 | |——|———-|———-|———-| | Ledger Live | US$9.5 million (約 HK$74.1 million) | 逾 50 | 惡意 bait-and-switch (3.
1.2(a)) | | Freecash | – | – | 誤導營銷 (2.3.1 & 3.1.2(a))
