苹果App Store应用商店近日遭遇信任危机,两款问题应用在同一天被下架,引发用户对平台审核机制的质疑。其中一款名为Ledger Live的假冒应用,通过伪装成知名加密货币钱包工具,成功绕过苹果应用商店的安全审查,导致至少50名用户遭受重大财产损失。据区块链安全机构统计,涉案金额高达950万美元(约合人民币6500.8万元),单笔最高损失达323万美元,三名受害者损失金额均超过百万美元。
另一款被下架的应用Freecash则涉及大规模数据泄露。该应用以"观看短视频赚钱"为噱头在TikTok等平台推广,实际通过奖励机制诱导用户授权获取种族、健康状况及生物特征等敏感信息。安全公司Malwarebytes的报告指出,Freecash本质是数据贩卖平台,其运营模式与某些手机游戏厂商存在利益输送关系——用户下载指定游戏并完成消费后,开发者可获得分成。
进一步调查发现,Freecash开发团队存在规避监管的前科。其早期版本由德国公司Almedia GmbH发布,于2024年中因违规收集数据被下架。仅数月后,塞浦路斯注册的256 Rewards Ltd公司通过更换应用名称和开发者账号,使相同代码库的应用重新上架。这种"换壳"操作暴露出应用商店审核流程的潜在漏洞,即对开发者历史行为缺乏持续性追踪机制。
区块链安全专家ZachXBT分析认为,Ledger Live事件可能引发用户集体诉讼,焦点将集中在苹果审核系统的失职以及早期举报响应迟缓等问题。目前尚不清楚该应用如何通过代码审查,亦未有证据显示其使用了零日漏洞等高级攻击手段。这引发业界对传统应用商店安全模型的反思——单纯依赖静态代码分析可能难以应对日益复杂的金融诈骗手段。
