Отчет: 2% популярных приложений App Store нанесли ущерб пользователям 48 млн. долларов через мошенничество

Почти 2% самых прибыльных приложений Apple за один день были мошенничеством - и стоили людям 48 миллионов долларов.

Генеральный директор Apple Тим Кук давно утверждал, что компания должна контролировать распространение приложений на iPhone, иначе App Store превратится в "барахолку".

Но среди 1,8 миллиона приложений в App Store мошенничество прячется у всех на виду. Клиенты нескольких приложений VPN, которые якобы защищают данные пользователей, жаловались в обзорах Apple App Store, что приложения сообщали пользователям, что их устройства заражены вирусом, чтобы заставить их загрузить и оплатить ненужное программное обеспечение. Приложение для чтения QR-кода, которое остается в магазине, обманом заставляет клиентов платить 4,99 доллара в неделю за услугу, которая теперь включена в приложение камеры на iPhone. Некоторые приложения мошенническим образом представляют себя от крупных брендов, таких как Amazon и Samsung.

Согласно анализу The Washington Post, из 1000 самых прибыльных приложений в App Store почти два процента - это мошенничество. По данным компании Appfigures, занимающейся маркетинговыми исследованиями, эти приложения выманили у потребителей около 48 миллионов долларов за то время, пока они были в App Store. О масштабах проблемы никогда не сообщалось. Более того, Apple получает прибыль от этих приложений, потому что комисиионные компании от разработчиков составляют до 30% всей выручки, получаемой через App Store. Еще более распространенными, согласно анализу The Post, являются приложения "флисового ПО", которые используют недостоверные отзывы клиентов для продвижения вверх в рейтинге App Store и придают приложениям чувство легитимности, чтобы убедить клиентов платить более высокие цены за услугу, которая стоит дешевле у других легальных приложений.

Две трети из 18 приложений, отмеченных The Post для Apple, были удалены из App Store.

Apple сталкивается с беспрецедентной проверкой того, как она использует свою власть и борется за ее удержание, в том числе в ходе судебного разбирательства по блокбастерам, завершившегося в прошлом месяце. Регулирующие органы и конкуренты сосредоточили внимание на App Store, в частности: в отличие от магазинов приложений для других мобильных операционных систем, магазин Apple не сталкивается с конкуренцией и является единственным способом для владельцев iPhone загружать программное обеспечение на свои телефоны, не обходя ограничения Apple. С его помощью Apple жестко контролирует распространение программного обеспечения и платежи в своей мобильной операционной системе iOS.

Apple утверждает, что ее исключительный контроль над App Store необходим для защиты клиентов, и она разрешает доступ только к лучшим приложениям в своей системе. Но, по мнению экспертов, монополия Apple на то, как потребители получают доступ к приложениям на iPhone, на самом деле может создать среду, которая дает клиентам ложное чувство безопасности. Поскольку Apple не сталкивается с какой-либо серьезной конкуренцией, а многие потребители вынуждены использовать App Store на iPhone, у Apple мало стимулов тратить деньги на его улучшение, говорят эксперты.

Так, Саймон Уиллисон, инженер-программист и бывший разработчик iOS, использовал приложение, которое было фиктивным. У программиста есть телевизор Samsung, он зашел в App Store на своем телефоне, чтобы установить прилагаемое приложение дистанционного управления Samsung под названием "SmartThings". Появилось приложение под названием "SmartThings", в описании котрого было сказано, что это пульт дистанционного управления для телевизоров Samsung. Уиллисон заплатил за приложение 19 долларов. Оказалось, что приложение иммикррировало под подлинный продукт от Samsung. По его словам, его ошибка заключалась в "предположении, что процесс проверки в App Store прошел успешно", - сказал он. "Я ценил Apple выше, чем Samsung".

Apple - не единственная компания, которая борется с этой проблемой: они также есть в Google Play Store, который доступен в Android. Но в отличие от Apple, Google не утверждает, что ее Play Store курируется. Потребители могут загружать приложения из разных магазинов на телефоны Android, создавая конкуренцию между магазинами приложений.

Apple заявляет, что постоянно совершенствует свои методы обнаружения мошенничества и обычно удаляет их в течение месяца после попадания в App Store. В недавнем выпуске новостей Apple сообщила, что использует новые инструменты для проверки подлинности отзывов пользователей и в прошлом году удалила 470000 учетных записей разработчиков приложений из App Store. Однако разработчики могут создавать новые аккаунты и продолжать распространять новые приложения.

Apple утверждает, что она единственная компания, у которой есть ресурсы и ноу-хау для управления App Store. В судебном процессе, который компания Epic Games, производитель популярной видеоигры Fortnite, подала против Apple в прошлом месяце по обвинению в злоупотреблении своей монопольной властью, центральная защита Apple заключалась в том, что конкуренция ослабит защиту от нежелательных приложений, представляющих угрозу безопасности для клиентов. Федеральный судья по делу заявил, что решение по делу возможно будет в августе.

Распространенность мошенничества в Apple App Store сыграла ключевую роль в этом судебном процессе. Юристы Apple были настолько сосредоточены на роли компании в обеспечении безопасности App Store, что юристы Epic обвинили их в попытке запугать суд и вынудить его вынести решение в пользу Apple. В других внутренних электронных письмах, обнаруженных в ходе судебного разбирательства еще в 2013 году, Фил Шиллер из Apple, управляющий App Store, выразил беспокойство, когда мошеннические приложения прошли проверку в App Store.

Эрик Фридман, глава подразделения Apple по разработке алгоритмов и рисков мошенничества, или FEAR, сказал, что процесс проверки Apple "больше похож на симпатичную даму, которая встречает вас с табличкой в гавайском аэропорту, чем на собаку, вынюхивающую наркотики", согласно внутреннему отчету 2016 года. В Apple работает группа из 500 человек, которая анализирует заявки от разработчиков.

Раздел рейтингов App Store заполнен жалобами клиентов, в которых приложения называются мошенничеством, у клиентов Apple нет возможности сообщить об этом напрямую, кроме как обратиться к обычному представителю службы поддержки Apple. Раньше у Apple была кнопка прямо под разделом оценок и обзоров в App Store с надписью "сообщить о проблеме", которая позволяла пользователям сообщать о неприемлемых приложениях. Основываясь на обсуждениях среди клиентов на собственном веб-сайте Apple, эта функция была удалена примерно в 2016 году.

В показаниях под присягой в иске Epic Филипп Шумейкер, бывший глава группы App Review, сказал, что сотрудники его отдела, как правило, не имеют технического образования в области компьютерного кодирования. По его словам, им нужно знать, как пользоваться Mac и iPhone. "Квалификацией было то, что они могли дышать, они могли думать", - сказал он. И обычно они работали в Apple Genius Bar в розничных магазинах компании. В своих показаниях Шумейкер сказал, что на просмотр нового приложения обычно уходит около 13 минут.

Каждый день Apple публикует список из 1000 самых прибыльных приложений за этот день. Используя данные, предоставленные исследовательской фирмой Appfigures, The Post проанализировала самые прибыльные приложения.

Среди них было 18 приложений, которые The Post определила как мошенничество. The Post определила мошенничество как любое приложение, которое забирает деньги у клиентов с помощью вводящей в заблуждение тактики, включая манипулирование рейтингами и отзывами, а также тактику, которая может заставить людей заплатить за что-то случайно или потому, что они считают, что у них нет выбора. The Post также искал ключевые слова в разделе обзоров приложений и шаблоны или жалобы от клиентов, которые чувствовали себя обманутыми.

Пять приложений VPN - Prime Shield, Spy Block, Secure & Fast VPN Protector, CyGuard VPN и Upcure - вызвали тревогу из-за подозрительных оценок и жалоб пользователей в App Store. Приложения VPN предназначены для защиты конфиденциальности пользователей путем маршрутизации их интернет-трафика через удаленный сервер. Но, перекачивая весь трафик с телефона, они также могли получать пароли и конфиденциальную информацию для входа в систему.

Во всех пяти случаях клиенты Apple жаловались в разделе обзора, что они были привлечены к приложениям из-за вводящей в заблуждение рекламы в других местах в Интернете, известной как "scareware", которая пугает пользователей, заставляя их думать, что их телефон заражен вирусом.

Ссылка Apple "поддержка" для трех из этих приложений ведет на российские веб-сайты, которые кажутся почти идентичными друг другу, что позволяет предположить, что они могут принадлежать одному и тому же лицу, использующему несколько учетных записей разработчиков Apple.

Upcure был удален из App Store до того, как The Post связалась с Apple. После того, как The Post связалась с Apple, компания удалила остальные четыре приложения из App Store.

Apple также закрыла отдельное приложение VPN, которое не вошло в число 1000 самых прибыльных приложений после запросов от The Post. FirstVPN: WiFi Security Master был запрограммирован так, чтобы сообщать пользователям: "Обнаружено вредоносное ПО! Было обнаружено 36 вирусов", - заявляло приложение, а затем требовало от пользователей 13 долларов в месяц за блокировку вирусов. Пользователи могли увидеть это уведомление после загрузки приложения, и его можно было использовать как пугающее средство, чтобы заставить их подписаться. Уведомление появилось не сразу после того, как The Post загрузила приложение. Исследователь безопасности Патрик Уордл независимо обнаружил сообщение о 36 вирусах, встроенных в код приложения. Традиционного антивирусного программного обеспечения для iPhone даже не существует из-за того, как Apple ограничивает доступ к программному обеспечению телефона.

Программное обеспечение FirstVPN также содержало изображения из Pornhub, Netflix и ESPN, по словам исследователей безопасности, которые его проанализировали. Уордл сказал, что изображения, по-видимому, рекламируют способность приложения VPN обходить защиту авторских прав и фильтры контента для взрослых.

Другие мошеннические приложения были ориентированы на свидания или отношения. Приложение для знакомств uDates выделилось из-за подозрительных отзывов и жалоб пользователей в App Store. Приложение, обещающее "близость с кем-то, с кем вы уже близки", требует обновления до премиум-аккаунта за 20 долларов в месяц, чтобы отвечать женщинам, которые начали обмениваться сообщениями в течение нескольких секунд после регистрации. Приложение, принадлежит латвийской компании Battika SIA.

Приложение для знакомств MatureDating, имевшее подозрительные отзывы и недостоверную информацию, было удалено Apple после запроса от The Post. Лаура Эдисон, директор NSI Holdings, материнской компании MatureDating, заявила, что недостоверная активность была вызвана недавними изменениями конфиденциальности Apple, которые заставляют приложения спрашивать пользователей, хотят ли они, чтобы их отслеживали. Эдисон сказал, что NSI Holdings использовала отслеживание, чтобы остановить мошенников.

Другое приложение для знакомств CooMeet также просит деньги у пользователей, чтобы они продолжали общаться с женщинами. CooMeet был удален из App Store после того, как The Post попросила представителя Apple дать комментарий. 3 июня CooMeet вернулся в App Store, но на этот раз под новым именем разработчика, Gartwell Limited, из Белиз-Сити.

Что касается одного типа мошенничества, есть свидетельства того, что магазин Apple не безопаснее магазина Google. В марте Avast проанализировал магазины приложений Apple и Google в поисках флисовых приложений. Компания нашла 134 в App Store и 70 в Play Store, с более чем миллиардом загрузок, примерно половину на Android и половину на iOS, а доход составил 365 миллионов долларов на Apple и 38,5 миллионов долларов на Android. Большинство жертв были в Соединенных Штатах.

"Google Play проверяет приложения перед их публикацией. В этом процессе участвует группа экспертов по выявлению нарушений наших политик для разработчиков на ранних этапах жизненного цикла приложения", - сказал представитель Google Скотт Вестовер.

Вавра, исследователь Avast, сказал, что приложения, которые взимают еженедельную подписку, часто вызывают подозрение. При взимании с людей еженедельной оплаты подписки кажутся ниже, и некоторые клиенты будут считать, что они ежемесячные, не читая мелкий шрифт - и эти сборы могут складываться. В одном случае Вавра обнаружил, что приложение для чтения по ладони под названием FortuneScope стоит 3432 доллара в год. Разработчиком приложения указана российская компания ООО "Руссо-Бел-Ремстрой.

Другая стратегия: просто не смотрите на общий рейтинг приложения. Прокрутите вниз и прочитайте отзывы.

Большинство мошеннических приложений имеют высокие рейтинги. Но внимательное чтение обзоров помогает выявить, что некоторые из них не являются подлинными. Быстрый поиск в Интернете показывает, что есть несколько сервисов, которые продают положительные отзывы в App Store.

Например, QR Code Reader - QR Scan, который заработал 879 000 долларов за услугу, встроенную в iPhone, имеет высокий рейтинг 4,6 звезды и 16 000 отзывов. Но некоторые из них не имеют ничего общего со сканированием QR-кода. "Я ходил а к мастеру по ногтям Энни Лавер в течение многих лет, и она всегда делала все возможное, чтобы предоставить исключительный сервис", - написано в одном обзоре. В другом отзыве указано: "Я рискнул заказать ошейник для дрессировки собак, могу сказат, что он достаточно долго держит заряд. Спасибо!!!"

Этот тип манипуляций может "создать у общественности представление о том, что они могут безопасно загрузить приложение или купить продукт и использовать контент, который другие люди сочли ценным", - сказала Рене ДиРеста, менеджер по техническим исследованиям Стэнфордской интернет-обсерватории, которая изучает фейковые обзоры на Amazon.

В некоторых случаях обзоры проводятся с помощью ботов. В более качественных обзорах используются реальные люди.

Сауд Халифа, основатель и исполнительный директор FakeSpot, который помогает потребителям обнаруживать поддельные отзывы на таких сайтах, как Amazon, сказал, что компания обнаружила, что в среднем от 25 до 30 процентов отзывов в App Store являются поддельными. По словам Халифы, в 2019 году Apple начала фильтровать "фейковые отзывы". Но компания по-прежнему упускает из виду более изощренные методы фальшивых отзывов, когда их публикуют реальные люди.

Сайнс сказал, что Apple отклоняет около трети всех представленных оценок и обзоров. Он сказал, что представление о том, что делает обзор фальшивым, является субъективным, и что некоторые обзоры, которые FakeSpot может счесть недостоверными, могут быть сделаны реальными людьми.

Есть более хитрые способы получить хорошие отзывы. Один из методов использовался в приложении под названием "Streamer for Fire Stick TV", которое имело рейтинг 4,4 звезды и 8 500 оценок. Приложение взимает с пользователей 3 доллара в месяц или единовременную плату в размере 10 долларов за пожизненную премиальную подписку.

Однако его высокий рейтинг, похоже, обусловлен уловкой программирования, в которой используется ошибка в рейтинговой системе Apple. Код в приложении Fire TV заставляет пользователей оценивать приложение, не позволяя пользователю нажимать что-либо, кроме четырех или пяти звезд. Уловка и ошибка кодирования были обнаружены с помощью программного обеспечения, созданного Corellium, компанией, которая производит инструменты для исследования безопасности.

"У нас есть процессы для выявления и расследования злоумышленников, которые используют наш бренд для обмана общественности, и мы принимаем меры для защиты клиентов и привлечения злоумышленников к ответственности по всей строгости закона", - заявил представитель Amazon Крейг Эндрюс.

Приложение было впервые замечено Коста Элефтериу, разработчиком приложений, который неоднократно критиковал Apple за подход к стандартам для приложений. Элефтериу делает приложения для набора текста, которыми могут пользоваться слепые люди, был разочарован, когда одно из его приложений пострадало из-за того, что он называет мошенническими приложениями, которые использовали поддельные отзывы для продвижения вверх по рейтингу. В марте Элефтериу подал в суд на Apple, заявив, что компания злоупотребила своей рыночной властью, чтобы навредить мелким разработчикам.

По материалам: Washington Post.

Android Apple IPhone Netflix Samsung Доллар