Apple lại để lọt ứng dụng lừa đảo trên App Store

Nhà phát triển chuyên săn ứng dụng lừa đảo, Kosta Eleftheriou, luôn nổi tiếng với biệt tài bắt quả tang những trò gian lận nghiêm trọng, có thể vượt qua quá trình kiểm duyệt của Apple. Và mới đây, anh lại một lần nữa gây chú ý khi công bố một loạt các ứng dụng mờ ám mới đang được bán qua App Store.

Lần này, chúng nhắm đến máy tính Mac và sử dụng cơ chế pop-up, khiến việc thoát ứng dụng trở nên cực kỳ khó khăn nếu không đồng ý với mức giá đăng ký cực cao của chúng. Tất cả chúng đều không nằm trong sự dòm ngó của Apple, qua mặt quy trình App Review (đánh giá ứng dụng) của Apple vốn nhằm mục đích giữ thiết bị và người dùng an toàn.

Ứng dụng đầu tiên được nhắc tên lần này chính là My Metronome và được phát triển bởi Edoardo Vacchi. Theo Vacchi, Eleftheriou cũng như những đánh giá của người dùng, ứng dụng này sẽ khóa và không cho bạn thoát bằng phím tắt hoặc thanh menu cho đến khi đồng ý với việc đăng ký thuê bao 9,99 USD/tháng (tuy nhiên, người dùng vẫn có thể Force Quit ứng dụng này). Trao đổi với The Verge, Eleftheriou cho biết rằng “có vẻ như nhà phát triển này đã thử nghiệm nhiều kỹ thuật khác nhau trong nhiều năm để ngăn mọi người đóng paywall”, ám chỉ rằng một số ứng dụng khác tương tự vẫn còn trên kho ứng dụng.

Sau khi Eleftheriou đăng tải thông tin về My Metronome trên Twitter, ứng dụng này dường như đã bị xóa khỏi kho ứng dụng. Khi cố gắng mở liên kết bật lên, hệ thống sẽ hiển thị một thông báo cho biết rằng nó không còn khả dụng tại khu vực sinh sống. Dẫu sao đi chăng nữa, bạn cũng không nên cố tải nó hoặc bất kỳ ứng dụng nào trong bài viết này. Đáng tiếc, Apple lại không đưa ra bình luận về việc liệu có phải họ là người gỡ ứng dụng xuống hay không, hoặc bằng cách nào mà nó vượt qua được App Review.

Dẫu thế, câu chuyện vẫn chưa dừng lại ở đó. Như nhà phát triển Jeff Johnson đã phát hiện ra, công ty tạo ra ứng dụng máy đếm nhịp này – Music Paradise, LLC – có mối liên hệ mật thiết với một nhà phát triển App Store khác có tên là Groove Vibes. Các chính sách bảo mật được liệt kê trên cả 2 trang web nhà phát triển (được liên kết với các trang App Store của họ) xác nhận chúng được đăng ký tại cùng một địa chỉ và cả 2 đều cùng đề cập đến cùng một pháp nhân: Akadem GmbH.

The Verge đã quyết định tự mình thử nghiệm những ứng dụng này. Họ đã mở Mac App Store lên và tải về một ứng dụng khác của Music Paradise, có tên là Paradise Player, cùng với toàn bộ danh mục ứng dụng Mac của Groove Vibes. Tất cả chúng đều có một cửa sổ bật lên (pop-up) ngay lập tức, đòi tiền dưới dạng thuê bao định kỳ (thường ở mức giá 10 USD/tháng). Ba trong số các ứng dụng của Groove Vibes vẫn hoạt động bình thường, tức bạn có thể thoát khỏi chúng bằng thanh menu hoặc bằng cách nhấn tổ hợp phím Command + Q.

Dẫu thế, 2 ứng dụng từ nhà phát triển này, cùng với Music Paradise Player, đã cố tình chuyển xám tùy chọn thoát trên thanh menu và không cho phép bạn nhấn vào nút đóng màu đỏ tiêu chuẩn. Các phím tắt cũng không giúp ích được gì. Chúng vẫn ở trạng thái mở ngay cả khi đã spam tổ hợp phím Command + Q, Command + W cũng như nút Esc vô số lần.

Các ứng dụng đó không hoàn toàn khóa bạn khỏi máy tính như ransomware bởi có nhiều cách khác để đóng chúng ngay cả khi bạn không biết cách buộc thoát. Music Paradise Player có nút “X” trên màn hình ưu đãi, sau khi nhấn vào nút này, màn hình đăng ký sẽ biến mất và bạn có thể thoát ứng dụng một cách bình thường. FX Tool Box có 1 nút “Maybe Later” (Có lẽ để sau) nho nhỏ có thể làm điều tương tự. All To MP3 Convertor thì có một nút kiểu như "hãy để tôi truy cập ứng dụng để tôi đóng nó", nhưng bị giấu đi một cách rất tinh vi. Đó là một văn bản có nội dung “continue with the limited edition” (tiếp tục với phiên bản giới hạn), nằm giữa các đoạn text khác, không có bất kỳ dấu hiện rõ ràng nào cho thấy đó thực sự là một liên kết.

Nhưng việc một người dùng hiểu biết có thể đóng các ứng dụng này nếu cần không thể bào chữa cho sự tồn tại của chúng trên kho ứng dụng Mac App Store. Về lý thuyết, quy trình App Review nên dùng thử và từ chối chúng vì vi phạm nguyên tắc của Apple. Thật khó chịu khi thấy những ứng dụng này lọt qua lưới xét duyệt của Apple trong khi có rất nhiều nhà phát triển khác bị mắc kẹt vì các lý do có vẻ độc đoán (hoặc thậm chí chỉ vì làm theo ví dụ của Apple).

Nhưng rốt cuộc, Apple đã để lọt nhiều ứng dụng lừa đảo khác, phá vỡ các quy tắc của họ một cách dễ dàng. Trước đây, Eleftheriou đã phát hiện ra một ứng dụng iPhone sẽ không hoạt động trừ khi bạn đánh giá tốt về nó, cũng như các trò chơi dành cho trẻ em bị biến thành những ứng dụng cờ bạc khi được mở ở một quốc gia nhất định. Nhà Táo đã cập nhật các chính sách của mình nhằm cố gắng làm cho việc xây dựng những ứng dụng lừa đảo kém hấp dẫn hơn, nhưng cuối cùng, họ lại không thực sự thực thi các quy tắc đó.

Đồng thời, Apple cũng tiếp tục lập luận rằng các chủ sở hữu iPhone chỉ có thể cài đặt ứng dụng từ cửa hàng của họ, thế nên, công ty có thể kiểm tra kỹ lưỡng phần mềm. Gã khổng lồ công nghệ đến từ Cupertino phản đối luật buộc họ phải cho phép tải về hoặc cài đặt ứng dụng từ các nguồn khác, nói rằng việc mất đi tính độc quyền của App Store sẽ khiến người dùng phải chịu đủ loại lừa đảo và phần mềm độc hại. Theo kiểm tra của The Verge hồi năm ngoái, đội ngũ App Review chỉ có khoảng 500 người và có nhiệm vụ đảm bảo mọi ứng dụng trên kho ứng dụng đều tuân theo các quy tắc đã đưa ra.

Trong trường hợp các ứng dụng mà The Verge đã thử nghiệm, vấn đề trở nên tồi tệ hơn là không có cách rõ ràng nào để báo cáo chúng từ Mac App Store. Apple đã thêm nút “Report a Problem” (Báo cáo Sự cố) vào App Store trên iOS và cho biết rằng nó sẽ có trên Monterey. Thế nhưng, kể cả khi đã cập nhật lên mới nhất, các phóng viên tại The Verge vẫn không thể tìm thấy nút đó ở bất kỳ đâu. Dĩ nhiên, chúng ta có thể báo cáo ứng dụng thông qua trang web reportaproblem.apple.com, thế nhưng, thành thật mà nói, đó chẳng phải là điều mà hầu hết mọi người sẽ làm.