當(dāng)前，中國(guó)經(jīng)濟(jì)正在轉(zhuǎn)入高質(zhì)量發(fā)展階段，基于新一代信息技術(shù)飛速發(fā)展帶來(lái)的引領(lǐng)性基礎(chǔ)，以及創(chuàng)新驅(qū)動(dòng)、高質(zhì)量供給創(chuàng)造的新需求，為迎接數(shù)字時(shí)代奠定了基礎(chǔ)。作為數(shù)字經(jīng)濟(jì)下的重要產(chǎn)品，移動(dòng)應(yīng)用(以下簡(jiǎn)稱“App”)隨之呈現(xiàn)較快發(fā)展影響深遠(yuǎn)。就企業(yè)而言，App目前正在重塑許多企業(yè)的運(yùn)營(yíng)方式。數(shù)據(jù)顯示，到 2022 年，移動(dòng)應(yīng)用年下載量將達(dá)到 2580 億次。因此，企業(yè)需要繼續(xù)推動(dòng)移動(dòng)應(yīng)用創(chuàng)新和開發(fā)，以滿足不斷變化的客戶需求。

iOS4.3被拒是逃不過(guò)的“宿命”

“我們從沒(méi)提交過(guò)其他相似馬甲App，為什么4.3條認(rèn)為是垃圾App，蘋果客服一直推辭說(shuō)我們App和其他App相似，討論過(guò)后蘋果官方給出建議放棄App，即使提交也會(huì)再次被拒，態(tài)度很堅(jiān)決。”一個(gè)iOS開發(fā)者抱怨。

根據(jù)蘋果披露的一組數(shù)據(jù)顯示，2020年App審核團(tuán)隊(duì)協(xié)助超過(guò)18萬(wàn)名新開發(fā)者發(fā)布了App。其中近100萬(wàn)款有問(wèn)題的新App以及另外近100萬(wàn)款更新版本的App，由于一系列類似問(wèn)題被拒絕上架或從App Store下架，其中：

超過(guò) 48000 款 App 含有隱藏或未記錄的功能而被拒絕上架;

超過(guò) 15 萬(wàn)款 App 由于被查出有垃圾信息、抄襲或操縱用戶從而誘導(dǎo)他們付費(fèi)的情況，而被拒絕上架;

約 95000 款 App 由于通過(guò)調(diào)包手段在App通過(guò)審核后，改變其運(yùn)作方式進(jìn)行違規(guī)甚至犯罪行為、涉嫌欺詐而被從App Store下架;

超過(guò) 215000 款 App 的上架被拒，其原因是他們要求用戶提供的數(shù)據(jù)超出范圍或是對(duì)收集的數(shù)據(jù)處理不當(dāng)。

數(shù)據(jù)顯示，在2017 年至 2019 年期間，蘋果平均每年會(huì)收到 500 萬(wàn)款A(yù)pp提交。其中，33%-36%提交的App會(huì)被蘋果審查團(tuán)隊(duì)拒絕，平均每年有170 萬(wàn)款。2020年共有21.5萬(wàn)款A(yù)pp因違反隱私政策而被拒，占2020年應(yīng)用提交總數(shù)的40%。

尤其近期因?yàn)?.3條被拒問(wèn)題再次登上熱門。4.3條是App公布的AppStore審核4.3條規(guī)定。

簡(jiǎn)而言之，AppStore審核4.3條規(guī)定，功能重復(fù)、應(yīng)用程序重復(fù)的App，以及通過(guò)馬甲、分包上傳的App將會(huì)被拒絕通過(guò)。

助力iOS App 過(guò)審上架

頂象業(yè)務(wù)安全工程師發(fā)現(xiàn)，App中包含隱藏或未記錄的功能，含有垃圾信息、抄襲或者誘導(dǎo)用戶付費(fèi)，通過(guò)調(diào)包手段在App通過(guò)審核后，改變其運(yùn)作方式進(jìn)行違規(guī)甚至犯罪行為......這些都是蘋果審核App時(shí)關(guān)注的重點(diǎn)因素，是App Store審核的“紅線”。

例如在代碼問(wèn)題上，多次提交一個(gè)項(xiàng)目，代碼重復(fù)率在60%以上。甚至你的代碼被 Apple 做了標(biāo)記或者代碼層面和別的項(xiàng)目產(chǎn)生了關(guān)聯(lián)性，還有一些隱藏功能。在元數(shù)據(jù)問(wèn)題上，購(gòu)買的國(guó)內(nèi)(外)開發(fā)者賬號(hào)，發(fā)生了賬號(hào)被拒連坐，亦或者ITC后臺(tái)設(shè)置的元數(shù)據(jù)有較高相似度，如標(biāo)題、描述、關(guān)鍵詞、技術(shù)支持網(wǎng)址、隱私聲明等。

眾所周知，蘋果審查團(tuán)隊(duì)在審核提交的App時(shí)大抵分為三步：

第一步，預(yù)審核。掃描api及plist文件字符缺失等。此處分兩步，第一步為上傳時(shí)蘋果Application Loador應(yīng)用對(duì)于適配icon的檢查，第二步為上傳后蘋果的功能性檢查，例如配置了Push功能但有缺失或者未打開功能，則會(huì)郵件提示等等。

第二步，機(jī)審。掃描支付SDK及馬甲情況，機(jī)器掃描主要看代碼塊。

第三步，人工審核。主要檢測(cè)功能或者App體驗(yàn)測(cè)試，例如用測(cè)試賬號(hào)登錄App體驗(yàn)功能或其他是否有明顯bug等，包含ipv6檢測(cè)。

而AppStore審核因4.3條被拒幾乎存在兩種情況。一種是AppStore機(jī)審，主要是對(duì)代碼進(jìn)行機(jī)器審核，排查App是否重復(fù)應(yīng)用。從這個(gè)層面對(duì)iOS市場(chǎng)的App進(jìn)行排重，防止太多相似的App充斥iOS市場(chǎng)，影響整個(gè)iOS的應(yīng)用質(zhì)量。另一種是AppStore人工審核，主要是由蘋果審核人員對(duì)App的內(nèi)容、功能進(jìn)行核驗(yàn)，防止App有bug、防止App模仿其他應(yīng)用、內(nèi)容與其他App重復(fù)影響用戶體驗(yàn)，出現(xiàn)劣幣驅(qū)逐良幣的現(xiàn)象。

在App上架審核4.3條問(wèn)題的過(guò)程中，用戶與審核團(tuán)隊(duì)斗智斗勇，動(dòng)輒花費(fèi)幾個(gè)月甚至半年以上時(shí)間。對(duì)此，針對(duì)機(jī)器審核被拒和人工審核被拒對(duì)應(yīng)的解決方法就是：

針對(duì)機(jī)器審核，主要的方法是添加的代碼，且代碼的相似程度不高于45%，這樣才能穩(wěn)過(guò)機(jī)器審核而不會(huì)被拒。

針對(duì)人工審核，主要的方法是修改UI風(fēng)格，同時(shí)填充更多的頁(yè)面，以提升過(guò)審率。

頂象作為國(guó)內(nèi)領(lǐng)先的業(yè)務(wù)安全公司，其iOS應(yīng)用加固保護(hù)產(chǎn)品是頂象基于虛擬源碼保護(hù)技術(shù)，針對(duì)iOS平臺(tái)推出的下一代加固產(chǎn)品?？梢詫?duì)iOS App/動(dòng)態(tài)庫(kù)/靜態(tài)庫(kù)中的代碼進(jìn)行深度混淆、加固，并使用頂象獨(dú)創(chuàng)的虛擬機(jī)技術(shù)對(duì)代碼進(jìn)行加密保護(hù)，使用防止任何黑客工具都無(wú)法直接進(jìn)行逆向、破解。同時(shí)還具備完美的iOS環(huán)境兼容，支持9.0以上的Xcode開發(fā)環(huán)境，支持iOS9.0至最新版本系統(tǒng)。

在對(duì)iOS App加固后，原始代碼被混淆加固，提高機(jī)審?fù)ㄟ^(guò)率。從而提高App Store上架幾率，良好過(guò)審AppStore審核4.3條款A(yù)pp問(wèn)題。

為iOS App安全護(hù)航

當(dāng)前，iOS平臺(tái)上惡意應(yīng)用的增速已經(jīng)超過(guò)了Android平臺(tái)，iOS應(yīng)用程序同樣面臨著應(yīng)用程序遭逆向破解、內(nèi)購(gòu)破解、第二次打包簽名等安全問(wèn)題。而頂象iOS應(yīng)用加固保護(hù)，能夠有效阻止核心代碼竊取、程序邏輯破解、惡意代碼接入以及API借口暴露等重大安全問(wèn)題。

頂象iOS應(yīng)用加固主要擁有以下其功能：

代碼虛擬化：將原始化代碼編譯為動(dòng)態(tài)的DX-VM虛擬機(jī)指令，運(yùn)行在DX虛擬機(jī)之上，無(wú)法被反編譯回可讀的源代碼;

字符串加密：把代碼中定義的靜態(tài)常量字符串進(jìn)行加密，運(yùn)行時(shí)解密，防止攻擊者通過(guò)字符串進(jìn)行靜態(tài)分析，猜測(cè)代碼邏輯;

代碼混淆：將原始代碼的控制流進(jìn)行切分、打亂、隱藏、插入花指令、將代碼邏輯復(fù)雜化而不影響原始邏輯;

防反編譯：有效防止攻擊者使用逆向分析工具將二進(jìn)制代碼反編譯為偽代碼(Pseudo-Code),如IDA的F5功能;

防調(diào)試：為App提供運(yùn)行時(shí)防調(diào)試能力，防止攻擊者通過(guò)調(diào)試來(lái)動(dòng)態(tài)分析App的邏輯;

防篡改：防止應(yīng)用程序中的代碼及資源文件被惡意篡改，杜絕盜版或植入廣告等二次打包行為。

在部署方式上，頂象iOS應(yīng)用加固擁有本地化部署和SaaS部署兩種方式，能夠滿足不同用戶的安全需求。由于無(wú)需上傳源代碼，開發(fā)者無(wú)需擔(dān)心代碼泄漏問(wèn)題。靈活的一鍵加固功能，操作便捷，不影響正常開發(fā)及打包流程?？v然遇到在App上架審核的代碼問(wèn)題，也可以根據(jù)需要靈活調(diào)整保護(hù)配置，如代碼混淆強(qiáng)度、代碼混淆比例、虛機(jī)保護(hù)強(qiáng)度等，以良好滿足代碼審核要求。

關(guān)鍵詞： App 助力 上架