當(dāng)前，中國經(jīng)濟正在轉(zhuǎn)入高質(zhì)量發(fā)展階段，基于新一代信息技術(shù)飛速發(fā)展帶來的引領(lǐng)性基礎(chǔ)，以及創(chuàng)新驅(qū)動、高質(zhì)量供給創(chuàng)造的新需求，為迎接數(shù)字時代奠定了基礎(chǔ)。作為數(shù)字經(jīng)濟下的重要產(chǎn)品，移動應(yīng)用（以下簡稱“App”）隨之呈現(xiàn)較快發(fā)展影響深遠。就企業(yè)而言，App目前正在重塑許多企業(yè)的運營方式。數(shù)據(jù)顯示，到 2022 年，移動應(yīng)用年下載量將達到 2580 億次。因此，企業(yè)需要繼續(xù)推動移動應(yīng)用創(chuàng)新和開發(fā)，以滿足不斷變化的客戶需求。

iOS4.3被拒是逃不過的“宿命”

“我們從沒提交過其他相似馬甲App，為什么4.3條認(rèn)為是垃圾App，蘋果客服一直推辭說我們App和其他App相似，討論過后蘋果官方給出建議放棄App，即使提交也會再次被拒，態(tài)度很堅決。”一個iOS開發(fā)者抱怨。

根據(jù)蘋果披露的一組數(shù)據(jù)顯示，2020年App審核團隊協(xié)助超過18萬名新開發(fā)者發(fā)布了App。其中近100萬款有問題的新App以及另外近100萬款更新版本的App，由于一系列類似問題被拒絕上架或從App Store下架，其中：

超過 48000 款 App 含有隱藏或未記錄的功能而被拒絕上架；

超過 15 萬款 App 由于被查出有垃圾信息、抄襲或操縱用戶從而誘導(dǎo)他們付費的情況，而被拒絕上架；

約 95000 款 App 由于通過調(diào)包手段在App通過審核后，改變其運作方式進行違規(guī)甚至犯罪行為、涉嫌欺詐而被從App Store下架；

超過 215000 款 App 的上架被拒，其原因是他們要求用戶提供的數(shù)據(jù)超出范圍或是對收集的數(shù)據(jù)處理不當(dāng)。

數(shù)據(jù)顯示，在2017 年至 2019 年期間，蘋果平均每年會收到 500 萬款A(yù)pp提交。其中，33%-36%提交的App會被蘋果審查團隊拒絕，平均每年有170 萬款。2020年共有21.5萬款A(yù)pp因違反隱私政策而被拒，占2020年應(yīng)用提交總數(shù)的40%。

尤其近期因為4.3條被拒問題再次登上熱門。4.3條是App公布的AppStore審核4.3條規(guī)定。

簡而言之，AppStore審核4.3條規(guī)定，功能重復(fù)、應(yīng)用程序重復(fù)的App，以及通過馬甲、分包上傳的App將會被拒絕通過。

助力iOS App 過審上架

頂象業(yè)務(wù)安全工程師發(fā)現(xiàn)，App中包含隱藏或未記錄的功能，含有垃圾信息、抄襲或者誘導(dǎo)用戶付費，通過調(diào)包手段在App通過審核后，改變其運作方式進行違規(guī)甚至犯罪行為......這些都是蘋果審核App時關(guān)注的重點因素，是App Store審核的“紅線”。

例如在代碼問題上，多次提交一個項目，代碼重復(fù)率在60%以上。甚至你的代碼被 Apple 做了標(biāo)記或者代碼層面和別的項目產(chǎn)生了關(guān)聯(lián)性，還有一些隱藏功能。在元數(shù)據(jù)問題上，購買的國內(nèi)(外)開發(fā)者賬號，發(fā)生了賬號被拒連坐，亦或者ITC后臺設(shè)置的元數(shù)據(jù)有較高相似度，如標(biāo)題、描述、關(guān)鍵詞、技術(shù)支持網(wǎng)址、隱私聲明等。

眾所周知，蘋果審查團隊在審核提交的App時大抵分為三步：

第一步，預(yù)審核。掃描api及plist文件字符缺失等。此處分兩步，第一步為上傳時蘋果Application Loador應(yīng)用對于適配icon的檢查，第二步為上傳后蘋果的功能性檢查，例如配置了Push功能但有缺失或者未打開功能，則會郵件提示等等。

第二步，機審。掃描支付SDK及馬甲情況，機器掃描主要看代碼塊。

第三步，人工審核。主要檢測功能或者App體驗測試，例如用測試賬號登錄App體驗功能或其他是否有明顯bug等，包含ipv6檢測。

而AppStore審核因4.3條被拒幾乎存在兩種情況。一種是AppStore機審，主要是對代碼進行機器審核，排查App是否重復(fù)應(yīng)用。從這個層面對iOS市場的App進行排重，防止太多相似的App充斥iOS市場，影響整個iOS的應(yīng)用質(zhì)量。另一種是AppStore人工審核，主要是由蘋果審核人員對App的內(nèi)容、功能進行核驗，防止App有bug、防止App模仿其他應(yīng)用、內(nèi)容與其他App重復(fù)影響用戶體驗，出現(xiàn)劣幣驅(qū)逐良幣的現(xiàn)象。

在App上架審核4.3條問題的過程中，用戶與審核團隊斗智斗勇，動輒花費幾個月甚至半年以上時間。對此，針對機器審核被拒和人工審核被拒對應(yīng)的解決方法就是：

針對機器審核，主要的方法是添加的代碼，且代碼的相似程度不高于45%，這樣才能穩(wěn)過機器審核而不會被拒。

針對人工審核，主要的方法是修改UI風(fēng)格，同時填充更多的頁面，以提升過審率。

頂象作為國內(nèi)領(lǐng)先的業(yè)務(wù)安全公司，其iOS應(yīng)用加固保護產(chǎn)品是頂象基于虛擬源碼保護技術(shù)，針對iOS平臺推出的下一代加固產(chǎn)品。可以對iOS App/動態(tài)庫/靜態(tài)庫中的代碼進行深度混淆、加固，并使用頂象獨創(chuàng)的虛擬機技術(shù)對代碼進行加密保護，使用防止任何黑客工具都無法直接進行逆向、破解。同時還具備完美的iOS環(huán)境兼容，支持9.0以上的Xcode開發(fā)環(huán)境，支持iOS9.0至最新版本系統(tǒng)。

在對iOS App加固后，原始代碼被混淆加固，提高機審?fù)ㄟ^率。從而提高App Store上架幾率，良好過審AppStore審核4.3條款A(yù)pp問題。

為iOS App安全護航

當(dāng)前，iOS平臺上惡意應(yīng)用的增速已經(jīng)超過了Android平臺，iOS應(yīng)用程序同樣面臨著應(yīng)用程序遭逆向破解、內(nèi)購破解、第二次打包簽名等安全問題。而頂象iOS應(yīng)用加固保護，能夠有效阻止核心代碼竊取、程序邏輯破解、惡意代碼接入以及API借口暴露等重大安全問題。

頂象iOS應(yīng)用加固主要擁有以下其功能：

代碼虛擬化：將原始化代碼編譯為動態(tài)的DX-VM虛擬機指令，運行在DX虛擬機之上，無法被反編譯回可讀的源代碼；

字符串加密：把代碼中定義的靜態(tài)常量字符串進行加密，運行時解密，防止攻擊者通過字符串進行靜態(tài)分析，猜測代碼邏輯；

代碼混淆：將原始代碼的控制流進行切分、打亂、隱藏、插入花指令、將代碼邏輯復(fù)雜化而不影響原始邏輯；

防反編譯：有效防止攻擊者使用逆向分析工具將二進制代碼反編譯為偽代碼（Pseudo-Code）,如IDA的F5功能；

防調(diào)試：為App提供運行時防調(diào)試能力，防止攻擊者通過調(diào)試來動態(tài)分析App的邏輯；

防篡改：防止應(yīng)用程序中的代碼及資源文件被惡意篡改，杜絕盜版或植入廣告等二次打包行為。

在部署方式上，頂象iOS應(yīng)用加固擁有本地化部署和SaaS部署兩種方式，能夠滿足不同用戶的安全需求。由于無需上傳源代碼，開發(fā)者無需擔(dān)心代碼泄漏問題。靈活的一鍵加固功能，操作便捷，不影響正常開發(fā)及打包流程?？v然遇到在App上架審核的代碼問題，也可以根據(jù)需要靈活調(diào)整保護配置，如代碼混淆強度、代碼混淆比例、虛機保護強度等，以良好滿足代碼審核要求。

編輯：fqj