Technical Analysis – Improper Use of Private iOS APIs in Vietnamese Banking Apps
a year ago
- #iOS
- #Privacy
- #Banking
- BIDV与Agribank手机银行应用利用iOS私有API检测用户设备上安装的应用程序。
- 通过私有API SBSLaunchApplicationWithIdentifierAndLaunchOptions以错误码为侧信道验证应用是否存在。
- 这些应用采用弱异或加密混淆API名称和包标识符,增加检测难度。
- 该行为违反苹果App Store政策,可能导致应用下架并影响数百万用户。
- 此问题与采用合法检测技术的BShield和Verichains无关。
- 苹果指南禁止使用私有API以保护用户隐私和平台安全。
- 该漏洞符合苹果安全赏金计划5000美元漏洞奖励标准。