研究人员发现了一个方法，能向苹果App Store上传恶意软件，从而窃取用户数据、照片、攻击其它应用程序。

来自Georgia Tech的Tielei Wang和他的团队开发了一款应用，并将之命名为Jekyll，虽然早在3月份就进行了相关试验，不过直到不久前举办的Usenix大会，他们才展示了研究成果。

由于只是出于实验目的，所以这款应用仅上线了几分钟而且没有安装到除了研究人员以外的任何用户的手机上。Jekyll中包含一段代码，只有在安装之后才会变身成一款恶意软件。这段恶意代码被伪装成合法的应用程序操作，通过苹果认证后，与应用程序结合，变成恶意应用。

“这款应用在安装时会进行一个phone-home操作，要求返回命令，这给了我们执行那些在安装时并不存在的新逻辑行为的机会，”研究人员解释称。这也证明，在允许应用程序上传到App Store之前，苹果只是运行了几秒钟，至少某些应用是如此。

研究团队称，他们这样做只是为了让苹果认识到，其之前的审查机制大多只是对应用程序进行静态分析，而仅仅这样做是不够的，因为这样很难发现那些动态生成的逻辑。

苹果发言人表示，公司已经对应用程序的审查进行了一些改变，避免上述问题。