Authors: Yeonjoon Lee, Xueqiang Wang, Kwangwuk Lee, Xiaojing Liao, and XiaoFeng Wang, Indiana University; Tongxin Li, Peking University; Xianghang Mi, Indiana University

Link: https://www.usenix.org/conference/usenixsecurity19/presentation/lee

Contributor: Runhan Feng

众包(Crowdturfing)平台会发布各种不正当的任务,如创建虚假账号、发表虚假评论、散播谣言等。在移动端,Apple和Android应用市场一旦检测到众包App即将其下架。安卓平台因为碎片化生态系统的缘故,网络罪犯能够通过不正规的第三方store发布众包App。在Apple平台,因为中心化的App审查、安装政策,这一类App很难发布。但已经有一些众包程序通过在看起来无恶意的App中偷偷嵌入众包UI的方式渗透到iOS App Store。和传统的Web-based众包相比,这些App用来发布一些移动平台的任务,包括虚假的App评论、App排名操纵等。对于这些通过隐藏UI逃避审查的App及其背后的地下生态,目前还没有系统的研究。这篇文章中作者对iOS平台众包App进行的深入分析,主要贡献有:

  • Finding crowdturfing apps

作者提出Cruiser这一方法,对iOS App进行UI hierarchy和UI semantics分析,在28,625个App中识别了102个可疑App (可能包含hidden crowdturfing UI)。作者进一步人工确认其中93个确实包含众包UI。

  • Measurement and discoveries    

作者进一步对这93个App进行深入分析,以了解整个Crowdturfing生态。