导语：苹果在 iPhone 上首次使用验证码技术来实施业务风控。

众所周知，App Store刷榜在国内是一个很猖獗的产业。

该产业从业者众多，靠研究破解App Store排名算法，给应用刷下载量、评论提高商店排名赚钱。

苹果一直着力打击App Store刷榜，比如频繁修改排名规则、封杀刷榜应用。但很可惜，除了给灰色产业技术做升级外，成效并不大。

最近，Canthink网络安全攻防实验室发现苹果为App Store又新增了一道防护：对可能有刷量行为的应用，开启验证码识别。

小编在观察App Store搜索热词时，无意中看到一款名为“云盘合集”的应用，是热门关键词“迅雷”搜索结果的第一名。这款应用为个人开发，界面简陋，但评论数过万，且95%以上都是五星好评，明显有刷好评的嫌疑。

试着下载，不是惯常地直接下载，而是弹出提示：“我们需要先进行一个简短的验证”。选择继续，进入一个验证页面，要识别并输入一串数字才能继续下载应用。

搜索下，大概在6月底就有国内网友反馈，下载应用时出现验证提示。

但由于苹果服务在国内经常连不上，点击“继续”没有任何反应，过一会提示“验证失败”或“请求超时”。

这是苹果在iPhone上首次使用验证码技术来实施业务风控。但坦白讲，用处可能并不大，而且可能会影响正常用户。

此前为遏制App Store疯狂的刷评论行为，苹果要求用户评论需重新输入Apple ID账号密码，导致国内应用评论沦为鸡肋功能——正常用户受限于网络环境和繁琐步骤，绝大多数不再评论，反而刷量的人专门配置网络和脚本后，不会太受影响。

再说到验证码，这方面苹果真应该向前辈们多学习。作为十年前的老技术，字符验证码早就难以抵御机器破解，业内最知名的验证码系统Google reCAPTCHA三年前推出新版，尝试通过行为来识别机器或人，不仅体验更好，而且可以更好的识别刷量行为。

希望苹果对刷量行为的识别能精准一些，否则要是误伤了谁，加上验证码服务一直连不上，那可就尴尬了。

安妮星网站安全漏洞扫描：http://annixing.canthink.com.cn

[课程]Linux pwn 探索篇！