儘管蘋果一直在警告側載應用程序的危險性，並堅持對上架App Store 的應用展開嚴格的審查。但由於TestFlight 和WebClips 這兩項功能的存在，越來越多的惡意軟件開發者正在積極利用這兩大“官方漏洞”。比如欺詐者可忽悠iPhone / iPad 用戶側帶有惡意軟件的應用程序，進而竊取加密貨幣、賬戶憑證等敏感信息，或開展其它不為人知的惡意活動。

截圖（來自：Sophos）

通過嚴格的審查，這家庫比蒂諾科技巨頭很好地保證了App Store 的軟件質量和用戶體驗。

TestFlight 有最多10000 台設備的安裝上限

但若某惡意應用可在未通過安全審查的情況下輕鬆潛入iPhone或iPad，後果就不堪設想了。

TestFlight 也是許多難以通過App Store 審核的應用的替代上線路徑

安全公司Sophos 在一篇帖子中指出，通過推送虛假的加密貨幣App，近期冒頭的CryptoRom 活動，正在將魔爪伸向毫無戒備的iOS 和Android 用戶。

BTCBOX 發出假冒網站警告，提醒用戶分辨真實域名。

長期以來，Android 系統一直有開放“側載”的選項。在提供極大自由度的同時，此舉也讓小白用戶面臨著相當大的惡意軟件風險。

假冒Robinhood 的李鬼App

Sophos 指出，CryptoRom 惡意軟件活動嚴重依賴於TestFlight 功能來傳播，該渠道允許iOS 用戶下載並安裝尚未通過App Store 審核的應用程序。

亂七八糟的李鬼域名

在道高一尺魔高一丈的網絡安全攻防戰中，詐騙者們絕對不會輕易放過各種漏洞。

真假難辨

除了偽裝加密貨幣交易所，他們還喪心病狂地通過TestFlight 測試通道來忽悠iOS 用戶去安裝惡意軟件。一旦在受害者的設備上被順利安裝，推送帶有惡意軟件的應用程序，也就輕而易舉了。

此外CryptoRom 的幕後黑手，還有更加可怕的第二種手段—— 利用蘋果提供的WebClips 功能。通過將網頁鏈接直接添加到iPhone 主屏，詐騙者可輕易將鏈接偽裝成來自合法服務或平台的普通App 。

Sophos 指出，目前CryptoRom 活動正在社交網絡、約會網站/ App 上大肆兜售，表明幕後組織者正在積極部署社工策略。作為預防措施，還請iPhone / iPad 用戶千萬不要在官方App Store 渠道之外獲取應用程序。