Apple nổi tiếng với quy trình kiểm duyệt ứng dụng gắt gao trên App Store, được cho là khó hơn nhiều so với Play Store của Google. Tuy nhiên, điều này không ngăn được một số nhà phát triển không minh bạch tìm cách lách luật.
9to5mac, trang công nghệ nổi tiếng, đã đi sâu vào phân tích vấn đề này sau khi phát hiện ứng dụng "Collect Cards: Store box" tồn tại trên App Store hơn một năm. Ứng dụng này có phần mô tả đơn giản, cho thấy nó là phần mềm quản lý ảnh và video. Tuy nhiên, khi tải xuống, nó biến thành nền tảng phát trực tuyến lậu, cung cấp nội dung từ Netflix, Disney+, Amazon Prime Video, HBO Max và cả Apple TV+. Điều này chỉ được phát hiện khi ứng dụng lọt top 2 ứng dụng miễn phí được tải xuống nhiều nhất trên App Store tại Brazil.
Ban đầu, nhà phát triển bị nghi ngờ sử dụng công nghệ Geofencing - công nghệ dựa trên vị trí địa lý - để ngăn Apple nhìn thấy khả năng thực sự của ứng dụng, từ đó qua mặt kiểm duyệt. Tuy nhiên, sự việc phức tạp hơn nhiều.
Khi phân tích mã nguồn của "Collect Cards: Store box" và một số ứng dụng tương tự, các chuyên gia của 9to5mac nhận thấy chúng được xây dựng trên React Native, một hệ thống đa nền tảng dựa trên JavaScript, và sử dụng SDK CodePush của Microsoft. CodePush cho phép nhà phát triển cập nhật từng phần của ứng dụng mà không cần gửi bản dựng mới lên App Store. Việc sử dụng React Native và CodePush không vi phạm quy tắc của App Store, nhưng đã bị lợi dụng để qua mặt quy trình kiểm duyệt.
Nhà phát triển đã sử dụng các tệp chuyên cung cấp cho phần mềm phát trực tuyến lậu, thường được chia sẻ công khai trên các nền tảng như Github. Một API cụ thể được dùng để kiểm tra vị trí của thiết bị dựa trên địa chỉ IP và trả về dữ liệu như quốc gia, khu vực, thành phố, thậm chí cả kinh độ và vĩ độ ước tính.
Khi ứng dụng được mở lần đầu, nó sẽ đợi vài giây để gọi API định vị địa lý. Điều này giúp quy trình đánh giá tự động của App Store không thấy bất kỳ điều gì bất thường trong mã của ứng dụng. Dựa trên vị trí địa lý, ứng dụng sẽ không tiết lộ giao diện ẩn của nó. Sau khi Apple chấp thuận ứng dụng với các chức năng cơ bản, nhà phát triển sử dụng CodePush để cập nhật bất kỳ thứ gì họ muốn. Cuối cùng, ứng dụng sẽ chạy tính năng thực sự của nó ở những vị trí "an toàn".
Sau khi bài viết của 9to5mac được công bố, Apple đã xóa các ứng dụng liên quan nhưng từ chối bình luận về vụ việc.
Theo tài liệu tòa án công bố năm 2021, nhóm kiểm duyệt App Store hiện có hơn 500 chuyên gia, phụ trách đánh giá hơn 100.000 ứng dụng mỗi tuần. Apple cũng áp dụng hệ thống đánh giá tự động trước khi chuyển sang quy trình đánh giá thủ công.