ios-app被拒绝了，怎么办

Posted 2023-03-29

2、绕过苹果的付费渠道，我们之前游戏里的用兑换码兑换金币。
3、游戏里有实物奖励的话，一定要说清楚，奖励由本公司负责，和苹果没有关系。
4、用到苹果的标志。（应用的设计和Apple的Logo风格太像了也会被拒）
5、网络功能不能正常访问。
6、图标不能点击，不能点击的图标要置灰，或者直接隐藏。
7、没有设置default页，启动画面为黑屏，有一定概率被拒绝。
8、一个应用在线，但你想在发一个豪华版之类的，再开一个应用也会被拒绝。
9、用了著名游戏的关键字，比如说“愤怒的小鸟”之类的。
10、iPhone版不支持480*320分辨率被决绝。
11、娱乐分类App，拒绝理由：我们认为你的App不具有娱乐性。
12、你的软件不符合中国法律，还打电话来跟我说。（奶奶的，中国哪个法律说不可以FQ。）
13、技术支持地址写的微博地址，于是被拒绝了。原因是：不能将需要登陆才能访问的网址作为技术支持地址。
14、说我们的应用不该用App开发，应该用html5。（而且还很热心的给出了参考链接哦）
15、调用截屏功能,当时没注意,是私有API,被拒.改成非私有API实现截屏功能就通过了.
16、开放了文件document分享功能(Application supports iTunes file sharing),被退回,理由:不需要分享,为何开放了.回复邮件说明理由后上线.
17、年龄设置太低,说是有成人内容,被拒.修改内容后上线.
18、同一软件多个版本只是针对不同的国家和内置的语言不同.前面几个上线,后面几个被拒.让改成一个程序做程序内下载资源.
19、程序有crash被拒.修改bug后上线.
20、原因是我们的一个软件只允许联通用户验证真实身份并发布信息。apple要求要么放弃验证，要么允许移动和电信用户验证。

21、APP中出现了某本以乔布斯为封面的本集团出版物图片，遭拒。回复曰：Thank you for submitting your app commemorating Steve Jobs.

We appreciate your efforts honoring Steve. However, we’ve decided to honor his life in other ways and we are not accepting these types of apps.
22、原来做过一个显示假电池的App, 就是显示一个假的的电量, 这样别人找你借手机就可以以没电了为理由不借给他. 结果App Store说会迷惑用户, 让我改简介. 改为简介后苹果中国给我打电话说这个App不用再提交了, 不可能过, 会迷惑用户… 我了个去的 于是这个App就一直存在在我的iTunes Connect里.
23、忘记提供测试账号。（如果你的APP有登录功能）
24、软件有个vip功能，涉嫌应用内收费。
25、拨打电话，涉嫌扣费。
26、图片如果比较清凉的话需要设置软件级别。
27、平板应用要支持最少2个翻转方向。
28、程序内按钮设计成标准的ios icon。
29、内置付费的内容要明确告诉需要购买，购买前不能摆出来（这个属于运气不好，同样这么做的app很多）

30、提交旗下一款新应用，为统一旗下各个产品的品牌识别，采取了与上一款产品相似的色调和logo结构。苹果拒绝理由是不知道这两款产品有什么区别（其实区别点进去就很明显，连UI布局都大相径庭）。
31、应用内涉及到抽奖的运营活动，未声明与苹果官方无关。
33、自认为第一版产品还不够完善，于是过度谦虚地在启动画面加上了“beta”字样。苹果的反馈是，不允许测试版产品上架。囧，后来翻了一下 Review Guideline 似乎是有提到这点的。
34、链接堆砌，苹果建议用HTML5来做
35、UIWebView 嵌页面片，苹果建议让用户通过浏览器访问，比如爱知乎，开始几个版本通过了，后面的更新一直没提交上去
屏幕坏点检测应用，苹果说会误导用户，未上架
36、登陆账号有两个字母写反了，改正后通过
37、因远程服务器反应慢，苹果的人估计没耐心等，就说有bug给拒了，重新提交一份通过
38、应用标题加了几个描述语句，苹果让在描述中写明达到此目的的操作流程，改正后通过
39、一个第三方的应用，描述文字中有该网站的链接，进去网站后能找到付费链接，苹果说该网站有自己的支付方式，去除网址后通过
40、应用请求使用地理位置的权限，但相关功能藏得比较深，Apple说没找到相关的功能。 — 回信说明后通过

41、应用描述中提到了是全平台应用，可以和其他系统同步数据。因为提到了“android”的字眼被拒。 — 修改描述后通过
42、 App 的User Agreement中出现了 Beta、Preliminary 等字样。因为是发布第一个版本，产品带有一定的beta性质，但是确实是可发布产品了。按照公司LEGAL部门（外企，对User Agreement要求严格）的要求，必须有类似Beta的说明告知用户，而 Apple 是明确不允许有 Beta 性质的字样的。
43、App 是一个机遇小区的社区工具，顺便做了房产广告，但是 apple 审核说是广告app，不允许发布。
44、应用里有个去给我们打分的功能，被拒了。。（这是不是史上最坑爹的拒绝理由）
45、网络工具软件，要求支持国外的电信运营商网络。
46、曾经做一个 Chinajoy 美女图片 show 的，被认为不适合放在 App Store。
47、iOS 5 的数据存储问题…网络下载的资源不能直接搞在Documents目录下。这个反复整了5次左右才通过审核。
48、忘记提供测试账号……（审核的大爷们你们就不能自己弄个或者注册个账号么）
49、还有一次被拒，我回复说你们所说的问题不存在……后来……通过审核了。-.-
50、菜单中有一个文字包含测试，被打回，说不能上测试版本。

51、app名字包含pad，被打回，说容易名字不能有pad，会被误解为苹果自己的应用，不过同名的iphone版本就通过了…
52、upport地址在safari（仅仅是safari）下由于适配性问题打不开，结果就收到了apple的来信。
53、app里做了次抽奖，奖品是iphone4s，结果他们必须要我们将奖品改成别的，同时申明此活动与苹果公司无关，才可以上架。。。
54、app里做了次抽奖，奖品是iphone4s，结果他们必须要我们将奖品改成别的，同时申明此活动与苹果公司无关，才可以上架。。。
55、在程序的说明信息中有“越狱”俩字，被拒，后来把这俩字去了，PASS。但是：如果我在程序运行中检测出手机越狱了，这结果报出来让不让过？
56、使用GPS常驻后台服务，要我给出一个合适的理由，否则不往下审核，还好，解释一翻过去了。
57、出现“给我们五星好评”之类的文字。
58、应用内提到付费项目但木有通过苹果付费渠道（妄图不让苹果老大赚钱）
59、问我服务是不是只在IOS平台，还是同时支持多平台（我当然拥护苹果老大的领导，木有其他平台，iPhone专属）
60、地图应用，Google大神的LOGO没有显示。

61、google地图下面logo被一个UIView给遮挡了被拒。调整位置后ok
62、对不存在普遍比较标准的几类人进行比较和评判。不比人比动物后ok
63、上传通讯录没有通知。这个等了几个月，苹果的法律纠纷差不多了之后拒掉。然后加了提示后ok。
64、我写的英文App介绍审核人员看不懂，被拒。后然直接用中文。唉。
65、因为上行短信实现用户认证被拒
66、果测试人员的手机号在国外，因为收不到国内短信，被拒
67、他们打开我的一个APP测试，显示空白无内容，哈哈，因为他们相册里没有960*640的图，就说我该程序功能没开发完毕吧？
然后我回了信，然后第二天就上架了。虽然这个小应用是极其简单的。
68、最蛋疼的是，提供了测试用户帐号密码，被我们某个手贱的测试人员测试修改密码的时候给改掉了。。。于是苹果登录不进来，于是杯具
69、IAP价格不能超过99美金（其中有一个是99.99美元，你妹啊！！！！！！！你麻痹多出0.99美金啊！！人家游戏都可以有啊！！！！为什么我们就不行啊！！！）
70、不能强迫用户注册（网络游戏啊亲！！你妹有直接登陆的按钮啊！！！不需要注册的啊！！试一下会shi啊！！！！）

71、support URL无法访问（草草草草草！！！那几天GFW抽风，海外访问国内网站有问题，你妹躲在香港的体谅一下大陆人民啊！！！）
72、没有生成Paid iOS合同（游戏内含IAP，好吧，这个是合作公司搞的乌龙，就不吐槽苹果了）
73、某微博客户端，提供了测试账号，被拒的理由是「账号登录不进去」，还有截屏，我一看，这不把我们提供的测试账号的最后两个字母写反了么…赶紧反馈，之后三天才继续审核，这三天真是太赔了。
74、某门户新闻客户端，免费应用，被拒的理由是「找不到in app purchase的项目对应的界面」，可是我们的应用跟本没有应用内支付，继续反馈…又等了三天…

2012/8/21补充
75、iPhone Human Interface Guidelines中指出了基本UI控件应该如何正确地使用。我们应该按照它的要求来检查Tab Bar、Navigation Bar和Alert View等控件是否符合Apple的口味。
76、确保应用不要模仿设备预装应用的样式和功能，如Music、iTunes Music Store和App Store等。这一条规则似乎是选择性实施的，因为许多浏览器和指南针类的应用都得到了批准。
77、不要加入过多脏话、无理由的性-爱场面和吸毒场面。
78、不要对硬件按钮进行重新编程，赋予其它功能。例如，不要将音量按钮作为照相应用的快门键，不要将home键作为游戏中的开火键。 参考技术A 1.不要用URL Scheme 做除了跳转之外的其他用途。2.苹果现在不允许程序自己有检查更新的选项，如果程序有更新，AppStore会帮推送更新。 参考技术B 海市蜃楼稳 你 本来无一物，
覆雨翻云俸 要 不知天下士，
纵横天下凹 的 黄河入海流。
劫后余生膛 手 三皇五帝
眉飞色舞诽 机 相送巴陵口，
暗度陈仓市 打 （愚公移山）
求全责备锌 开 （红颜知己）
耳提面命鞍 5 （明转出天然。）
肆无忌惮磺 2 能说会道
贻笑大方糖 f （归卧故山秋。）
雨过天晴浇 k 讼息但长啸。
移花接木溉 . （时鸣春涧中。）
水漫金山绷 c （暴殄天物）
天涯海角磕 c 赞公汤休徒，（须尽丘壑美。）

iOS-APP如何做才安全

iOS应用的安全性 常常被大家忽视。

iOS 如何做才安全:

1、首先，我们可以通过iTunes 下载 AppStore的ipa文件(苹果 把开发者上传的ipa包 进行了加壳再放到AppStore中)，所以我们从AppStore下载的ipa都是加壳的，所以不能直接用来反编译。

得到ipa文件 可以分析APP 里包含的一些资源，如：图片、plist文件、静态wap页、.bundle 等。

所以不要 在plist文件、项目中的静态文件中 存储关键的信息，如果要保存，记得 对称加密（这样可以增加破解的难度）。

如果是越狱的手机，从 手机上的PP助手下载的ipa包 都是 脱壳之后的，可以直接用来反编译。

 

2、我们可以用软件 查看 APP的沙盒，查看里面存储的 文件:sqlite、plist（NSUserdefault会存到Library下的Preferences中 的 plist文件中）、图片等，NSUserdefault 中不要保存关键信息，如果要保存，还是加密吧。。sqlite也是这样子的。

iOS 8.3之前 不越狱的手机也可以 直接用MAC上的PP助手、iTool 来查看 任何APP的沙盒（系统APP除外）。iOS 8.3之后就不行了。

越狱手机 都可以查看任意APP的沙盒，包括系统APP的沙盒。还有iOS的系统目录等。

 

3、越狱手机 直接用PP助手下载的就是 脱壳的ipa，所以不用再脱了。对AppStore下载的ipa包 可以用工具对加壳的ipa 进行脱壳，再用IDA、Hopper 进行反编译，进行分析 ，可以得到 近乎易懂的 伪代码。但是反编译后的代码 要 一个方法一个方法的去分析，类似面向过程编程。。当然也有工具 去提取 项目中的所有.h文件。不过 反编译 终归是个 耐心的活，急躁的人容易砸电脑。

 

4、所有的APP都是可以反编译的，所以 很关键的数据 最好通过接口获取。

那么接口如何保证安全呢。首先用HTTPS，虽然HTTPS已经很安全了，但是数据也是有可能被破解的，这个后面会介绍。。所以 接口一定要自己加密。

非对称加密(RSA)现在 还是没有办法破解的，但是因为 非对称加密的效率低，所以很少有企业将所有的接口都用非对称加密。

接口如果用对称加密，密钥 放到代码里 是能被反编译出来的。如果你的 APP的安全性很高，就不要把密钥 写到代码里。

可以这样处理：

先通过非对称加密的接口 获取密钥，然后 再在 后面的 接口通信中 用这个密钥进行加密。这样做 就类似 HTTPS 的简化版实现了。安全性很高。目前应该 是不能破解的。

 

5、根据APP的安全性，也可以把 关键数据 写在代码里，可以保存的是加密后的数据。比如，我给一个变量赋值：U2FsdGVkX1+rN+sgpLmOYTqoVhRRerZj9oobZAIPzjo=，你不知道 我这个字符串解密后是 123456，我只是使用的时候才解密处理用。

这样也只是 增加了 黑客获取 关键数据的难度。

 

6、密钥要定期更换。比如 3个月 或半年换一次，如果密钥是从接口通过非对称加密 获取的，直接修改服务端就可以了。
如果密钥是写在代码里的。就等APP升级新的版本的时候，新版本的APP和其对应的接口版本 都 修改为新的密钥 就可以了。

旧的接口版本和APP版本还用以前的密钥，等强制更新的时候才会失效。

如果一个APP 一个密钥用上几年都不变 ，是很危险的。离职的人员都可以直接用以前 的代码 来获取相关的数据。特别是 支付相关的，有的服务端甚至没有 去校验支付的金额或其他数据，导致 离职人员用1分钱 可以买到 任何价格的 线上产品（服务端这种在线上环境留后门的安全性问题，我是真的遇到有人这么搞）。。

 

7、最好能 进行 代码混淆，能增加反编译的难度，当然只是增加了难度，还是能破解的。但是 代码混淆 的 性价比是很高的，就是你这边付出了 一点时间，而黑客 就要多付出几十倍 的时间。。其实 接口 自己加密 的性价比也很高。

 

8、接口返回的数据 最好也进行 加密。比如，现在大家都连我的热点，或者代理服务器，我是有可能 直接 获取你的APP的 HTTPS 解密后的json数据（如何获取相见《逆向工程》）。当然，如果你觉得 你的APP返回的json数据都是 不重要的，也可以不对数据进行加密。

像微信、QQ、支付宝这种 安全性高的，通信两边的数据 收发  都 应该 进行加密的。

 

9、像HTTPS本身 是否有漏洞这种我们就不去说了。就 去年iOS的AFNetworking 漏洞事件，完全是 代码的问题。虽然不是HTTPS的安全机制的问题。但是 黑客还是能很容易拿到HTTPS解密后的数据。

去年iOS的AFNetworking曝SSL漏洞  就涉及2.5万个APP。 有的银行的APP，只用了HTTPS，通信都不加密，就很容易拿到明文数据了。有的APP里的各种数据都 采用复杂的加密算法，破解人员看到都烦，去破解这个APP的时间还不如去搞其他的几个APP。

HTTPS 本身是安全的。但是数据还是可能被破解。所以 不要觉得 我只用HTTPS 就安全了。理论上 说任何 的 协议、代码都是可能有漏洞的，只是有的现在 还没被发现或破解，并不代表一直不能被破解。。

 

10、黑客不会 去一个手机一个手机的 把沙盒数据 拿出来 来看每个用户的数据(黑客也不可能拿到你的手机)。但是如果黑客捡到 你的手机 ，都不用登陆微信  就可以 通过微信APP的沙盒 拿到你和小三的偷情聊天记录、能拿到你的银行卡号，你的手机号(很多APP都把手机号、银行卡号、聊天记录 明文保存在沙盒里)。。你是不是会觉得微信 怎么这么low。我们只是拿微信举个例子，微信还不会这么low。

 

11、黑客 最主要的还是通过网络来获取 他们想要的数据（网络的安全级别是最高的）。如果恰好 你的APP 加密密钥 明文 保存到了沙盒里 或者 你的 数据通信 还没有进行加密，恭喜你，你的数据和裸奔没啥区别。。

有人说：“我就做了个聊天的APP，没啥机密信息。再说 大家连的都是 公司的wifi、4G网络，不会有问题的，所以我的通信才不加密，麻烦。”

举个搞笑的栗子：

你现在在飞机场，连着免费wifi，正在和副总裁在微信里 谈着 价值100个亿的创意的时候，聊天记录已经被 黑客 抓包获取 ，然后卖给竞争对手了。。（只是举个例子，微信的加密是相当安全的，微信很多的通讯还是用的HTTP，但是就算你拿到他们数据，也是无法解密的。这里举例用微信，只是为了方便大家理解。免费wifi确实有可能是黑客设的坑，新闻上经常报道）。

所以不要让自己的数据裸奔。。。

 

12、代码方面：

.1、在release环境下 NSLog 不要打印日志 否则iOS系统日志里都可以查看到，在.pch文件中加下面的几行代码就可以解决。很早大家都这么做了。

#ifdef DEBUG
#define NSLog(...) NSLog(__VA_ARGS__)
#define debugMethod() NSLog(@"%s", __func__)
#else
#define NSLog(...)
#define debugMethod()
#endif

 

现在很多APP的部分页面开始使用 Swift，在Swift 文件中是允许用 NSLog 的语法来打印，但是 不要这么做，因为 这样 就会导致这段代码在 release环境 中也可以正常输出。通过 PP助手、iTools，可以直接 查看 iOS的系统日志。也可以直接 通过Xcode-Window-Devices - 点最下面的向上的小箭头，来看日志。

所以Swift中打印 还是用 print吧。

.2、AFNetworking 的 allowInvalidCertificates 属性 要设置成 false，validatesDomainName属性 设置成true。否则 HTTPS通信就可以被解密。这块涉及到AFnetworking 去年的通信漏洞 就不详述了。

但是一般开发的 测试环境 的HTTPS 不是CA颁发的，而是自签名证书，访问的也不是域名，而是IP。所以可以在测试环境 忽略证书和域名，代码如下：

 

#ifdef DEBUG
        manager.securityPolicy.allowInvalidCertificates = YES;
        manager.securityPolicy.validatesDomainName = NO;
#endif

 

答疑：

像上文中提到的 接口模拟HTTPS 进行通信，基本上是破解不了的。非对称加密毕竟还是 很安全的。

 

黑客也是有时间成本的，有性价比的。文中多次 写到，可以增加破解的难度，不是这样做了 就一定 不会被破解。

  

有人会觉得 在 代码中 加密了 反正也 能被破解，那还加啥密，反正没啥卵用。（比如 关键数据 加密 后 存到代码里）

打个比方：我装个防盗门 反正也防不住贼，干脆 就别装门了，反正也没啥卵用。

 

再比如：有几个房间放着同样价值的东西（账户数据、聊天数据等）。但这几个房间，有的是全封闭防炸弹的，有的就只是一个木门，有的甚至门都是开着的，你会选择哪个。。
这就像为什么现在 iOS 系统的越狱速度越来越慢，不是说越狱人员的水平变低了，而是现在越狱的用户越来越少，像盘古这种公司通过越狱获得的盈利也越来越少了，自然投入的精力就会变少。

 

 关键数据 加密 后 存到代码里 这样总比 你直接把 明文保存 到代码中，更难破解，我们要做的是让黑客知道，你要来惹我，你就必须付出更多的时间和精力