Masz iPhone'a? Lepiej, żeby cię na to nie nabrali

9 mies. temu 45

W sklepie App Store przez blisko trzy tygodnie na użytkowników czyhał fałszywy menedżer haseł, będący niemal idealną kopią popularnej aplikacji LastPass. Apple w ogóle nie zauważyło jego obecności.

W powszechnym przekonaniu iOS to bezpieczny system, w przeciwieństwie do Androida, a w App Store dostępne są tylko sprawdzone i wiarygodne aplikacje. Nie do końca tak jest, a filtry Apple nierzadko zawodzą. Tak stało się i tym razem, a konsekwencje mogły być bardzo poważne.

Zobacz: Apple pozwoliło instalować aplikacje spoza App Store. Gdzie jest haczyk?

Fałszywy menedżer haseł w App Store

W AppStore przez blisko trzy tygodnie dostępny był fałszywy menedżer haseł o nazwie LassPass dewelopera Parvati Patel. Aplikacja była wierną kopią popularnego menedżera LastPass. Wprowadzała w błąd nie tylko bardzo podobną nazwą, ale także jej interfejs do złudzenia przypominał oryginał, a użyte słowo kluczowe „LastPass” sprawiało, że pojawiała się w wynikach wyszukiwania prawdziwego menedżera. Wszystko po to, by wykraść główne hasło do oryginalnej aplikacji. 

Taki atak jest szczególnie groźny. W menedżerach haseł użytkownicy przechowują dane dostępowe do setek serwisów on-line, więc włamanie się do LastPass otworzyłoby przed przestępcą prawdziwy skarbiec. Ogrom zagrożeń łatwo sobie wyobrazić, jednak mimo tego Apple, szczycące się staranną kontrolą aplikacji dopuszczanych do AppStore, całkowicie zawiodło. Fałszywka LassPass pojawiła się w sklepie z aplikacjami 21 stycznia i została usunięta dopiero 8 lutego. Prawdopodobnie byłaby dostępna dłużej, gdyby nie twórcy oryginalnego menedżera LastPass, którzy 7 lutego sami ostrzegli użytkowników o podróbce i zaalarmowali Apple. Dzień później fałszywka została usunięta z App Store.

Na szczęście dla potencjalnych ofiar przestępca stojący za podrobionym menedżerem LassPass nie ustrzegł się błędów, w tym ortograficznych, a użytkownicy, którzy pobrali aplikację, zamieścili negatywne recenzje z ostrzeżeniem, że to oszustwo. Nie wiadomo jednak, ile osób ostatecznie pobrało fałszywkę i czy przestępcy udało się zdobyć hasła.

Zobacz: LastPass nie jest już bezpieczny. Przestępcy mają dane użytkowników
Zobacz: Atak na LastPass trwał 4 dni, ale Twoje hasła są bezpieczne

Czytaj więcej
Radio Game On-line