Questa app truffa ruba le password di iPhone
Sull'AppStore degli iPhone è stata individuata un'app che rubava le password degli utenti spacciandosi per l'app ufficiale di Last Pass
I sistemi di sicurezza dell’AppStore di Apple sono tutt’altro che infallibili e può capitare che qualche app venga pubblicata riuscendo ad aggirare i controlli. L’ultimo caso è potenzialmente molto pericoloso: un’app pubblicata da uno sviluppatore terzo (Parvati Patel, un nome falso che richiama un personaggio secondario della serie di Harry Potter) è riuscita ad arrivare sull’AppStore degli iPhone spacciandosi per l’app ufficiale di LastPass, un noto password manager multi-piattaforma che gli utenti possono sfruttare per sincronizzare le password e le credenziali di pagamento tra i propri dispositivi, in sicurezza.
L’app fake si spacciava per un password manager
L’app in questione, disponibile per iPhone e iPad, replicava le grafiche e i colori dell’app ufficiale di LastPass, andando anche a proporre un nome simile (LassPass Password Manager). La pubblicazione dell’applicazione sull’AppStore è avvenuta lo scorso 21 gennaio e l’app è stata scaricabile per un paio di settimane, prima di essere rimossa su segnalazione di LogMeIn, l’azienda proprietaria di LastPass, e non per merito dei controlli dell’App Store. Al momento, Apple non ha commentato la questione.
Christofer Hoff, Chief Secure Technology Officer per LastPass, ha, invece, dichiarato a TechCrunch: “dopo aver visto la falsa app ‘LassPass’ nell’App Store di Apple, LastPass ha immediatamente avviato un approccio coordinato e articolato tra i nostri team di intelligence sulle minacce, legale e tecnico per rimuovere l’app fraudolenta“.
Si tratta di una questione particolarmente attuale: Apple, infatti, sta rispondendo in modo molto contestato al Digital Markets Act (DMA) utilizzando, tra i temi per difendere la chiusura del suo ecosistema agli store di terze parti, proprio la maggiore sicurezza garantita agli utenti. I sistemi di revisione delle nuove app possono sbagliare e l’app fake di LastPass rappresenta un caso esemplificativo oltre che pericolosissimo per gli utenti.
Come LassPass ha truffato gli utenti
Nel corso delle circa due settimane di permanenza sull’App Store, l’applicazione fake di LastPass non sarebbe riuscita ad attirare molti utenti, come evidenziato dai dati di Appfigures riportati da TechCrunch. La maggior parte delle recensioni ricevute dall’applicazioni erano negative e includevano avvertimenti da parte degli utenti legati proprio al fatto che l’app non era originale ma solo un tentativo di copia, probabilmente a scopo di truffa.
LassPass permetteva agli utenti di poter aggiungere account e relative password oltre che dati di conti correnti e carte di pagamento, promettendo un’archiviazione sicura. Al momento, non è chiaro quanti utenti siano stati effettivamente truffati dall’applicazione. Quest’app, inoltre, era disponibile anche in versione Pro, con varie formule di abbonamento per l’accesso alla versione completa. Lo sviluppatore, quindi, potrebbe aver tentato di monetizzare in due modi, raccogliendo i dati degli utenti oltre che con gli abbonamenti.
