Sull'App Store di Apple un'app che ruba i Bitcoin
In un momento in cui Apple ribadisce che gli store alternativi non sono sicuri, sull'App Store ufficiale passa un'app fake che ruba criptovalute agli utenti iPhone
Che la chiusura, anzi blindatura, dell’ecosistema iOS permetta ad Apple di mantenere un livello di sicurezza degli iPhone mediamente molto più alto rispetto a quello del mondo Android è innegabile. Che questo livello di sicurezza possa scendere, almeno di un po’, con l’apertura forzata dell’ecosistema derivante dall’applicazione del nuovo regolamento europeo DMA è probabile. Ma che iPhone sia sicuro al 100% se ci fidiamo ciecamente di Apple e non la costringiamo a fare come vuole l’Europa è semplicemente falso.
Lo dimostra una nuova app fake, che per alcuni giorni si è spacciata per app ufficiale di un wallet di criptovalute e, per tutto il tempo in cui è stata disponibile, ha rubato la valuta digitale a tutti coloro che l’hanno installata. Ad accorgersi della truffa non è stata Apple, che anzi ci ha messo qualche giorno a rimuovere l’app pericolosa dal suo App Store.
Leather Wallet: l’app fake
L’app pericolosa di cui stiamo parlando è stata pubblicata dallo sviluppatore “LetalComRu” con il nome di “Leather Wallet & Hiro Bitcoin“. Nel giro di pochissimi giorni ha superato le 200 recensioni, quasi tutte a 5 stelle nonostante si trattasse di un’app neonata, arrivata appena alla versione 1.0.2.
Leather è una piattaforma Web che offre ai suoi iscritti la possibilità di comprare, vendere e conservare Bitcoin, Ethereum e molte altre criptovalute ed NFT. Una piattaforma simile alle più famose Binance, Coinbase o Ledger, ma con una grossa differenza: Leather non ha un’app, funziona solo da Web.
I segnali per capire, in fase di approvazione dell’app fake, che c’era qualcosa che non andava non mancavano di certo. Tra tutti questi segnali, due li riconosce anche un non esperto di sicurezza: lo sviluppatore non ha nulla a che fare con Leather, che a sua volta è una piattaforma senza app.
Rubati Bitcoin e altre criptovalute
Le app wallet fake come questa di Leather, che ha passato indenne i controlli dell’App Store di Apple, usano i loghi e il nome di piattaforme di interscambio di criptovalute famose per indurre l’utente a inserire al loro interno l’indirizzo di tutti i propri Bitcoin o delle altre valute in suo possesso.
Una volta “caricato” il wallet fake, la seconda mossa è scontata: l’app sposta senza l’autorizzazione dell’utente tutte le criptovalute su altri conti. Un utente dell’app fake di Leather afferma di aver perso oltre 100 mila dollari.
Gli stessi sviluppatori di Leather hanno dovuto avvertire Apple per chiedere il blocco dell’app e hanno dovuto specificare, via X, che nessuno dovrebbe scaricare e usare quell’app perché è un fake.
PSA: The Leather Wallet app currently in the iOS store is FAKE 🚨
⚠️ Do not download it, and definitely do not input your seed phrase.
We promise we'll let you know once our mobile app is actually ready!
Leather should only be downloaded directly from https://t.co/V9zpQR40uC.
— Leather — The Bitcoin wallet for the rest of us (@LeatherBTC) March 4, 2024
Apple colta in fallo
Questa vicenda ha, per fortuna, conseguenze molto limitate perché l’app fake in questione non è certo la copia di WhatsApp o di Facebook, bensì l’imitazione di una piattaforma di nicchia, usata da un numero relativamente ristretto di utenti.
Ma il fatto che Apple si sia fatta ingannare così facilmente è un bruttissimo campanello d’allarme, anche alla luce delle ripetute lamentele di altre app ben più diffuse, come Telegram.
Secondo il fondatore di Telegram, infatti, Apple rallenterebbe in modo volontario il rilascio delle nuove versioni dell’app di messaggistica solo perché Telegram è un valido concorrente di iMessage.
Apple ha sempre respinto le accuse, affermando di avere un processo di revisione delle app molto rigoroso, a tutela degli utenti che poi quelle app le scaricheranno.
Nell’annunciare la sua obbligata apertura agli store di app alternativi, tra l’altro, Apple non ha perso occasione per avvertire i suoi utenti che quegli store non saranno sicuri come l’App Store ufficiale. Poi, però, sull’App Store ufficiale passa un’app palesemente fake. E questa non è una bella figura per Apple.