Ψεύτικος προγραμματιστής LastPass στο App Store: Πιθανόν χειρότερες επιπτώσεις

Οι άνθρωποι ανησυχούν και ξέρω ότι έχω γράψει για το πώς η Apple επιτρέπει τις πλευρικές εφαρμογές, όπως πρόκειται να κάνει στην Ευρώπη με το iOS 17.4, θα μπορούσε να οδηγήσει στην άφιξη επικίνδυνων εφαρμογών με κακόβουλο

λογισμικό

στο καλύτερο iPhone σας. Αλλά αποδεικνύεται ότι οι σιδερένιοι έλεγχοι και ισορροπίες

του

App Store της Apple δεν είναι ούτε εντελώς τέλειοι.

Νωρίτερα αυτή την εβδομάδα μάθαμε από το δημοφιλές σύστημα διαχείρισης κωδικών πρόσβασης LastPass ότι υπήρχε

μια δόλια εφαρμογή που υποδύεται τη δική της εφαρμογή στο App Store της Apple

. Ο προγραμματιστής,

που

αναφέρεται ως

Χάρρυ Πόττερ

Ο χαρακτήρας Parvati Patel, δεν ήταν ακριβώς διακριτικός. Μια αναζήτηση για το ‘Lastpass Password Manager’ θα επέστρεφε, μαζί με τη νόμιμη εφαρμογή, την εφαρμογή του Patel με ένα λογότυπο που, αν και διαφορετικό, θα μπορούσε εύκολα να εκληφθεί εσφαλμένα με το πραγματικό του LatPass. Χρησιμοποιούσε επίσης μια συλλογή από στιγμιότυπα οθόνης που έμοιαζαν πολύ με το σύστημα διαχείρισης κωδικών πρόσβασης για κινητά του LastPass.

Το LastPass ειδοποίησε τους πελάτες για την ψεύτικη εφαρμογή σε μια ανάρτηση ιστολογίου στις 7 Φεβρουαρίου και υποσχέθηκε να “συνεχίσει να παρακολουθεί για δόλιες κλώνους των εφαρμογών μας ή/και παραβιάσεις της πνευματικής μας ιδιοκτησίας”.

Τη στιγμή της συγγραφής αυτού του κειμένου οι εφαρμογές είχαν εξαφανιστεί από το App Store. Έψαξα και στο Google Play και ευτυχώς δεν μπόρεσα να βρω παρόμοια δόλια εφαρμογή LastPass.

Εφαρμογές

Ως μακροχρόνιος πελάτης του LastPass, ήμουν τρομοκρατημένος. Αυτό δεν ήταν απλώς ένα ψεύτικο Κουλοχέρη ή μια εφαρμογή ειδήσεων. Το LastPass διαχειρίζεται όλους τους κωδικούς πρόσβασής μου (και τους κωδικούς πρόσβασης εκατομμυρίων άλλων πελατών), πράγμα που σημαίνει, τουλάχιστον στη

ζωή

μου, ότι έχει τα κλειδιά για το βασίλειο. Δεν έχω ιδέα πώς λειτουργούσε ή όχι το ψεύτικο LastPass, αλλά αν κάποιος το κατέβασε και άρχιζε να το χρησιμοποιεί σαν να ήταν το πραγματικό, θα μπορούσε τουλάχιστον να δώσει τον Κύριο κωδικό του LastPass σε μια εγκληματική επιχείρηση.

Αυτή η εφαρμογή δεν θα προσελκύει μόνο ανυποψίαστους νέους πελάτες LastPass, αλλά και υπάρχοντες. Ας υποθέσουμε ότι αποκτάτε ένα νέο iPhone και πρέπει να εγκαταστήσετε ξανά όλες τις βασικές εφαρμογές σας. Εάν δεν προσέχετε πολύ – κάτι από το οποίο εξαρτιόταν το «Parvati Patel» – θα μπορούσατε να έχετε κατεβάσει και να αρχίσετε να χρησιμοποιείτε την ψεύτικη εφαρμογή, πιθανότατα με καταστροφικά αποτελέσματα.

Εφαρμογές όπως αυτή που περνούν από τα επίπεδα ασφάλειας της Apple δεν υποτίθεται ότι θα συμβαίνουν. Η κατανόηση της διαδικασίας επαλήθευσης εφαρμογών της Apple είναι ότι πρόκειται για έναν κλειστό βρόχο με σημαντικούς ελέγχους. Οι εγγεγραμμένοι προγραμματιστές iOS παρέχουν στην Apple, σύμφωνα με τη σελίδα υποστήριξης του Προγράμματος προγραμματιστή: “πληροφορίες που σχετίζονται με το Apple ID σας, συμπεριλαμβανομένων του ονόματος, της διεύθυνσης email, της ηλικίας, του αριθμού τηλεφώνου, της προτιμώμενης γλώσσας και της χώρας ή της περιοχής, για τη δημιουργία και τη διατήρηση του λογαριασμού προγραμματιστή σας και σας παρέχει δυνατότητες του Προγράμματος προγραμματιστών της Apple.”

Τι πρόσφερε ο Patel – ένα γραμμάριο κουκουβάγιας από το Χόγκουαρτς;

Το όλο θέμα του να μην επιτρέπονται οι εφαρμογές πλευρικής φόρτωσης είναι ότι οι ψεύτικες και επικίνδυνες εφαρμογές δεν μπορούσαν να φτάσουν μέχρι τους τελικούς χρήστες, ειδικά τις εφαρμογές που υποδύονται τόσο κατάφωρα τις νόμιμες εφαρμογές – τουλάχιστον νόμιζα ότι αυτό ήταν το ζητούμενο. Δεν θα μπορούσε η Apple να έχει κάνει έναν απλό έλεγχο ονόματος πριν δημοσιοποιήσει το ψεύτικο LastPass; Σίγουρα, το σύστημα θα είχε παρατηρήσει την ασυμφωνία.

Το πρωτεργατικό ξόρκι της Apple

Ρώτησα την Apple πώς πέρασε μια τέτοια εφαρμογή απατεώνων μέσω του συστήματος επαλήθευσης προγραμματιστών και εφαρμογών. Η Apple επιβεβαίωσε ότι είχε αφαιρέσει την εφαρμογή και, ναι, το “Parvati Patel” αφαιρείται από το Πρόγραμμα προγραμματιστών της Apple. Φυσικά, δεδομένου ότι αυτό δεν είναι σχεδόν σίγουρα το πραγματικό όνομα του προγραμματιστή, πρέπει να υποθέσω ότι ο Patel θα εμφανιστεί σύντομα ως νέος προγραμματιστής με το όνομα “Ludo Bagman”.

Η Apple έχει το δικαίωμά της να καταργήσει την εφαρμογή και το Patel, επειδή, όπως σημείωσε η Apple, είναι αντίθετο με τους κανόνες η μίμηση άλλων εφαρμογών.

Φαίνεται, ωστόσο, ότι εάν το σύστημα ελέγχου της Apple αποτύχει, μπορεί να εναπόκειται σε εταιρείες όπως το LastPass (που ανήκει στον προγραμματιστή LogMeIn) να καταγράψουν μια διαφωνία με τη διαδικασία διαφωνίας περιεχομένου της Apple. Το LastPass ανέφερε ότι το έκανε στις 7 Φεβρουαρίου.

Η Apple δεν εξήγησε ποτέ γιατί το σύστημά της απέτυχε, αλλά επεσήμανε τις προσπάθειές της να κάνει το App Store έναν ασφαλή χώρο για προγραμματιστές και καταναλωτές. Αυτός ο εξαιρετικά προσοδοφόρος χώρος, ωστόσο, είναι σαφώς υπό συνεχή επίθεση και είναι θαύμα που δεν βλέπουμε πολλές περισσότερες ψεύτικες εφαρμογές στο App Store.

Η εταιρεία αναφέρει ότι σταμάτησε τουλάχιστον 2 δισεκατομμύρια δολάρια σε δόλιες συναλλαγές με το App Store το 2022 και, παρόλο που το LastPass διέλυσε, η Apple μέχρι στιγμής έχει απορρίψει σχεδόν δύο εκατομμύρια εφαρμογές επειδή δεν πληρούσαν τα πρότυπα ασφάλειας και ποιότητας της Apple.

Η Apple αναφέρει επίσης ότι απέσυρε 153.000 υποβολές εφαρμογών που ήταν ανεπιθύμητες, παραπλανητικές ή, φυσικά, εφαρμογές αντιγραφής. Αυτό το είδος δραστηριότητας οδήγησε στον τερματισμό σχεδόν μισού εκατομμυρίου λογαριασμών προγραμματιστών.

Το θέμα είναι ότι η Apple κάνει τη δουλειά. Είναι αρκετό? Για όποιον κατάφερε να κατεβάσει και να χρησιμοποιήσει αυτήν την ψεύτικη εφαρμογή LastPass προτού το LastPass και η Apple το προσέξουν, μάλλον όχι.

Ενώ το ψεύτικο επεισόδιο της εφαρμογής LastPass είναι αποκαρδιωτικό, η ποσότητα της δουλειάς που κάνει η Apple για να σταματήσει ακόμη περισσότερες απάτες εφαρμογών ενισχύει περαιτέρω την πεποίθησή μου ότι η πλήρης ανοιχτή πλευρική φόρτωση εφαρμογών iPhone θα ήταν μια αμετάβλητη κατασ

τροφή

. Να λοιπόν αυτό.