LastPass dice que una aplicación fraudulenta que se hacía pasar por su popular administrador de contraseñas logró superar los guardianes de Apple y apareció en la App Store de iOS para que personas desprevenidas la descargaran e instalaran. El fabricante de software hizo pública la aplicación móvil falsa el miércoles, advirtiendo que la imitación de «LastPass Password Manager», desarrollada por alguien que se hacía llamar Parvati Patel, parecía estar tratando de confundir a los usuarios para que ejecutaran la cosa y posiblemente robaran sus datos o credenciales. Una captura de pantalla de la aplicación falsa LastPass en la tienda de aplicaciones de Apple. Tenga en cuenta los errores ortográficos, el nombre incorrecto del desarrollador y la calificación única… Haga clic para ampliar «Al ver la aplicación falsa ‘LassPass’ en la tienda de aplicaciones de Apple, LastPass inmediatamente comenzó un enfoque coordinado y multifacético entre nuestros equipos legales, de ingeniería e inteligencia contra amenazas. para eliminar la aplicación fraudulenta», dijo el jueves a The Register Christofer Hoff, director de tecnología segura de LastPass. «Estamos en contacto directo con representantes de Apple, ellos han confirmado la recepción de nuestras quejas y estamos trabajando en el proceso para eliminar la aplicación fraudulenta», agregó Hoff. Es posible que Cupertino haya estado en el caso, pero hoy la aplicación todavía estaba disponible en la tienda. El Reg le preguntó a Apple por qué la aplicación falsa LastPass todavía estaba activa y, aunque no recibimos una respuesta, la URL de la aplicación dejó de funcionar y la aplicación desapareció de los resultados de búsqueda de la App Store en un iPhone a los pocos minutos de nuestro correo electrónico. En otras palabras, ya no existe. ¿Cómo llegó esta hierba al jardín amurallado? Dejando a un lado las aplicaciones de valor cuestionable, Apple tiene la reputación de ser un lugar relativamente seguro para que el iPerson promedio obtenga su software, con un proceso de aprobación de aplicaciones notoriamente difícil entre desarrolladores y usuarios. Apple incluso actualizó su acuerdo de desarrollador y sus pautas de revisión el año pasado para agregar una prohibición específica a las aplicaciones que se hacen pasar por otras. La sección de diseño de las pautas de revisión de aplicaciones incluso denuncia a los desarrolladores que adoptan ese enfoque, aunque está más preocupada por la pereza que por la malicia. «Propongan sus propias ideas», exige Apple a los desarrolladores. «El envío de aplicaciones que se hacen pasar por otras aplicaciones o servicios se considera una violación del Código de conducta para desarrolladores y puede resultar en su eliminación del Programa de desarrolladores de Apple». Por supuesto, el sistema no es perfecto y, de vez en cuando, la hierba atraviesa la pared y llega al jardín. El imitador de LastPass no es el primero, aunque es un caso particularmente atroz. Si bien es comprensible que en ocasiones se produzca algún robo de propiedad intelectual cuestionable en la App Store, se trata de una suplantación total de una marca conocida. Nos encantaría saber cómo ocurrió este error, aunque es poco probable que obtengamos una respuesta. LastPass también quiere saberlo. «[We’re] Estamos trabajando con Apple para comprender de manera más amplia cómo una aplicación como esta superó sus normalmente rigurosos mecanismos de seguridad y protección de marca», nos dijo Hoff. «La convención de nomenclatura, la iconografía y la descripción de la aplicación fraudulenta se tomaron prestadas en gran medida de LastPass, y esto «Parece ser un intento deliberado de apuntar a los usuarios de LastPass». Separar las aplicaciones de las trampas Incluso con su insistencia en que abrir la App Store a la competencia conduciría a mayores amenazas a la seguridad de los usuarios, las reglas de contenido de Apple todavía no son completamente sólidas. Si estamos seguros de que nuestros lectores saben bien cómo distinguir una aplicación falsa de una real, vale la pena recordarles a todos cómo evitar ser engañados para descargar una aplicación falsa, y esta aplicación falsa de LastPass está plagada de ejemplos. Están los signos obvios, como los errores ortográficos. en descripciones de aplicaciones o en capturas de pantalla. La aplicación falsa LastPass, capturada en esta historia, en realidad muestra una imagen de vista previa que les dice a los usuarios que pueden «almacenar todas sus contraseñas con lasspass», una buena manera de saber que está tratando con un farsante, asumiendo que es legítimo. los desarrolladores tienen un editor. También está el nombre del desarrollador, que en el caso de LastPass debería ser «LogMeIn, Inc.», no una persona al azar. Otras aplicaciones de grandes proveedores (las más obvias para ser objeto de suplantación) también deberían coincidir con la empresa real detrás del producto. La aplicación falsa LastPass también demostró tener solo una calificación de cinco estrellas, mientras que la aplicación LastPass real tiene unas 52.000 reseñas. Tampoco es probable que una aplicación legítima agrade a todos, y LastPass no es diferente: la aplicación real tiene una calificación de 4,4 de cinco estrellas. Además, cuatro reseñas de una estrella sobre la aplicación falsa LastPass que no parecieron afectar su puntuación general provinieron de usuarios que advirtieron que era una estafa, por lo que hay dos lecciones que aprender aquí: preste atención a la cantidad de reseñas en una aplicación supuestamente aplicación legítima y léalas también. Junto con esos elementos, observe la antigüedad de la aplicación y también el informe de privacidad de la aplicación integrado en cada página de la App Store, si una aplicación no parece necesitar vincular ciertos tipos de datos con usted. (El sudoku no necesita acceder al contenido del usuario ni conocer su ubicación), luego omítalo, incluso si es legítimo, el desarrollador podría estar vendiendo sus datos. Por muy altas que sean, las paredes que rodean el jardín de Tim no pueden impedir el paso de toda la basura, así que ten cuidado. ®

Source link