imágenes falsas
A medida que Apple ha intensificado la promoción de su App Store como una fuente de aplicaciones más segura y confiable, sus operadores se apresuraron el jueves a corregir una amenaza importante a esa narrativa: una lista que el fabricante del administrador de contraseñas LastPass dijo que era una “aplicación fraudulenta que se hacía pasar” por su marca.
En el momento en que se publicó este artículo sobre Ars, Apple había eliminado la aplicación, titulada LassPass y con un logotipo sorprendentemente similar al utilizado por LastPass, de su App Store. Al mismo tiempo, Apple permitió que permaneciera una aplicación separada enviada por el mismo desarrollador. Apple no proporcionó ninguna explicación sobre el motivo por el que eliminó la primera aplicación o permitió que la segunda permaneciera.
Apple advierte sobre “nuevos riesgos” de la competencia
La medida se produce cuando Apple ha intensificado sus esfuerzos para promover la App Store como una alternativa más segura a las fuentes competidoras de aplicaciones iOS exigidas recientemente por la Unión Europea. En una entrevista con el director de la App Store, Phil Schiller publicado este mes Según FastCompany, Schiller dijo que las nuevas tiendas de aplicaciones “traerán nuevos riesgos” (incluidos la pornografía, el discurso de odio y otras formas de contenido objetable) que Apple ha mantenido a raya durante mucho tiempo.
“No tengo reparos en decir que nuestro objetivo siempre será hacer de la App Store el mejor y más seguro lugar para que los usuarios obtengan aplicaciones”, le dijo al escritor Michael Grothaus. “Creo que los usuarios (y todo el ecosistema de desarrolladores) se han beneficiado del trabajo que hemos realizado junto con ellos. Y vamos a seguir haciéndolo”.
De alguna manera, el proceso de investigación de aplicaciones de Apple, alardeado durante mucho tiempo a pesar de que Apple ha proporcionado pocos detalles, no logró detectar el doble de LastPass. Apple eliminó LassPass el jueves por la mañana, dos días, dijo LastPass, después de señalar la aplicación a Apple y un día después. advirtiendo a sus usuarios la aplicación era fraudulenta.
“Estamos informando de esto a nuestros clientes para evitar posibles confusiones y/o pérdidas de datos personales”, escribió Mike Kosak, analista principal de inteligencia de LastPass.
No se puede negar que el logo y el nombre eran sorprendentemente similares a los oficiales. A continuación se muestra una captura de pantalla de cómo apareció LassPass, seguida de la lista oficial de LastPass:
Aquí ayer, hoy ido
Thomas Reed, director de ofertas de Mac en la firma de seguridad Malwarebytes, señaló que la entrada de LassPass en la App Store decía que la política de privacidad de la aplicación estaba disponible en blueneel.[.]com, pero que la página desapareció el jueves y la página principal muestra una página de destino genérica. Los registros Whois indicaron que el dominio se registró hace cinco meses.
No hay indicios de que LassPass haya recopilado las credenciales de LastPass de los usuarios ni haya copiado ninguno de los datos que almacenó. Sin embargo, la aplicación proporcionó campos para que los usuarios ingresaran una gran cantidad de información personal confidencial, incluidas contraseñas, direcciones físicas y de correo electrónico, y datos bancarios, de tarjetas de crédito y débito. La aplicación tenía una opción para suscripciones pagas.
Un representante de LastPass dijo que la compañía se enteró de la aplicación el martes y centró sus esfuerzos en eliminarla en lugar de analizar su comportamiento. Los funcionarios de la compañía no tienen información sobre qué hizo exactamente LassPass cuando se instaló o cuando apareció por primera vez en la App Store.
La App Store continúa albergando una aplicación separada del mismo desarrollador que figura simplemente como Parvati Patel. (Una búsqueda rápida en Internet revela muchas personas con el mismo nombre. Por el momento, no fue posible identificar a la persona específica). aplicación separada se llama PRAJAPATI SAMAJ 42 Gor ABD-GNR, y una política de privacidad correspondiente (en psag42[.]in/policy.html) tiene fecha de diciembre de 2023. Se describe como una “solicitud para la aplicación Ahmedabad-Gandhinager Prajapati Samaj” y, además, como una “plataforma para la comunidad”. La aplicación también apareció recientemente en Google Play, pero ya no estaba disponible para descargar en el momento de la publicación. Los intentos de contactar al desarrollador no tuvieron éxito.
No hay indicios de que la aplicación separada viole alguna política de la App Store. Los representantes de Apple no respondieron a un correo electrónico en el que se hacían preguntas sobre el incidente o su proceso o políticas de investigación.