LastPass は、同社の人気パスワードマネージャーを装った不正なアプリケーションが Apple のゲートキーパーをすり抜け、iOS App Store に掲載され、何も知らないユーザーがダウンロードしてインストールできる状態になっていたと発表しました。
ソフトウェアメーカーは水曜日に偽のモバイルアプリについて公表し、パルバティ・パテルと名乗る人物が開発した偽の「LastPass Password Manager」は、ユーザーを混乱させてアプリを実行させ、データや認証情報を盗もうとしている可能性があると警告した。
Apple App Storeにある偽のLastPassアプリのスクリーンショット。スペルミス、開発者名の誤り、評価が1件しかない点にご注意ください。クリックして拡大
「アップルのApp Storeで偽の『LassPass』アプリを発見したLastPassは、直ちに脅威情報、法務、エンジニアリングの各チーム間で連携し、多角的なアプローチで不正アプリの削除に着手した」とLastPassの最高セキュリティ技術責任者、クリストファー・ホフ氏は木曜日にThe Registerに語った 。
「我々はアップルの担当者と直接連絡を取っており、彼らは我々の苦情を受け取ったことを確認しており、我々は不正なアプリを削除する手続きを進めている」とホフ氏は付け加えた。
クパチーノはこの問題に取り組んでいたようですが、本日早朝、アプリはまだストアで入手可能でした。エル・レグはAppleに偽のLastPassアプリがなぜまだ残っているのか問い合わせましたが、回答は得られませんでした。しかし、アプリのURLは機能しなくなり、メールを送ってから数分以内にiPhoneのApp Store検索結果からアプリが消えてしまいました。
つまり、今はもうなくなってしまったのです。
この雑草はどうやって壁に囲まれた庭に生えてきたのでしょうか?
価値に疑問のあるアプリは別として、Apple は、開発者とユーザーの間に悪名高い厳しいアプリ承認プロセスがあるため、平均的な iPerson がソフトウェアを入手するのに比較的安全な場所であるという評判があります。
Appleは昨年、開発者契約とレビューガイドラインを改訂し、他者のなりすましを目的としたアプリを具体的に禁止する条項を追加しました。アプリレビューガイドラインのデザインセクションでは、そのようなアプローチを取る開発者を厳しく批判していますが、悪意よりも怠惰を問題視しています。
「独自のアイデアを出してください」とAppleは開発者に求めています。「他のアプリやサービスを模倣したアプリの提出は、開発者行動規範違反とみなされ、Apple Developer Programから削除される可能性があります。」
もちろん、このシステムは完璧ではなく、雑草が壁を通り抜けて庭に侵入してくることもあります。LastPassのなりすましは初めてではありませんが、特に悪質なケースです。
- Appleにサードパーティのアプリストアを許可するよう強制するだけでは不十分だ
- 見た目がクールなベータ版の暗号アプリにご注意ください。金銭を盗む偽物かもしれません
- GoogleストアとAppleストアで約300件の略奪的融資アプリが発見される
- 100万人以上のAndroidユーザーが、公式Google Playストアの偽WhatsAppアプリに騙された
App Storeで疑わしいIP窃盗が時折発生することは理解できますが、これは有名ブランドを完全に偽装したものです。この失態がどのように起こったのか知りたいところですが、答えが得られる可能性は低いでしょう。LastPassも知りたいようです。
「(我々は)Appleと協力して、このようなアプリが、通常は厳格なセキュリティとブランド保護の仕組みをどのようにして通過したのか、より広範囲に理解しようとしています」とホフ氏は語った。「この不正アプリの命名規則、アイコン、説明はすべてLastPassから借用されており、これはLastPassユーザーを意図的に狙った攻撃であると思われます。」
アプリと罠を区別する
App Storeを競争に開放することはユーザーの安全に対する脅威の増大につながると主張しているにもかかわらず、Appleのコンテンツルールは依然として完全には確立されていません。読者の皆様は偽アプリと本物を見分ける方法をよくご存知だと確信していますが、偽アプリをダウンロードさせられるのを防ぐ方法を改めてお伝えしておく価値はあります。そして、この偽LastPassアプリには、その好例が山ほどあります。
アプリの説明やスクリーンショットにスペルミスがあるなど、明らかな兆候があります。この記事でスクリーンショットされている偽のLastPassアプリには、実際に「LastPassですべてのパスワードを保存できます」というプレビュー画像が表示されています。正規の開発者がエディターを持っていると仮定すると、これは偽物であることを示す良い兆候です。
開発者名も重要です。LastPassの場合、開発者名は「LogMeIn, Inc.」であるべきであり、無作為な人物名ではありません。大手プロバイダーの他のアプリ(なりすましの標的になりやすいもの)も同様に、製品の開発者である実際の会社名と一致している必要があります。
偽のLastPassアプリには5つ星評価が1つしか表示されていませんでしたが、本物のLastPassアプリには約5万2千件のレビューがあります。正規のアプリがすべての人に満足できるとは考えにくく、LastPassも例外ではありません。本物のアプリは5つ星中4.4の評価を受けています。
さらに、偽の LastPass アプリに対する 4 件の 1 つ星のレビューは、全体のスコアには影響していないようですが、詐欺だと警告するユーザーからのものだったので、ここから学ぶべき教訓が 2 つあります。合法とされるアプリのレビューの数に注意し、レビューも読んでみてください。
これらの要素に加えて、アプリの古さを確認し、App Store の各ページに組み込まれているアプリのプライバシー レポートも確認してください。アプリが特定の種類のデータをユーザーにリンクする必要がないと思われる場合 (数独はユーザー コンテンツにアクセスしたり、ユーザーの位置情報を知る必要はありません)、そのアプリをスキップしてください。たとえ開発者がユーザーのデータを販売しているとしても、それは正当です。
ティムの庭の周りの壁はどんなに高くても、ゴミをすべて防ぐことはできないので、注意してください。®
