Bedrägliga kopior av populära appar är ett återkommande problem. Den här veckan upptäckte utvecklarna bakom lösenordshanteraren Lastpass att bedragare hade lyckats publicera en Lastpass-kopia i Apples App Store. Appen kallades ”Lasspass” och imiterade Lastpass utseende.
LastPass would like to alert our customers to a fraudulent app attempting to impersonate our LastPass app on the Apple App Store. The app in question is called “LassPass Password Manager” and lists Parvati Patel as the developer. The app attempts to copy our branding and user interface, though close examination of the posted screenshots reveal misspellings and other indicators the app is fraudulent.
– Mike Kosak, Senior Principal Intelligence Analyst hos Lastpass
Apple har nu tagit bort den falska appen. Skärmavbilder av listningen i App Store finns i Lastpass pressmeddelande.
Granskningsprocessen har brustit förr
Det är inte första gången som falska appar dyker upp i App Store. När Meta valde att inte lansera sin Twitter-klon ”Threads” i EU passade bedragare på att publicera en falsk kopia. Threads-incidenten var extra problematisk eftersom avsaknaden av en äkta app gjorde den falska appen mer trovärdig. Användarna hade ingen äkta app att jämföra recensioner och nedladdningsantal med.
Den falska Threads-appen hann klättra upp till förstaplatsen över nedladdade gratisappar i flera länder, inklusive Sverige, innan den togs bort.
Otydlig annonsmärkning i App Store
Situationen förvärras av att Apple säljer annonsytor med otydlig annonsmärkning i App Store. När användare söker efter en specifik app kan Apple välja att visa en sökresultatsliknande annons ovanför den riktiga appen. Denna bluffmöjlighet utnyttjades i fjol av bedragare som spred en kopia av Microsoft Authenticator. Bedragarna köpte söktermen ”Microsoft Authenticator” så att deras kopia visades överst i App Stores sökresultat när användare sökte efter Microsofts originalapp. Bedragarnas falska app stal användarnas autentiseringshemligheter.
Mycket oläglig incident för Apples del
EU:s nya Digital Markets Act kräver att Apple släpper in konkurrerande appbutiker. I mars kommer Apple att rulla ut en IOS-uppdatering som låter andra företag utmana monopolet som App Store har haft hittills. Lyssna på avsnitt 235 av Bli säker-podden för mer information om detta.
Apple kommer att marknadsföra sin egen appbutik som det säkra alternativet. Veckans nyhet om att ytterligare en bluffapp har slunkit igenom Apple granskningsprocess hade därför inte kunnat komma mer olägligt för Apples del.
Med det sagt är App Store ändå en trygg appbutik. Incidenterna då falska appar slinker igenom Apples granskningsprocesser är fortfarande så få att de blir nyhetsvärdiga.
Rekommendationer
Sweclockers bad mig ge några konkreta rekommendationer som användare bör följa för att inte luras av bluffappar.
- Ladda enbart ned appar från de etablerade appbutikerna. Den stora mängden bluffappar sprids utanför de seriösa appbutikerna. Exempelvis luras Android-användare att manuellt installera trojanpreparerade piratkopior av populära betalappar.
- Skrolla alltid förbi de sponsrade sökresultaten i App Store och Google Play.
- Läs recensionerna och kontrollera antalet nedladdningar innan du installerar en app.
- Vid tveksamhet: gå till apputvecklarens webbplats och undersök se vilken app som utvecklaren länkar till därifrån.
- Kom ihåg att integritetsöversikten (”innehållsförteckningen”) som visas för en app i App Store och Google Play är en självdeklaration från apputvecklaren. Om du inte litar på utvecklaren kan du inte heller lita på det som står i integritetsöversikten.
Avslutande notis om Lastpass
Lastpass var under många år en lösenordshanterare som Nikka Systems rekommenderade. Vi hävde rekommendationen när det avslöjades att Lastpass hade ljugit i sin dokumentation. Lastpass påstod att de totalsträckskrypterade all känslig information, men i själva verket omfattades inte webbadresserna av krypteringen.
Lastpass har sagt att de ska åtgärda denna brist, men den är ännu inte åtgärdad (se Lastpass roadmap).
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.