| 22 июня 2023 г. — 5:51 PT
Обновление через четыре месяца: поддельное приложение Microsoft Authenticator каким-то образом пережило чистку, но было наконец удалено в июне …
Обновление: Apple удалила большинство мошеннических приложений-аутентификаторов из App Store – см. конец статьи.
Последний глупый ход Twitter привел к появлению множества мошеннических приложений-аутентификаторов, причем по крайней мере одно из них использовало рекламу в App Store, чтобы занять видное место в результатах поиска – а затем отправляло все отсканированные QR-коды в службу аналитики разработчика.
Существует множество других, которые кажутся бесплатными, но затем требуют совершения покупок в приложении, чтобы сканировать QR-коды…
Twitter стимулирует интерес к аутентификаторам
На прошлой неделе Twitter придумал блестящую идею – продавать безопасность аккаунта как платную услугу, разместив двухфакторную аутентификацию на основе SMS (2FA) за платным контентом Twitter Blue.
С 20 марта Twitter начнет требовать Twitter Blue для использования двухфакторной аутентификации через SMS. Это изменение, официально объявленное сегодня, безусловно, является серьезным шагом. Twitter заявляет, что просто отключит двухфакторную аутентификацию для всех, кто по-прежнему использует SMS-ключи и не платит за Blue после 20 марта.
Не нужно быть провидцем, чтобы догадаться, чья это была идея.
Признаться, SMS 2FA — это ужасно, оставляя все ваши защищенные аккаунты уязвимыми для атак подмены SIM-карты. Если бы Twitter просто прекратил поддержку этого и попросил всех использовать приложение-аутентификатор, это было бы одно дело. Вместо этого Twitter создает впечатление, что SMS — это премиум-опция, взимая за нее плату.
Мошеннические приложения-аутентификаторы
Это создало идеальную возможность для мошеннических приложений-аутентификаторов отделить нетехнических пользователей от их денег – или даже от их аккаунтов.
Разработчик и специалист по безопасности Mysk быстро заметил множество подозрительно похожих приложений, все из которых требуют подписки в приложении, чтобы сканировать QR-коды.
Вечное искусство аутентификаторов! Все эти приложения-аутентификаторы бесплатны и предлагают покупки в приложении. Вы устанавливаете их, чтобы обнаружить, что не можете сканировать QR-коды, пока не оформите подписку за 40 долларов в год с 3-дневной бесплатной пробной версией. Приложения очень похожи.
Он быстро смог найти дюжину таких приложений (см. изображение выше) и задался вопросом, почему они не были замечены при проверке приложений.
App Store должен что-то сделать с этими приложениями. Похоже, существует какое-то готовое приложение, которое мошенники покупают, переименовывают и размещают в @AppStore. Любой обычный пользователь может заметить их поразительное сходство. Как команда проверки приложений не заметила этого?
По крайней мере, одно из них пытается заставить вас оформить подписку, даже если вы нажмете кнопку закрытия.
Одно мошенническое приложение даже захватывает ваши QR-коды. Вам не нужно сильно искать: разработчик разместил рекламу в App Store, что означает, что оно будет видно при поиске приложений-аутентификаторов.
Вам нужно быть осторожным при поиске приложения-аутентификатора. Это приложение отправляет отсканированные QR-коды в службу аналитики #Google разработчика. Вы его не пропустите. Оно запускает рекламную кампанию в #AppStore
Безопасные приложения-аутентификаторы
На iOS теперь можно использовать встроенную поддержку 2FA. Альтернативно, Google Authenticator является выбором по умолчанию, и Mysk говорит, что не нашел причин им не пользоваться.
Недавно мы подробно описали, как использовать его для Twitter.
Apple теперь удалила мошеннические приложения
Mysk сообщает, что Apple теперь удалила приложения, о которых компания сообщала.