Apple eliminó una aplicación falsa que se hacía pasar por el administrador de contraseñas LastPass en la App Store. La aplicación ilegítima figuraba bajo el nombre de un desarrollador individual (Parvati Patel) y copiaba la marca y la interfaz de usuario de LastPass en un intento de confundir a los usuarios. Más allá de ser publicada por un desarrollador diferente que no era el propietario de LastPass, LogMeIn, la aplicación falsa también tenía varios errores ortográficos y pistas que indicaban su naturaleza fraudulenta, dijo LastPass. Que una aplicación tan obviamente falsa haya pasado por el proceso de revisión de aplicaciones de Apple es una mala imagen para el gigante tecnológico, que ha estado argumentando en contra de nuevas regulaciones, como la Ley de Mercados Digitales (DMA) de la UE, afirmando que estas leyes comprometerían la seguridad y privacidad del cliente.
Apple dijo que la DMA, que permite pagos y tiendas de aplicaciones de terceros, podría poner a los consumidores en riesgo porque podrán realizar negocios fuera de su App Store con partes desconocidas. Los malos actores podrían utilizar la nueva regulación para engañar a los consumidores para que compren suscripciones que son difíciles de cancelar. Incluso podrían atacar a los consumidores con malware, había advertido Apple.
Al presentar su plan para el cumplimiento de DMA, Apple escribió: «Las nuevas opciones para procesar pagos y descargar aplicaciones en iOS abren nuevas vías para malware, fraude y estafas, contenido ilícito y dañino, y otras amenazas a la privacidad y la seguridad».
Pero en este caso, la amenaza a los consumidores procedía de la propia App Store, no de un sitio web de terceros.
Créditos de imagen: Captura de pantalla de la App Store, cortesía de Appfigures
Aún así, sigue siendo incierto qué tan grande era la amenaza que realmente representaba la aplicación falsa.
Según datos del proveedor de inteligencia de aplicaciones Appfigures, la aplicación falsa se lanzó el 21 de enero, lo que le dio un par de semanas para captar la atención de los usuarios. Pero varios consumidores parecieron haberse dado cuenta de que la aplicación no era legítima, ya que todas sus reseñas en la App Store eran advertencias a otros de que la aplicación era fraudulenta, señaló la empresa.
La aplicación falsa también aprovechó la palabra clave “LastPass” para clasificar en los resultados de búsqueda del término, pero esto no llegó muy lejos: solo ocupó el puesto número 7 en los resultados de búsqueda hoy, dijo Appfigures.
Además, la aplicación nunca se ubicó en ninguna de las listas principales de Apple, ni en la lista general de aplicaciones gratuitas ni por categoría, dijo Appfigures. Esa falta de tracción indica que la aplicación probablemente tuvo solo un puñado de descargas antes de ser retirada.
Si bien la aplicación probablemente no logró engañar a muchos consumidores, podría haberlo hecho. Es más, es perturbador saber que LastPass tuvo que advertir públicamente a los clientes sobre una aplicación falsa que nunca debería haberse publicado en primer lugar. Y después de que se publicó la publicación de su blog, la aplicación no fue eliminada de la App Store hasta el día siguiente.
Con toda probabilidad, Apple tomó medidas contra la aplicación eliminándola de la App Store después de los informes de prensa. Se le pidió a Apple que hiciera comentarios, pero no los proporcionó de inmediato.
LastPass le dijo a TechCrunch que estaba en contacto con representantes de Apple sobre el asunto, incluido cómo la aplicación pasó por App Review.
«Al ver la aplicación falsa ‘LassPass’ en la tienda de aplicaciones de Apple, LastPass inmediatamente inició un enfoque coordinado y multifacético entre nuestros equipos de inteligencia de amenazas, legales y de ingeniería para eliminar la aplicación fraudulenta», dijo Christofer Hoff, director de tecnología segura. para LastPass, en un comunicado proporcionado a TechCrunch. “Nuestro equipo de inteligencia de amenazas publicó ayer un blog para crear conciencia y ayudar a informar al público y a nuestros clientes sobre la situación. Estamos en contacto directo con representantes de Apple, ellos han confirmado la recepción de nuestras quejas y estamos trabajando en el proceso para eliminar la aplicación fraudulenta”.
Hoff agregó que la compañía está trabajando con Apple para “comprender de manera más amplia cómo una aplicación como esta pasó sus normalmente rigurosos mecanismos de seguridad y protección de marca. La convención de nomenclatura, la iconografía y la descripción de la aplicación fraudulenta están tomadas en gran medida de LastPass, y esto parece ser un intento deliberado de apuntar a los usuarios de LastPass”, dijo.
Apple confirmó el viernes que la aplicación había sido eliminada y que su creador fue excluido de su Programa de Desarrolladores de Apple, según la Guía de revisión que trata sobre la suplantación de aplicaciones. La compañía se negó a compartir un comentario público.
Actualizado el 8/2/24 a las 2:30 p.m. ET con comentario de LastPass; 9/2/24 12:57 p.m. ET con confirmación de eliminación de Apple