Palma de la cara: Si bien hemos visto muchos casos de aplicaciones fraudulentas o llenas de malware que se infiltran en la Play Store de Google, es menos común verlo en la App Store de Apple, algo que la compañía de Cupertino señala a menudo. Sin embargo, existen algunos programas maliciosos que eluden su proceso de aprobación, incluida una aplicación que se hace pasar por el popular administrador de contraseñas LastPass.
LastPass publicó un mensaje en su sitio web ayer advirtiendo que una aplicación fraudulenta que intentaba hacerse pasar por la aplicación móvil del administrador de contraseñas estaba disponible en la App Store de Apple.
La aplicación en cuestión se llamaba «LassPass Password Manager», lo que debería haber levantado sospechas, y enumeró a Parvati Patel como desarrolladora en lugar de propietaria de LogMeIn. La aplicación también intentó copiar elementos de la marca, el logotipo y la interfaz de usuario de LastPass.
Escribió el analista principal de inteligencia senior de LastPass, Mike Kosak. «Estamos informando de esto a nuestros clientes para evitar posibles confusiones y/o pérdidas de datos personales».
Más allá del error ortográfico en el nombre, hubo muchos otros errores ortográficos en la descripción de la aplicación que la hicieron destacar como falsa, lo que hace aún más sorprendente que haya escapado a los controles de envío de Apple.
La aplicación estuvo disponible durante semanas antes de ser eliminada después de que LastPass real la señalara como falsa. No está claro si esto fue hecho por Apple (LastPass informó a Apple el día después de publicar la advertencia) o el desarrollador. Había otra aplicación en la tienda del mismo desarrollador, pero también se eliminó.
La noticia de que una aplicación obviamente falsa llega a la App Store llega en un mal momento para Apple. Actualmente, la compañía argumenta que la Ley de Mercados Digitales (DMA) de la UE, que permite que las tiendas de aplicaciones de terceros alojen aplicaciones de iOS, comprometerá la seguridad de los usuarios de iPhone y «traerá nuevos riesgos». Como aplicaciones falsas, presumiblemente.
No está claro exactamente qué hizo LassPass cuando se instaló en un dispositivo, aunque parece que no hay un enlace directo a LastPass, por lo que las credenciales de usuario no se copiaron del administrador de contraseñas oficial. Es probable que el desarrollador estuviera robando información personal confidencial, como contraseñas, direcciones físicas y de correo electrónico, y detalles de tarjetas de pago; la aplicación incluía una opción de suscripción.