Fake LastPass password manager spotted on Apple’s App Store
2024/02/08 BleepingComputer — LastPass が警告するのは、Apple App Store で同社のアプリの偽コピーが 配布されており、ユーザーの認証情報を盗むためのフィッシング・アプリとして使用されている可能性が高いというものだ。この偽アプリは、本物アプリと似た名前/似たアイコン/赤を基調としたインターフェイスを使用し、LastPass ふうのデザインで欺く。しかし、この偽アプリの名前は “LastPass” ではなく “LassPass” であり、発行者は Parvati Patel となっている。
さらに、評価は1つしかなく、偽物であることを警告するレビューは4つしかない。ちなみに、本物の LastPass に対する評価は、52,000 以上もある。
.png)
Source: BleepingComputer
LastPass は、認証情報であるユーザー名/メールアドレス/パスワードなどの、非常に機密性の高い情報を保存するために使用される。したがって、この偽アプリは、フィッシング・アプリとして動作し、認証情報を盗むために作成された可能性が高い。
BleepingComputer は、このアプリをテストしていないため、その内部構造/潜在的なフィッシング・プロセスなどの機能について、詳細を把握していない。
本物の LastPass は、Web サイト上のアラートを通じて、このクローン。アプリの存在を警告し、データ損失のリスクに対する注意を喚起している。
LastPass は、「この不正アプリが削除されるまで、ユーザーが正しい LastPass アプリを確実にダウンロードできるよう、不正アプリの URL と正規アプリへのリンクを記載しました。当社としては、可能な限り早急に、この偽アプリを削除するよう積極的に取り組んでいる。今後も引き続き、当社アプリの不正クローンや知的財産の侵害を監視していく」と述べている。
このような、明らかに詐欺的なアプリが、Apple App Store に掲載されることは、非常に稀なケースである。Apple の厳格なアプリ審査プロセスにより、App Store に掲載されるソフトウェアは、プライバシー/セキュリティ/コンテンツに関する高い基準を満たしていることが保証されている。
このプロセスには、Apple のチームによる自動チェックと手動レビューが含まれ、開発者が従うべき詳細なガイドラインに準拠していることが確認される。しかし、どういうわけか、この LastPass クローンは受け入れられた。
通常では、Apple はガイドラインに違反するアプリを発見すると、迅速に App Store から削除し、開発者を追放する。しかし、この記事が掲載された時点でも、この偽 LastPass は、Apple App Store で入手可能な状態にある。
“LassPass” の開発者とされる人物は、App Store に合法と思われるアプリも公開しているため、悪意の人物にアカウントを乗っ取られた可能性も否定できない。
偽の LastPass アプリをインストールしてしまった場合は、直ちに削除し、lastpass.com でパスワードを変更してほしい。その後も、安全のため、LastPass の保管庫に保存されている、すべてのパスワードをリセットすべきである。大変な作業になるが、それを行うことを推奨する。
BleepingComputer は、偽 LastPass アプリについて Apple に問い合わせたが、すぐには回答が得られていない。
とんだ災難の LastPass ですが、Apple も Apple ですよね。いったい、どうしてしまったのでしょうか? このところ、Google Play や Apple App Store の記事が少ないと感じますが、いちいち記事にするほどものでも無いという状況なのでしょうか? このような、LastPass” と “LassPass” みたいな罠があるので、アプリのダウンロードには、くれぐれもご注意ください。よろしければ、LastPass で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.