Un’app falsa nell’App Store ruba bitcoin a un utente

Un’app bitcoin fraudolenta progettata per impersonare un’app legittima ha superato il filtro di approvazione di Apple ed è apparsa sull’App Store. L’utente Phillipe Christodoulou lo ha usato per controllare lo stato dei suoi 17.1 (equivalenti a $ 600.000) e l’applicazione li ha rubati, secondo il Washington Post.

Christodoulou voleva controllare il suo saldo bitcoin a febbraio e ha cercato nell’App Store «Trezor», la società che produce il dispositivo in cui conserva la sua criptovaluta. Ha visto un’app con il logo Trezor e uno sfondo verde, quindi l’ha scaricata e ha inserito le sue credenziali.

Sfortunatamente, l’app era fasulla ed è stata progettata per apparire legittima agli occhi dei proprietari di bitcoin. L’intero saldo bitcoin di Christodoulou è stato rubato e, comprensibilmente, è arrabbiato con Apple, «Apple non merita di allontanarsi da questo», ha detto al Washington Post.

Apple avrebbe esaminato tutte le app che vengono inviate all’‌App Store‌ per impedire agli utenti iPhone di scaricare applicazioni ingannevoli, ma è noto che ci sono centinaia di applicazioni canaglia e copie di altre che hanno successo, come la falsa applicazione Trezor che è Loro » intrufolarsi» e avere conseguenze catastrofiche per gli utenti dei prodotti Apple, come nel caso in questione.

Apple afferma che la falsa app Trezor ha superato l’approvazione dell’App Store‌ utilizzando la tecnica «cheat and switch». Si chiamava Trezor e usava i colori e il logo Trezor, ma sosteneva che fosse un’app di «crittografia» per crittografare i file iPhone e salvare le password. Lo sviluppatore della falsa applicazione ha assicurato ad Apple che «non aveva nulla a che fare con le criptovalute». Una volta approvata la falsa app Trezor, ha cambiato la sua funzionalità per diventare un portafoglio per criptovalute, che Apple non ha rilevato.

Apple ha rifiutato di commentare la frequenza con cui vengono scoperte app fraudolente o la frequenza con cui vengono rimosse dall’App Store. La società ha dichiarato, tuttavia, che circa 6.500 app sono state rimosse lo scorso anno per «funzionalità nascoste o non documentate».

Apple ha riconosciuto di aver scoperto altre app fraudolente di criptovaluta nell’‌App Store‌, ma non ha fornito i numeri o se in passato ci sono state applicazioni Trezor false. Trezor non offre un’app iOS e un portavoce di Trezor ha affermato di aver informato Apple e Google che tali app canaglia esistono «da anni».

Apple non ha fornito al Washington Post  il nome dello sviluppatore della falsa app Trezor, né se lo sviluppatore aveva altre applicazioni nell'»App Store» con altri nomi, o se Apple avesse fornito il nome alle autorità. Apple afferma di aver rimosso la falsa app Trezor ed espulso lo sviluppatore una volta che la vera azienda di Trezor lo ha segnalato. Un’altra app falsa è apparsa con due giorni di ritardo e anche Apple l’ha rimossa.

Il regolatore inglese di criptovalute Coinbase afferma di aver ricevuto circa 7.000 incidenti di risorse crittografiche rubate dal 2019 e che le app false sia su Google Play Store che su «App Store» sono lamentele comuni. Infatti, (almeno) cinque persone hanno subito il furto delle loro criptovalute dalla falsa app Trezor per iOS, con perdite per 1,6 milioni di dollari.

I dati forniti da Sensor Tower suggeriscono che la falsa app Trezor era su App Store‌ dal 22 gennaio al 3 febbraio ed è stata scaricata circa un migliaio di volte. I 17,1 bitcoin che Christodoulou ha perso oggi valgono un milione di dollari e Christodoulou afferma di non aver avuto notizie da Apple finora.

Un altro utente di ‌iPhone‌ che ha perso l’equivalente di $ 14.000 nella criptovaluta Ethereum e bitcoin afferma che un rappresentante di Apple gli ha detto che Apple non è responsabile delle perdite causate dalla falsa app Trezor.

Opinione

Non possiamo sottolineare abbastanza quanto sia profonda questa situazione per Apple.

Come si suol dire, non si può essere in processione e suonare. Non puoi stare in tribunale difendendo il tuo diritto che solo il tuo negozio può essere utilizzato, perché lo controlli e ti assicuri che tutto sia sicuro e privato e poi dici che non hai alcuna responsabilità se i ladri si intrufolano nel tuo giardino.

Che Apple sia responsabile (anche se è solo una consociata, cosa che nemmeno. È direttamente responsabile) che ci siano applicazioni che rubano utenti utilizzando il suo negozio è ovvio.

Ma in questo caso, inoltre, dire che un’applicazione utilizza il logo di una società di criptovalute, i colori di una società di criptovalute, ma non è di quella società e lo sviluppatore dice che non ha nulla a che fare con le criptovalute, è dal prenderti in giro.

Con quanto Apple sia severa con la sua proprietà intellettuale, consentendo alle applicazioni non ufficiali di utilizzare loghi e combinazioni di colori che cercano in modo chiaro e inequivocabile di fuorviare l’utente, vengono pubblicati nell’App Store è come intentare una causa.

Se solo per quello, quelle app non dovrebbero mai essere approvate. Ma se un’applicazione sembra un’azienda, usa il logo e i colori dell’azienda ma lo sviluppatore dice che non ha nulla a che fare con quell’azienda, qualcuno non dovrebbe sospettare delle intenzioni dello sviluppatore? Almeno ragionevoli dubbi sul motivo per cui uno sviluppatore potrebbe voler spacciare la sua applicazione come qualcosa che non lo è…

Se Apple vuole avere un giardino privato dove tutti devono passare per poter installare cose sui propri dispositivi, ovviamente è responsabile di ciò che accade all’interno. Proprio come indossi i badge quando segnali i pagamenti che effettui agli sviluppatori che fanno soldi sul tuo App Store, devi assumerti la responsabilità quando i ladri si intrufolano che rubano ai visitatori.

In caso contrario, come affermano Fortnite e i suoi colleghi della Coalition for App Justice, sarà solo ipocrisia e un argomento vantaggioso che Apple usa quando gli fa comodo. E non ci piace quella Apple.