شق مطور LastPass مزيف طريقه إلى متجر التطبيقات – لكن الأمور قد تكون في الواقع أسوأ بكثير – TechToday
يشعر الناس بالقلق، وأنا أعلم أنني كتبت عن كيف أن سماح Apple للتطبيقات المحملة جانبيًا، كما هو على وشك أن تفعل في أوروبا مع iOS 17.4، يمكن أن يؤدي إلى وصول تطبيقات خطيرة مليئة بالبرامج الضارة إلى أفضل جهاز iPhone لديك. ولكن اتضح أن ضوابط وأرصدة متجر التطبيقات الصارمة من Apple ليست مثالية تمامًا أيضًا.
في وقت سابق من هذا الأسبوع، علمنا من نظام إدارة كلمات المرور الشهير LastPass أن هناك تطبيقًا احتياليًا ينتحل صفة التطبيق الخاص به في متجر تطبيقات Apple. المطور، المدرج باسم هاري بوتر لم تكن شخصية بارفاتي باتيل دقيقة تمامًا. سيظهر البحث عن “Lastpass Password Manager”، جنبًا إلى جنب مع التطبيق الشرعي، تطبيق Patel الذي يحمل شعارًا، على الرغم من اختلافه، يمكن بسهولة الخلط بينه وبين شعار LatPass الحقيقي. كما أنها استخدمت أيضًا مجموعة من لقطات الشاشة التي تشبه إلى حد كبير نظام إدارة كلمات مرور الهاتف المحمول الخاص بـ LastPass.
وقد نبه LastPass العملاء إلى التطبيق المزيف في منشور على مدونة بتاريخ 7 فبراير/شباط، ووعد “بمواصلة مراقبة النسخ الاحتيالية لتطبيقاتنا و/أو الانتهاكات لملكيتنا الفكرية”.
وفي وقت كتابة هذه السطور، كانت التطبيقات قد اختفت من متجر التطبيقات. لقد بحثت أيضًا في Google Play، ولحسن الحظ لم أتمكن من العثور على تطبيق LastPass احتيالي مماثل.
يظهر التطبيق
باعتباري أحد عملاء LastPass منذ فترة طويلة، شعرت بالفزع. لم تكن هذه مجرد ماكينة قمار مزيفة أو تطبيق إخباري؛ يدير LastPass جميع كلمات المرور الخاصة بي (وكلمات المرور الخاصة بملايين العملاء الآخرين)، وهو ما يعني، في حياتي على الأقل، أنه يمتلك مفاتيح المملكة. ليس لدي أي فكرة عن كيفية عمل برنامج LastPass المزيف، أو لم يعمل، ولكن إذا قام شخص ما بتنزيله وبدأ استخدامه كما لو كان الشيء الحقيقي، فمن الممكن على الأقل أن يتنازل عن كلمة مرور LastPass الرئيسية الخاصة به إلى مؤسسة إجرامية.
لن يقتصر هذا التطبيق على جذب عملاء LastPass الجدد فحسب، بل العملاء الحاليين أيضًا. لنفترض أنك حصلت على جهاز iPhone جديد ويجب عليك إعادة تثبيت جميع تطبيقاتك الأساسية. إذا لم تكن منتبهًا جيدًا – وهو أمر كان يعتمد عليه “Parvati Patel” – كان من الممكن أن تقوم بتنزيل التطبيق المزيف والبدء في استخدامه، ومن المحتمل أن يؤدي ذلك إلى نتائج كارثية.
ليس من المفترض أن يتم تطبيق مثل هذه التطبيقات عبر طبقات الأمان الخاصة بشركة Apple. ما أفهمه من عملية التحقق من تطبيقات Apple هو أنها عبارة عن حلقة مغلقة تتضمن عمليات فحص مهمة. يزود مطورو iOS المسجلون شركة Apple، وفقًا لصفحة دعم برنامج المطورين الخاصة بها: “المعلومات المرتبطة بمعرف Apple الخاص بك، بما في ذلك اسمك وعنوان بريدك الإلكتروني وعمرك ورقم هاتفك واللغة المفضلة والبلد أو المنطقة، لإنشاء حساب المطور الخاص بك والمحافظة عليه. وتزويدك بميزات برنامج مطوري Apple.
ماذا قدم باتيل – غرام البومة من هوجورتس؟
بيت القصيد من عدم السماح للتطبيقات ذات التحميل الجانبي هو أن التطبيقات المزيفة والخطيرة لا يمكنها أن تشق طريقها إلى المستخدمين النهائيين، وخاصة التطبيقات التي تنتحل صفة التطبيقات المشروعة بشكل صارخ – على الأقل اعتقدت أن هذا هو الهدف. ألا تستطيع شركة Apple إجراء فحص بسيط للاسم قبل نشر LastPass المزيف للعامة؟ ومن المؤكد أن النظام قد لاحظ هذا التناقض.
تعويذة حماية أبل
سألت شركة Apple عن كيفية وصول هذا التطبيق المحتال إلى نظام التحقق من المطور والتطبيق. وأكدت شركة Apple أنها أزالت التطبيق، ونعم، تمت إزالة “Parvati Patel” من برنامج Apple Developer الخاص بها. بالطبع، بما أن هذا ليس الاسم الحقيقي للمطور بالتأكيد، يجب أن أفترض أن باتل سيظهر قريبًا كمطور جديد اسمه “Ludo Bagman”.
من حق شركة Apple إزالة التطبيق وPatel لأنه، كما لاحظت شركة Apple، يعد انتحال صفة تطبيقات أخرى مخالفًا للقواعد.
ومع ذلك، يبدو أنه إذا فشل نظام التدقيق الخاص بشركة Apple، فقد يكون الأمر متروكًا لشركات مثل LastPass (المملوكة للمطور LogMeIn) لتسجيل نزاع في عملية نزاع المحتوى الخاصة بشركة Apple. أبلغ LastPass عن القيام بذلك في 7 فبراير.
لم توضح شركة Apple أبدًا سبب فشل نظامها، لكنها أشارت إلى جهودها لجعل متجر التطبيقات مساحة آمنة للمطورين والمستهلكين. ومع ذلك، من الواضح أن هذه المساحة المربحة للغاية تتعرض لهجوم مستمر، ومن المدهش أننا لا نرى الكثير من التطبيقات المزيفة في متجر التطبيقات.
أبلغت الشركة عن إيقاف ما لا يقل عن 2 مليار دولار من المعاملات الاحتيالية في متجر التطبيقات في عام 2022، وعلى الرغم من فشل LastPass، فقد رفضت Apple حتى الآن ما يقرب من مليوني تطبيق لأنها لا تلبي معايير السلامة والجودة الخاصة بشركة Apple.
أبلغت شركة Apple أيضًا عن إبعاد 153000 تطبيق من عمليات إرسال التطبيقات التي كانت غير مرغوب فيها أو مضللة أو بالطبع تطبيقات مقلدة. وقد أدى هذا النوع من النشاط إلى إنهاء ما يقرب من نصف مليون حساب للمطورين.
النقطة المهمة هي أن شركة Apple تقوم بهذا العمل. هل هذا يكفي؟ بالنسبة لأي شخص تمكن من تنزيل واستخدام تطبيق LastPass المزيف قبل أن يلاحظه LastPass وApple، ربما لا.
في حين أن حلقة تطبيق LastPass المزيفة محبطة، فإن حجم العمل الذي تقوم به Apple لوقف المزيد من عمليات الاحتيال في التطبيقات يعزز اعتقادي بأن التحميل الجانبي لتطبيق iPhone المفتوح بالكامل سيكون كارثة تامة. إذن هذا هو الحال.