App Store, attenzione alle app truffa

Aggiornamento dell’8 aprile 2021

E meno male che App Store era “un ambiente sicuro e affidabile.”Dopo l’app BitCoin farlocca che ha ingannato revisori e utenti e che è fuggita con un malloppo oltre 1,6 milioni di dollari, ora spunta un’altra truffa: una VPN con ottime recensioni che però ruba gli 89,99€ di abbonamento senza offrire nulla in cambio.

Il Falso Wallet Bitcoin

Tutto è iniziato nei giorni scorsi, con un’app chiamata Trezor, un nome che non è stato scelto a caso; è infatti la medesima marca dell’hardware (autentico e di qualità) su cui un utente – G. Christodoulou- conservava il proprio tesoretto in BitCoin. Riconoscendo il logo e brand, e fidandosi ciecamente delle politiche di App Store, l’uomo ha scaricato l’app e ha inserito le proprie credenziali senza pensarci troppo su.

Il problema è che l’applicazione era progettata in tutto e per tutto per sembrare autentica, e così nel giro di pochi istanti, tutti i suoi fondi sono stati prosciugati e trasferiti altrove. Uno scenario che pare si sia ripetuto con altri 4 utenti, per un totale di oltre 1,6 milioni di dollari rubati; e non è andata neppure troppo male, se consideriamo che l’app è stata scaricata 1.000 volte.

Non appena si sono accorti della cosa (su segnalazione della vera Trezor, tra l’altro), gli ingegneri Apple hanno subito bloccato l’app in questione, e hanno bannato lo sviluppatore che l’aveva creata. Dopodiché, ha fatto capolino un’altra app farlocca simile, e Apple ha defenestrato pure quella.

Non sappiamo se sia stata sporta denuncia, né conosciamo i nomi degli sviluppatori coinvolti; Apple sta tenendo un profilo stranamente basso a riguardo. È noto però che si sia trattato di una truffa di tipo “bait-and-switch.” In altre parole, gli sviluppatori si erano presentati formalmente con un’app di “crittografia non coinvolta con le criptovalute” per conservare file e password su iPhone; dopo la pubblicazione su App Store, tuttavia, ne hanno modificato il codice per trasformarla in un wallet di criptovalute. E così è sfuggita ai radar della mela.

La Finta VPN [Agg.]

Di recente, su App Store era comparsa un’altra app chiamata “Privacy Assitant: StringVPN” che in teoria offriva un “servizio VPN completo” e “sicuro”, dotato di un punteggio di 3.5/5 e ben 104 recensioni. In alcuni dei commenti si leggeva che l’app è “perfetta” e che offre la “migliore esperienza di tutte.” La realtà però era molto diversa.

I truffatori infatti hanno copiato sfacciatamente il codice di una vera app VPN e l’hanno usato per creare una seconda app farlocca che invece non offriva alcun servizio. Il camuffamento però è stato sufficiente per ingannare l’algoritmo di verifica dell’App Store, che gli ha assegnato non soltanto il punteggio ma perfino la posizione in classifica dell’app originale. Prima di essere rimossa da Apple, il titolo malevolo fatturava oltre  1 milione di dollari al mese ed era in 32esima posizione nella categoria Utility di App Store.

Risultato: gli utenti pagavano gli 89,99€ di abbonamento annuale credendo di acquistare un servizio valido, e invece si ritrovavano col portafoglio più leggero, senza VPN e soprattutto senza possibilità di contattare lo sviluppatore (nei dettagli di contatto c’erano infatti una mail e un dominio finti, ma nessuno a Cupertino aveva verificato).

Apple ha promesso di restituire i soldi agli utenti coinvolti, ma non è la prima volta che qualcosa del genere accade, e a questo punto il mito del luogo sicuro da cui scaricare software appare seriamente compromesso.

Pesanti Critiche

Meghan DiMuzio, responsabile della Coalition of App Fairness che preme per una maggiore trasparenza e libertà di scelta nell’ecosistema delle app mobili, ha affermato che “Apple spinge sul mito della privacy e della sicurezza come scudo per le sue pratiche anti-competitive su App Store.” Le regole, ha chiosato, “vengono applicate in modo non omogeneo tra le app, e soltanto quando vanno a vantaggio di Apple.”

Sentito dal Washington Post, un portavoce Apple non ha risposto direttamente alle critiche: “molti studi confermano che App Store è il marketplace delle app più sicuro al mondo, e siamo costantemente al lavoro per mantenere tali standard e irrobustire ulteriormente le protezioni di App Store. Nei pochi causi in cui i criminali defraudano gli utenti, interveniamo immediatamente per prevenire simili azioni in futuro.”

Inoltre, esiste anche un’altra questione, sollevata indirettamente da Epic Games. Ogni volta che un’app farlocca froda gli utenti, Apple incassa una commissione del 30% e ciò la pone in una posizione davvero sgradevole. Poi, per carità, ovvio che il business di Apple sia costruito sulla fiducia, e che un guadagno fatto con modalità del genere arrechi più danni che benefìci soprattutto sul medio e lungo periodo.

Ma la questione della sicurezza resta, e non sarà di facile risoluzione. Tenetelo bene a mente, la prossima volta che scaricate un’app su iPhone e iPad.