잘 알려진 비밀번호 관리 앱인 LastPass의 개발자는 가짜 LastPass 앱이 Apple App Store에 출시되고 있다고 경고했습니다. 이 앱은 사용자 자격 증명을 도용하는 데 사용되는 피싱 앱일 수 있습니다. 가짜 앱은 정품 앱과 유사한 이름, 유사한 아이콘, 빨간색 테마의 인터페이스를 사용하여 브랜드의 정품 디자인과 매우 유사하게 보입니다.
하지만 이 가짜 앱의 이름은 'LastPass'가 아닌 'LassPass'이고, 퍼블리셔는 'ParvatiPatel'입니다.
이 앱에는 단 1개의 리뷰만 있고 가짜라고 경고하는 4개의 리뷰가 있는 반면 LastPass에는 52,000개 이상의 리뷰가 있습니다.
LastPass는 인증 비밀 및 자격 증명(사용자 이름/이메일 및 비밀번호)과 같은 매우 민감한 정보를 저장하는 데 사용되므로 해당 응용 프로그램은 피싱 응용 프로그램으로 작동하여 자격 증명을 훔치도록 만들어졌을 가능성이 높습니다.
Squid는 이 앱을 테스트하지 않았으므로 내부 작동 방식, 잠재적인 피싱 프로세스 또는 기능에 대한 기타 세부 정보에 대해 잘 알지 못합니다.
실제 LastPass는 웹사이트에 경고를 발행하여 고객에게 데이터 손실 위험을 경고합니다.
LastPass의 경고는 다음과 같습니다. "우리는 사기성 앱이 제거될 때까지 고객이 올바른 LastPass 앱을 다운로드하고 있는지 확인할 수 있도록 합법적인 앱에 대한 링크와 함께 사기성 앱의 URL을 포함했습니다. LastPass는 가능한 한 빨리 이 앱을 제거하기 위해 적극적으로 노력하고 있으며 우리 앱의 사기성 복제 및/또는 지적 재산권 침해를 계속 모니터링할 것입니다."
App Store의 소프트웨어가 개인 정보 보호, 보안 및 콘텐츠에 대한 높은 기준을 충족하는지 확인하는 Apple의 엄격한 앱 검토 프로세스로 인해 이러한 명백히 사기성 앱이 Apple App Store에 나타나는 경우는 극히 드뭅니다.
이 프로세스에는 개발자가 세부 지침을 준수하는지 확인하기 위한 Apple 팀의 자동 확인 및 수동 검토가 포함됩니다. 그러나 어떻게든 이 LastPass 복제품이 승인되었습니다.
또한 Apple은 앱이 지침을 위반한 것을 발견하면 일반적으로 해당 앱을 App Store에서 제거하고 개발자를 금지하는 등 신속한 조치를 취합니다. 그러나 출판 당시 Apple App Store에는 가짜 LastPass가 여전히 존재했습니다.
동일한 개발자가 AppStore에 합법적인 것으로 보이는 또 다른 앱을 보유하고 있으므로 그의 계정이 악의적인 공격자에 의해 탈취되었을 가능성도 배제할 수 없습니다.
가짜 LastPass 앱을 설치한 경우 즉시 삭제하고 lastpass.com에서 비밀번호를 변경해야 합니다. 그런 다음 보안상의 이유로 LastPass 볼트에 저장된 모든 비밀번호를 재설정하는 것이 좋습니다.