LastPass

Advarer mot falsk app

Lurte Apples egne folk.

FEM STJERNER: Den falske appen som utga seg for å være LastPass rakk å tuske til seg en 5-stjerners rating på App Store. Foto: Kirsti Østvang
FEM STJERNER: Den falske appen som utga seg for å være LastPass rakk å tuske til seg en 5-stjerners rating på App Store. Foto: Kirsti Østvang Vis mer
Publisert
Sist oppdatert

LastPass er en av de mest populære tjenestene for å holde styr på passord. Nå advarer skaperne mot en falsk app som har klart å lure seg inn i Apples App Store.

- Vi vil gjøre våre kunder oppmerksomme på dette for å unngå potensiell forvirring og/eller tap av personlig data, skriver LastPass i et blogginnlegg.

For å framstå mest mulig ekte, har den falske appen brukt en lik logo med de samme fargene som originalen, men går under navnet «LassPass». Oppført som utvikler står «Parvati Patel».

- Tar seg dårlig ut

Falske apper er ikke noe nytt, men ifølge sikkerhetspublikasjonen Bleeping Computer er det et sjeldent syn med en så åpenbar forfalskning på App Store med tanke på Apples strenge godkjenningsprosess.

- Denne prosessen inkluderer automatiserte kontroller og manuell gjennomgang av Apples team for å sikre overholdelse av et detaljert sett med retningslinjer som utviklere må følge. Likevel ble denne LastPass-kopien på en eller annen måte godkjent, skriver Bleeping Computer.

LastPass brukes dessuten til å samle inn sensitiv informasjon som passord, noe som gjør det ekstra bekymringsfullt.

Teknologinettstedet TechCrunch mener det tar seg dårlig ut for Apple, som har argumentert mot EUs nye digitallov hvor de blir tvunget til å åpne opp for tredjepartsappbutikker. iPhone-produsenten har vært kritisk til dette og hevder det vil gå utover sikkerheten og personvernet.

ORANSJE PRIKK: En Tiktok-bruker går nå ut og advarer iPhone-brukere. Grunnen til det er dette oransje lyset. Foto: Kirsti Østvang Video: @mrjamienyland / Tiktok Vis mer

Undersøker hva som har skjedd

Om eller hvor mye skade den falske appen rakk å gjøre, er uvisst. Den skal ha blitt lansert 21. januar, og var fortsatt tilgjengelig torsdag 8. februar. I dag, 9. februar, er den imidlertid fjernet.

Sikkerhetsselskapet Malwarebytes har også gått ut med en advarsel mot den falske appen.

- Vi har ikke testet om appen sender passordene dine til en tredjepart, men vi bør anta at den gjør nettopp det, skriver de på sin blogg.

Sikkerhetssjef i Lastpass, Christofer Hoff, sier til PCMag at selskapet er i direkte kontakt med Apple angående saken.

- Vi samarbeider med Apple for å forstå bredere hvordan en applikasjon som denne passerte deres vanligvis strenge sikkerhets- og merkebeskyttelsesmekanismer. Navnekonvensjonen, ikonografien og beskrivelsen av den svindelaktige appen er alle sterkt inspirert av LastPass, og dette ser ut til å være et bevisst forsøk på å målrette LastPass-brukere, sier Hoff til PC Mag.

Apple har foreløpig ikke kommentert saken.