Un’app-truffa progettata per sembrare la vera app di un’azienda legate alle criptovalute e accettata sull’App Store da Apple, è finita per costare 17,1 bitcoin ad un utente di iPhone che si chiama Phillipe Christodoulou, valore corrispondente a più di 600.000$ al momento del furto.
A riferirlo è The Washington Post, spiegando che Christodoulou a febbraio voleva controllare il suo saldo in bitcoin e ha cercato sull’App Store un’app denominata “Trezor”, nome di un’azienda che produce un portafoglio hardware per criptovalute; l’utente ha visto un’app con il logo del lucchetto di Trezor su sfondo verde, l’ha scaricata e ha indicato le sue credenziali.
L’app era falsa, progettata da scammer per sembrare legittima e ingannare i possessori di bitcoin. Christodoulou ha visto sparire il saldo totale di bitcoin e punta il dito contro Apple che a suo dire non può fare finta di nulla.
Prima di distribuire le app, Apple le valuta per impedire lo scaricamento e la diffusione di app-truffa, ma può capitare che un’app sfugga ai controlli o attivi comportamenti anomali di cui i revisori non sono in grado di tenere conto nelle fasi di analisi e approvazione.
Secondo Apple, la finta app Trezor finita sull’App store era usata come specchietto per le allodole: usava il nome Trezor, il logo di quest’ultima azienda e i suoi colori, ed era presentata come un’app di crittografia, per conservare file e password. Lo sviluppatore dell’app aveva riferito a Apple che la sua app non aveva a che fare con le criptovalute; dopo l’approvazione dell’app sull’App Store, l’app si è trasformata in un wallet per le criptovalute, un comportamento che Apple non è stata in grado di individuare.
Meghan DiMuzio, direttrice esecutiva della Coalition of App Fairness, una organizzazione di sviluppatori uniti contro Apple principalmente per le commissioni e le regole di App Store, approfitta dell’accaduto per puntare il dito controlo la Mela che, a suo dire, spinge il mito della privacy dell’utente e della sicurezza come scudo per pratiche anticoncorrenziali sull’App Store e riferendo che gli standard di sicurezza di Apple non sono eterogenei tra le varie app e “applicati solo quando a trarne beneficio è Apple”.
Fred Sainz, portavoce di Apple, ha riferito al Washington Post che l’azienda attua provvedimenti tempestivi quando vengono individuate app che frodano gli utenti. “La fiducia degli utenti è alla base del perché abbiamo creato l’App Store, e negli anni seguenti non abbiamo fatto altro che approfondire l’impegno”, dice Sainz. “Diversi studi hanno mostrato che l’App Store è il marketplace più sicuro al mondo, e lavoriamo costantemente per mantenere alti gli standard e rafforzare ulteriormente le protezioni dell’App Store. In casi limitati nei quali criminali riescono a frodare nostri utenti, intraprendiamo azioni rapide contro tali soggetti oltre a impedire il verificarsi di simili violazioni in futuro”.
Macrumors riferisce che Apple non ha indicato quanto spesso si trovano app-truffa sull’App Store e quante di queste siano state rimosse; Cupertino ha ad ogni modo riferito che lo scorso anno sono state rimosse circa 6500 app per l’uso di funzionalità “nascoste o non documentate”.
Sono state in passato individuate altre app legate a truffe con le criptovalute e bisogna fare attenzione prima di indicare le proprie credenziali a chicchessia. Trezor, tra l’altro, non offre nessuna app e questa azienda riferisce che “da anni” ha segnalato sia a Apple, sia a Google, l’esistenza di finte app che usano il suo nome e il suo logo.
Apple non ha indicato il nome dello sviluppatore della finta app Trezor, se questo ha pubblicato altre app sull’App Store e se la questione è nelle mani delle forze dell’ordine; l’azienda ha riferito di avere rimosso l’app dopo la segnalazione dell’azienda Trezor; una simile app è apparsa due giorni dopo sull’App Store e Apple ha rimosso anche questa.
Coinbase, piattaforma per l’acquisto e scambio di criptovaluta, riferisce che dal 2019 ha ricevuto oltre 7000 richieste di accertamenti per furti di criptovalute e che una delle lamentele ricorrenti è la presenza di app di scamming presenti su Google Play e App Store. Di fatto, cinque persone lamentano il furto di criptovalute con l’app Trezor per iOS, per una perdita totale di 1,6 milioni di dollari.
Secondo le analisi di Sensor Tower, la finta app Trezor è rimasta sull’App Store dal 22 gennaio al 3 febbraio, ed è stata scaricata circa 1000 volte. I 17,1 bitcoin persi da Christodoulou valgono nel momento in cui scriviamo 855.877 euro; ad un diverso utente che ha perso circa 14.000$ tra Ethereum e bitcoin, un portavoce di Apple avrebbe comunicato che l’azienda non è responsabile delle perdite subite indicando le proprie crerdenziali a questo tipo di app.
Truffe che riguardano le criptomonete stanno diventando sempre più sofisticate e convincenti. Gli scammer sono arrivati anche a pubblicare tweet spacciandosi per amministratori delegati di grandi aziende come Elon Musk, CEO di Space X e Tesla, facendo credere che regalasse Ethereum in occasione del lancio del nuovo razzo Space X o per la produzione di una nuova Tesla.
