Getty Images
Alors qu’Apple a intensifié la promotion de son App Store en tant que source d’applications plus sûre et plus fiable, ses opérateurs se sont empressés jeudi de corriger une menace majeure qui pèse sur ce récit : une liste qui, selon LastPass, fabricant de gestionnaire de mots de passe, était une « application frauduleuse usurpant l’identité ». sa marque.
Au moment de la mise en ligne de cet article sur Ars, Apple avait supprimé l’application, intitulée LassPass et portant un logo étonnamment similaire à celui utilisé par LastPass, de son App Store. Dans le même temps, Apple a autorisé le maintien d’une application distincte soumise par le même développeur. Apple n’a fourni aucune explication sur la raison de la suppression de l’ancienne application ou du maintien de la seconde. (Voir la mise à jour en bas.)
Apple met en garde contre les « nouveaux risques » liés à la concurrence
Cette décision intervient alors qu’Apple a intensifié ses efforts pour promouvoir l’App Store comme une alternative plus sûre aux sources concurrentes d’applications iOS récemment mandatées par l’Union européenne. Dans une interview avec Phil Schiller, responsable de l’App Store, publiée ce mois-ci par FastCompany, Schiller a déclaré que les nouveaux magasins d’applications « apporteront de nouveaux risques » – notamment la pornographie, les discours de haine et d’autres formes de contenu répréhensible – qu’Apple a longtemps tenu à distance.
« Je n’ai aucun scrupule à dire que notre objectif sera toujours de faire de l’App Store l’endroit le plus sûr et le meilleur pour que les utilisateurs puissent obtenir des applications », a-t-il déclaré à l’écrivain Michael Grothaus. « Je pense que les utilisateurs – et l’ensemble de l’écosystème des développeurs – ont bénéficié du travail que nous avons effectué avec eux. Et nous allons continuer à le faire.
D’une manière ou d’une autre, le processus de vérification des applications d’Apple, vanté depuis longtemps même si Apple a fourni peu de détails, n’a pas réussi à repérer le sosie de LastPass. Apple a supprimé LassPass jeudi matin, deux jours après avoir signalé l’application à Apple et un jour après avoir averti ses utilisateurs que l’application était frauduleuse.
« Nous portons ce problème à l’attention de nos clients pour éviter toute confusion potentielle et/ou perte de données personnelles », a écrit Mike Kosak, analyste principal du renseignement chez LastPass.
Il est indéniable que le logo et le nom étaient étonnamment similaires aux noms officiels. Vous trouverez ci-dessous une capture d’écran de l’apparition de LassPass, suivie de la liste officielle LastPass :
Ici hier, parti aujourd’hui
Thomas Reed, directeur des offres Mac chez la société de sécurité Malwarebytes, a noté que l’entrée LassPass dans l’App Store indiquait que la politique de confidentialité de l’application était disponible sur bluneel.[.]com, mais que la page avait disparu jeudi et que la page principale affiche une page de destination générique. Les enregistrements Whois indiquent que le domaine a été enregistré il y a cinq mois.
Rien n’indique que LassPass ait collecté les informations d’identification LastPass des utilisateurs ou copié les données stockées. L’application fournissait cependant des champs permettant aux utilisateurs de saisir une multitude d’informations personnelles sensibles, notamment des mots de passe, des adresses e-mail et physiques, ainsi que des données bancaires, de crédit et de débit. L’application proposait une option pour les abonnements payants.
Un représentant de LastPass a déclaré que la société avait pris connaissance de l’application mardi et avait concentré ses efforts sur sa suppression plutôt que sur l’analyse de son comportement. Les responsables de l’entreprise ne disposent pas d’informations précises sur ce que LassPass a fait lors de son installation ou lors de sa première apparition dans l’App Store.
L’App Store continue d’héberger une application distincte du même développeur qui est simplement répertorié sous le nom de Parvati Patel. (Une recherche rapide sur Internet révèle de nombreuses personnes portant le même nom. Pour le moment, il n’a pas été possible d’identifier la personne spécifique.) L’application distincte s’appelle PRAJAPATI SAMAJ 42 Gor ABD-GNR et une politique de confidentialité correspondante (sur psag42[.]in/policy.html) est daté de décembre 2023. Il est décrit comme une « application pour l’application Ahmedabad-Gandhinager Prajapati Samaj » et en outre comme une « plateforme pour la communauté ». L’application a également été récemment répertoriée sur Google Play, mais n’était plus disponible au téléchargement au moment de la publication. Les tentatives pour contacter le développeur ont échoué.
Rien n’indique que l’application distincte enfreint une politique de l’App Store. Les représentants d’Apple n’ont pas répondu à un e-mail posant des questions sur l’incident ou sur son processus ou ses politiques de vérification.
Mise à jour du 9/02/2024, 11h33 : Un représentant Apple a envoyé un e-mail pour fournir des informations à condition qu’elles ne soient pas citées :
Apple a supprimé l’application pour violation d’une directive de l’App Store concernant les « applications copiées ». Apple prévoit également de supprimer le développeur du programme pour développeurs Apple. Le représentant a également fourni des liens vers la directive 4.1 sur l’examen de l’App Store et le processus de contestation de contenu.