Поддельные приложения для кошельков Bitcoin регулярно просачиваются через процесс проверки App Store от Apple, подвергая риску взлома учетные записи пользователей и кражи их криптовалюты.
Об этом сообщают разработчики приложения Breadwallet, по оценкам которых поддельные кошельки в App Store уже привели к потере пользователями цифровой валюты на сумму до 20 000 долларов США.
Подозрительные приложения были впервые выявлены компанией в посте на Reddit, где пользователей предупреждали, что как минимум восемь поддельных кошельков в App Store использовали те же или очень похожие названия, что и существующие официальные мобильные кошельки.
Мошеннические приложения, по-видимому, копировали части исходного кода, значки и графику легитимных приложений, чтобы обмануть пользователей, заставив их поверить, что они используют официальные кошельки.
Breadwallet обнаружила поддельную версию своего собственного приложения, которая была добавлена в App Store 29 июля, используя то же название и значок, что и официальная версия. Компания немедленно приняла меры и связалась с Apple для удаления проблемного приложения после того, как клиенты по ошибке загрузили подделку и сообщили о краже средств.
«Мы разговаривали с одним клиентом, который утверждает, что потерял около 10 000 долларов, и, если мы посмотрим на адрес кошелька, куда были депонированы эти средства, то, по последним данным, на этом адресе было 20 000 долларов», — сообщил соучредитель Breadwallet Аарон Войсин в интервью изданию Motherboard. «Так что это наша текущая оценка того, сколько потеряли клиенты».
С тех пор Apple удалила проблемные приложения, перечисленные Breadwallet, но их появление в App Store заставило разработчиков и пользователей кошельков Bitcoin усомниться в надежности процесса проверки финансовых приложений Apple.
«Я думаю, было бы хорошо, если бы Apple проводила дополнительную проверку, чтобы убедиться в личности человека, размещающего любое приложение в разделе финансов», — сказал Войсин.
Джон Касаретто, основатель компании по сертификатам безопасности SSL BlackCert, сообщил изданию SiliconANGLE, что сертификаты подписи разработчиков приложений, программа Apple Developer Program и процесс проверки приложений были сведены на нет горсткой вредоносных приложений, которые недавно появились в магазине.
«Долгое время казалось, что строгий контроль Apple над своей экосистемой является достаточно непробиваемой мерой против злонамеренных приложений, вредоносного ПО и мусора», — сказал Касаретто. «Очевидно, что это больше не так».
