有名なパスワード管理アプリ LastPass の開発者は、偽の LastPass アプリが Apple App Store でリリースされており、これはユーザーの資格情報を盗むために使用されるフィッシング アプリである可能性があると警告しました。偽アプリは、本物のアプリと似た名前、似たアイコン、赤をテーマにしたインターフェースを使用しており、ブランドの本物のデザインに非常に近いものになっています。
ただし、この偽アプリの名前は「LastPass」ではなく「LassPass」で、発行者は「ParvatiPatel」です。
このアプリには 1 件のレビューしかなく、偽物であると警告するレビューが 4 件ありますが、LastPass には 52,000 件以上のレビューがあります。
LastPass は、認証シークレットや資格情報 (ユーザー名、電子メール、パスワード) などの非常に機密情報を保存するために使用されるため、このアプリケーションはフィッシング アプリケーションとして機能し、資格情報を盗むために作成された可能性があります。
Squid はこのアプリをテストしていないため、その内部動作、潜在的なフィッシング プロセス、またはその機能に関するその他の詳細についてはわかりません。
本物の LastPass は、Web サイト上で警告を発し、データ損失のリスクを顧客に警告します。
LastPassの警告には、「不正なアプリが削除されるまで、お客様が正しいLastPassアプリをダウンロードしていることを確認できるよう、不正なアプリのURLと正規のアプリへのリンクを記載しました。LastPassは可能な限り迅速にこのアプリを削除するよう積極的に取り組んでおり、当社のアプリの不正なクローンや当社の知的財産の侵害を監視し続けることをご安心ください。」としている。
Apple の厳格なアプリ審査プロセスにより、App Store のソフトウェアがプライバシー、セキュリティ、コンテンツの高い基準を満たしていることが保証されるため、このような明らかに詐欺的なアプリが Apple App Store に登場することは非常にまれです。
このプロセスには、開発者が一連の詳細なガイドラインを遵守していることを確認するために、Apple チームによる自動チェックと手動レビューが含まれています。それでも、どういうわけか、この LastPass クローンは受け入れられました。
さらに、Apple はアプリがガイドラインに違反していることを発見すると、通常、そのアプリを App Store から削除し、開発者を禁止するという迅速な措置を講じます。ただし、この記事の公開時点では、偽の LastPass がまだ Apple App Store に存在していました。
同じ開発者は AppStore に一見正当なアプリをもう 1 つ掲載しているため、悪意のある者によってアカウントが乗っ取られた可能性は排除できません。
偽の LastPass アプリをインストールした場合は、すぐに削除し、lastpass.com でパスワードを変更する必要があります。その後、セキュリティ上の理由から、LastPass ボールトに保存されているすべてのパスワードをリセットすることをお勧めします。