知名密碼管理應用LastPass的開發商警告說,蘋果的App Store被發現有一款假冒的LastPass APP,很可能是用來竊取使用者憑證的釣魚APP。
該假冒APP使用了與正版APP相似的名稱、相似的圖示和紅色主題介面,看起來與該品牌的正版設計很是接近。
不過,這個假冒APP的名稱是「LassPass」,而不是「LastPass」,它的發佈者是「Parvati Patel」。
這款APP只有一條評價、四條評論警告說它是假的,而LastPass則有 52000 多條評價。
由於 LastPass 用於儲存非常敏感的資訊,如身份驗證秘密和憑證(使用者名稱/電子郵件和密碼),因此該應用程式很可能是為了充當釣魚應用程式和竊取憑證而建立的。
由於沒有測試過這款應用程式,因此我們不熟悉其內部運作、潛在的網路釣魚過程或有關其功能的任何其他細節。
疑為詐騙程式
真正的 LastPass 通過在其網站上發出警告,提醒客戶注意資料丟失的風險。
LastPass的警告中寫道:「我們已經附上了欺詐APP的URL以及我們合法APP的連結,這樣客戶就可以確認他們下載的是正確的LastPass APP,直到這款欺詐APP被撤下為止。LastPass 正在積極努力,以盡快撤下這款應用程式,並將繼續監控對我們應用程式的欺詐性克隆和/或對我們智慧財產權的侵犯。」
由於蘋果公司嚴格的APP審查程式,確保應用程式商店中的軟體符合隱私、安全和內容方面的高標準,因此在官方的App Store竟然出現如此明顯的欺詐性應用程式的情況非常罕見。
這一過程包括蘋果團隊的自動檢查和人工稽核,以確保開發者必須遵守一系列詳細的指導原則。然而,不知何故,這個 LastPass 克隆版卻被接受了。
此外,當蘋果發現一款應用程式違反了其指導方針時,通常會迅速採取行動,將其從 App Store 中刪除,並禁止開發者使用。不過,在本報發稿時,蘋果應用程式商店里仍然存在假冒的 LastPass。
同一開發者在 App Store 上還有另一個看似合法的應用程式,因此不能排除其帳戶被惡意行為者劫持的可能性。
如果你安裝了假冒的 LastPass 應用程式,應立即刪除它,並在 lastpass.com 上更改密碼。然後,為了安全起見,建議執行重設儲存在 LastPass 庫中的所有密碼。
- 延伸閱讀:保護你密碼安全的資料庫不安全,LastPass 官方承認駭客竊取了使用者姓名、地址、電話等資訊
- 延伸閱讀:密碼管理工具LastPass也學套養殺,3月16日起手機/電腦只能選一用、除非你給錢
- 延伸閱讀:幫你管理所有密碼的 LastPass 網站被駭了,但他說:別擔心,換個密碼就好
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!