У юзера Trezor украли 17.1 BTC через жульническое приложение в App Store — Bits Media

Создатель Victoria Grain Юзер кошелька Trezor растерял 17.1 BTC, стоящих на данный момент практически $1 млн, опосля скачки поддельного приложения в магазине Apple App Store.

В прошедшем месяце Филипп Христодулу (Phillipe Christodoulou) решил проверить свои биткоины, хранившиеся на аппаратном кошельке Trezor. Для этого юзер скачал мобильное приложение в App Store. Но опосля загрузки приложения и введения учетных данных он нашел, что его 17.1 BTC украдены. Тогда они стоили около $600 тыщ, на данный момент же их стоимость близка к $1 млн. 

Скачанное приложение оказалось подделкой, невзирая на оценку в 5 звёзд. Позже Христодулу опять зашел в App Store, чтоб наиболее пристально изучить отзывы. До того, как поддельное приложение Trezor было удалено из App Store, оно имело 155 отзывов с высочайшими оценками. Но когда Христодулу открыл письменные отзывы, он узрел жалобы от остальных людей, которых околпачили таковым же образом. Выходит, что пятизвездочные рейтинги тоже были липовыми. Но самое увлекательное — что мобильного приложения для Trezor от разрабов кошелька совершенно не существует.

Христодулу произнес, что обижен на Apple больше, чем на самих жуликов. Apple позиционирует App Store как неопасную площадку для покупки приложений, каждое из которых проходит кропотливую проверку. Apple гарантировала сохранность, надёжность, полезность и неповторимость всех материалов, размещаемых на App Store. Компания также заявляет, что комиссии в размере от 15% до 30%, взимаемые со всех торговых сделок в App Store, употребляются для улучшения уровня обслуживания клиентов.

«Когда-то я был неизменным клиентом Apple, но сейчас я больше не восхищаюсь данной для нас компанией. Apple кинула моё доверие, и произошедшее не обязано сойти данной для нас компании с рук», — произнес пострадавший юзер.

Сотрудник Apple Фред Сайнц (Fred Sainz) дал ответ, что доверие юзеров закладывает базу для бизнеса. Бессчетные исследования обосновывают, что App Store – один из самых неопасных рынков приложений в мире, и Apple повсевременно работает над поддержанием собственных эталонов и усилением защиты App Store. Но в неких вариантах правонарушителям удаётся одурачить компанию и юзеров. Потому Apple воспринимает оперативные меры против злоумышленников, чтоб предупредить подобные нарушения в дальнейшем.

Apple признала, что в App Store появлялись и остальные жульнические приложения для работы с криптовалютами. Но компания не объяснила, появлялись ли ранее поддельные приложения Trezor в App Store, и будут ли новейшие приложения под заглавием Trezor отмечаться как жульнические. Apple также не именовала имя разраба поддельного приложения Trezor и не предоставила его контактную информацию. Непонятно, передала ли компания эти данные правоохранительным органам, и будет ли проводиться предстоящее расследование в отношении этого разраба. Apple также не сказала, создавал ли он остальные приложения, и может ли этот жулик действовать под иными учётными записями на площадке.

Специалисты считают, что по сути жуликам просто обойти правила Apple. Злоумышленники могут отправлять на утверждение полностью безопасные приложения, а потом заносить в их конфигурации, нужные для проведения фишинговых атак. Когда Apple узнаёт о этом, компания удаляет такие приложения и заносит их разрабов в «темный перечень». К огорчению, для людей, «попавшихся на удочку жуликов», становится уже очень поздно. Способность приложений преобразовываться во вредные программки опосля одобрения App Store, вызывает огромное количество вопросцев о эффективности проверок Apple. К тому же, компания не докладывает, как нередко возникают такие жульнические «продукты», и как стремительно они удаляются. При всем этом понятно, что в прошедшем году было удалено около 6500 приложений из-за «укрытых либо недокументированных функций».

Исполнительный директор Coalition for App Fairness Меган ДиМузио (Meghan DiMuzio) считает, Apple может распространять неверную информацию о конфиденциальности и сохранности юзеров. По словам ДиМузио, Apple непоследовательно применяет свои эталоны сохранности к приложениям, и делает это только тогда, когда это приносит выгоду Apple.

Английская компания Coinfirm, расследующая криптовалютные мошенничества, сказала, что с октября 2019 года получила наиболее 7000 жалоб о похищении цифровых активов. Пострадавшие юзеры употребляли липовые приложения, приобретенные в Гугл Play Store и Apple App Store. Компания Coinfirm сказала, что уже 5 человек пользовались поддельным приложением Trezor для iOS, а их общие утраты составили $1.6 млн. Также в компанию поступали сообщения от людей, которые скачали вредное приложение Trezor для Android, опосля что утратили криптовалюты на общую сумму $600 000.

Trezor — 1-ый и самый узнаваемый производитель аппаратных кошельков. Но у него нет мобильного приложения, хотя компания начала над сиим работать. Представитель Trezor Кристина Мазанкова сказала, что компания уже  не один раз уведомляла Apple и Гугл о поддельных приложениях, появляющихся в их магазинах приложений. Но процесс коммуникации осложняется тем, что Apple и Гугл не поддерживают контакт. Мазанкова произнесла, что 1 февраля Trezor уведомил Apple о возникновении поддельного приложения, и Apple удалила его только 3 февраля. Но приложение вновь возникло уже через некоторое количество дней.

По ориентировочным данным Sensor Tower, жульническое приложение Trezor находилось в Apple App Store с 22 января по 3 февраля и было скачано около 1000 раз. Инженер из штата Джорджия Джеймс Файц (James Fajcz) тоже сказал о краже криптоактивов опосля загрузки подобного приложения. В декабре он купил BTC и ETH на $14 000 и решил хранить их на аппаратном кошельке Trezor. Позже он скачал жульническое приложение Trezor, которое запрашивало секретную фразу (seed). По словам юзера, приложение не подключалось к кошельку Trezor, потому инженер решил, что оно не работает. Через несколько недель он купил еще эфиры, но подключившись к собственному Trezor нашел, что там ничего нет.

«Узнав, что приложения Trezor по сути не существует, моя челюсть свалилась на пол. Я сообразил, что натворил. Как это скверное приложение попало на платформу App Store, претендующую на звание наилучшего и самого надежного магазина приложений? Apple обязана нести за это ответственность», — произнес пострадавший.

Аналитическая компания Chainalysis узнала, что криптоактивы Файца и Христодулу были бы украдены одними и теми же злодеями. Компания отыскала свидетельства того, что это большая афера, приносящая миллионы баксов. Христодулу до сего времени не оправился от произошедшего и сейчас обязан принимать лекарства и обращаться к психологу.

Отметим, что обладатели кошельков Ledger тоже нередко стают жертвами фишинговых атак, утратив наиболее 1 150 000 XRP.

Источник

Author: Zero