Publicidad de aplicaciones de autenticación no autorizadas en la App Store; roba códigos QR

Actualización: Apple ahora eliminó las aplicaciones Scam Authenticator de la App Store; consulte el final del artículo. El último movimiento estúpido de Twitter ha dado lugar a una serie de aplicaciones de autenticación no autorizadas, al menos una de las cuales utiliza anuncios de la App Store para aparecer de manera destacada en los resultados de búsqueda, y luego envía cualquier código QR escaneado al servicio de análisis del desarrollador. Hay una gran cantidad de otros que parecen ser gratuitos pero luego requieren compras dentro de la aplicación para escanear códigos QR…

Twitter despierta interés en los autenticadores

Twitter tuvo la brillante idea la semana pasada de vender la seguridad de la cuenta como un servicio pago al colocar la autenticación de dos factores (2FA) basada en SMS detrás de Twitter Blue Paywall.

A partir del 20 de marzo, Twitter comenzará a requerir que Twitter Blue use la autenticación de dos factores a través de SMS. El cambio anunciado oficialmente hoy es sin duda un gran paso. Twitter dice que simplemente deshabilitará la autenticación de dos factores para cualquier persona que todavía use claves de SMS y no pague Blue a partir del 20 de marzo.

No hay premios para adivinar de quién fue la idea. Es cierto que SMS 2FA es terrible y deja todas sus cuentas seguras vulnerables a los ataques de intercambio de SIM. Si Twitter simplemente dejara de admitirlo y exigiera que todos usaran una aplicación de autenticación, eso sería una cosa. En cambio, Twitter da la impresión de que los SMS son una opción premium al cobrar por ellos.

Aplicaciones de autenticación no autorizadas

Esto ha creado la oportunidad perfecta para que las aplicaciones de autenticación no autorizadas roben su dinero, o incluso sus cuentas, a los no expertos en tecnología. Desarrollador e investigador de seguridad Mysk visto rápidamente una gran cantidad de aplicaciones sospechosamente similares, todas las cuales requieren una compra de suscripción en la aplicación para escanear códigos QR.

¡El arte atemporal de los autenticadores! Todas estas aplicaciones de autenticación son gratuitas y ofrecen compras dentro de la aplicación. Los instalas y descubres que no puedes escanear un código QR hasta que te suscribas, $40/año con 3 días de prueba gratis. Las aplicaciones son muy similares.

Pudo encontrar rápidamente una docena de estos (en la foto de arriba) y preguntó por qué no se vieron en la revisión de la aplicación.

La App Store debería hacer algo con estas aplicaciones. Parece que hay una aplicación de marca blanca que los estafadores compran, les cambian el nombre y les proporcionan @tienda de aplicaciones. Cualquier usuario promedio puede ver las sorprendentes similitudes entre ellos. ¿Cómo es que el equipo de revisión de aplicaciones no se dio cuenta de esto?

Al menos uno de ellos intenta obligarte a suscribirte incluso si tocas el botón de cerrar.

Déjame mostrarte algo interesante. Esta aplicación se lanzó el 19/02/2023 y ocupó el quinto lugar en «Aplicación de autenticación» en la tienda de aplicaciones de EE. UU. Como puede ver en el video, una vez que toque «X» para cerrar el muro de pago, se le pedirá que confirme la suscripción. pic.twitter.com/JI7XBcAy1s—Kevin Archer (@IM_Kevin_Archer) 21 de febrero de 2023

Incluso una aplicación de estafa captura tus códigos QR. No tiene que buscarlo muy lejos: el desarrollador publicó un anuncio para la App Store, lo que hace que se destaque al buscar aplicaciones de autenticación.

Debe tener cuidado al buscar una aplicación de autenticación. Esta aplicación envía los códigos QR escaneados al servicio de análisis del desarrollador #Google. No te lo perderás. Hay una campaña publicitaria en marcha en la #AppStore

Aplicaciones de autenticación seguras

En iOS, ahora puede usar el soporte integrado para 2FA. Alternativamente, Google Authenticator es la opción predeterminada y Mysk dice que no ha encontrado una razón para no usarlo. Recientemente detallamos cómo usarlo para Twitter.

Apple ahora ha eliminado las aplicaciones fraudulentas

Mysk informa que Apple ahora ha eliminado las aplicaciones informadas por la compañía. FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.