Publicité de l’application Scam Authenticator sur l’App Store : envoie tous vos codes QR au développeur

Publicité de l'application Scam Authenticator sur l'App Store : envoie tous vos codes QR au développeur

La dernière décision de Twitter a conduit à une multitude d’applications d’authentification frauduleuses, dont au moins une utilise la publicité de l’App Store pour figurer en bonne place dans les résultats de recherche, puis envoie tous les codes QR scannés au service d’analyse du développeur.

Il y en a toute une série d’autres qui semblent être gratuites mais qui nécessitent ensuite des achats intégrés afin de scanner les codes QR…

Twitter suscite l’intérêt pour les authentificateurs

La semaine dernière, Twitter a eu la brillante idée de vendre la sécurité des comptes en tant que service payant, en plaçant l’authentification à deux facteurs (2FA) par SMs derrière le paywall Twitter Blue.

À partir du 20 mars, Twitter commencera à exiger Twitter Blue pour l’utilisation de l’authentification à deux facteurs par SMs. Le changement, officiellement annoncé aujourd’hui, est certainement une étape majeure. Twitter dit qu’il désactivera simplement l’authentification à deux facteurs pour toute personne qui utilise encore des clés SMs et ne paie pas pour Blue à partir de la date limite du 20 mars.

Pas de prix pour deviner à qui appartenait cette idée.

Certes, SMs 2FA est horrible, laissant tous vos comptes sécurisés vulnérables aux attaques par échange de carte SIM. Si Twitter abandonnait simplement le support pour cela et demandait à tout le monde d’utiliser une application d’authentification, ce serait une chose. Au lieu de cela, Twitter donne l’impression que le SMs est une option premium en le facturant.

Applications d’authentification frauduleuses

Cela a créé l’occasion idéale pour les applications d’authentification d’escroquerie de séparer les non-techniciens de leur argent – ou même de leurs comptes.

Développeur et chercheur en sécurité Mysk vite repéré tout un tas d’applications étrangement similaires, qui exigent toutes un achat d’abonnement intégré à l’application afin de scanner les codes QR.

L’art intemporel des authentificateurs ! Toutes ces applications d’authentification sont gratuites et proposent des achats intégrés. Vous les installez pour découvrir que vous ne pouvez scanner aucun code QR tant que vous ne vous êtes pas abonné, 40 $ / an avec un essai gratuit de 3 jours. Les applications sont très similaires.

Il a rapidement pu en trouver une douzaine (image ci-dessus) et s’est demandé pourquoi ils n’avaient pas été repérés dans l’test des applications.

L’App Store devrait faire quelque chose à propos de ces applications. Il semble y avoir une application en marque blanche que les escrocs achètent, renomment et déploient sur le @Magasin d’applications. Tout utilisateur moyen peut repérer les similitudes frappantes entre eux. Comment se fait-il que l’équipe de test des applications n’ait pas remarqué cela ?

Au moins l’un d’entre eux essaie de vous forcer à vous abonner même si vous appuyez sur la case de fermeture.

Une application frauduleuse même capture vos codes QR. Vous n’avez pas besoin de chercher très fort pour cela : le développeur a sorti une annonce App Store, ce qui indique qu’elle est affichée en évidence lorsque vous recherchez des applications d’authentification.

Vous devez être prudent lorsque vous recherchez une application d’authentification. Cette application envoie les codes QR scannés au service d’analyse #Google du développeur. Vous ne le manquerez pas. Il lance une campagne publicitaire sur l’#AppStore

Applications d’authentification sécurisées

Sur iOS, vous pouvez désormais utiliser la prise en charge intégrée de 2FA. Alternativement, Google Authenticator est le choix par défaut, et Mysk dit qu’il n’a trouvé aucune raison de ne pas l’utiliser.

Nous avons récemment détaillé comment l’utiliser pour Twitter.


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :

YouTube video