image

Malafide Trezor-app in Apple App Store stal 1,6 miljoen dollar aan cryptovaluta

woensdag 7 april 2021, 17:12 door Redactie, 2 reacties

Een malafide app die twee weken in de Apple App Store stond heeft bij slachtoffers 1,6 miljoen dollar aan cryptovaluta weten te stelen, zo meldt The Washington Post op basis van meldingen van Coinfirm en een slachtoffer van de app. De malafide app deed zich voor als een applicatie van Trezor, een fabrikant van hardwarematige cryptowallets. De app, die gebruikmaakte van het officiële Trezor-logo en kleuren, was beoordeeld met bijna vijf sterren.

De app deed zich voor als een "cryptografie" app die bestanden zou versleutelen en wachtwoorden opsloeg. Tevens stelde de ontwikkelaar van de malafide app dat die zich niet bezighield met cryptovaluta. In werkelijkheid was de app ontwikkeld om inloggegevens voor cryptowallets te stelen. Trezor heeft zelf geen mobiele app. De malafide app werd op 22 januari van dit jaar door Apple goedgekeurd en in de App Store geplaatst.

Trezor waarschuwde Apple voor de malafide app, die op 1 februari werd verwijderd. Op 3 februari verscheen die opnieuw in de App Store, waarop Apple de app wederom verwijderde. In de twee weken dat de app in de App Store stond was die zo'n duizend keer gedownload, aldus marktvorser Sensor Tower. Eén van de slachtoffers downloadde de app en voerde daarna de gegevens van zijn wallet in. Niet veel later waren de 17,1 bitcoins in zijn wallet gestolen, die op dat moment een waarde van 600.000 dollar hadden. Inmiddels is dat bijna 1 miljoen dollar.

Volgens Coinfirm hebben vijf mensen aangegeven dat hun cryptovaluta via de malafide Trezor-app in de App Store is gestolen, voor een totaalbedrag van 1,6 miljoen dollar. In de Google Play Store zijn er ook malafide Trezor-apps opgedoken. Drie slachtoffers van deze apps maakten melding en lieten weten dat ze voor een bedrag van in totaal 600.000 dollar zijn bestolen. Slachtoffers zijn met name boos op Apple, omdat het altijd voordoet dat de App Store een veilige plek is om apps te downloaden.

Reacties (2)
07-04-2021, 17:46 door Anoniem
De App store ja.
Dat "ding" dat net zo makkelijk en vooral ook veilig en kortere ontwikkeltijden mogelijk zou maken.
Omdat het zou leunen op al het goede werk en de lessen die Apple en Steve Jobs hadden opgedaan.

De App store moest van Apple zo'n impact krijgen dat ze de hoop erover uitspraken dat het uiteindelijk het gat tussen digital mockups en lange full proof software zou vullen.
Het moest niet dezelfde enorme functionaliteit mogelijkheden voor software ontwikkelaars bieden, wel meer gemak voor de gebruiker.
Het moest die software ontwikkelaars de mogelijkheid bieden veilig om de speciale rekenkracht-modules aan te boren.
Het moest niet low-level code opleveren maar wel compileerbare code met gebruikmaking van veel bibliotheken die Apple te bieden had.

Dat dit hele eco-systeem dus lek als een mandje is is wel duidelijk.
Is het ook in de kern failliet?
Het sandboxing systeem lijkt in elk geval doeltreffendheid te missen.
Als Apple bij introducties van z'n iPhone dat zag als heruitvinding van de telefoon dan was de App store weliswaar niet zo door Apple bedoeld.
Wel moest het die potentie hebben en daarbij in de buurt kunnen komen.
Er was echter wel 1 valkuil volgens Apple, dat was digitaal beteal systemen.
Maar dan in het gebruik, de App zelf zou volstrekt veilig zijn mits die in de App store zou worden aangeboden en de App niet op een gejailbreakte telefoon zou draaien.
De kern waarom Apple meende dat Apps volstrekt veilig zouden zijn was de App Store.
Andermaal blijkt de inrichting daarvan te kunnen worden gecompromitteerd.
Tot in de kern van Apple's keten.
Die het zoveel beter op orde zou weten te houden omdat ze alles in eigen ontwikkeling aanboden.

Dat Apple malafide apps niet herkent is even lastig als software van buiten App stores als malafide herkennen.
De meerwaarde die nog rest is wellicht de betaal mogelijkheid via iTunes krediet(gebruikers) en de distributie wijze van de Apps (ontwikkelaar & beheerders).

“iPhone is a revolutionary and magical product that is literally five years ahead of any other mobile phone,” said Steve Jobs, Apple’s CEO. “We are all born with the ultimate pointing device—our fingers—and iPhone uses them to create the most revolutionary user interface since the mouse.”
Wat is bovendien het nut van de gestelde 5 jaar voorsprong op elke andere mobiele telefoon?
Ook al ben ik geen Microsoft fan, die had toen al telefoons met betere UI dan de eerste iPhones en stabiele verbinding om bv radio via je telefoon te kunnen luisteren. Ook de foto lens was beter.

Werden we dus vanaf 2007 allemaal gefopt door de grote Apple nieuws shows??
08-04-2021, 09:36 door SecOff
Dit issue is geen "technisch" issue waarbij de security van iOS of de appstore gecompromitteerd is. Deze app zei je crypto wallet credentials veilig op te slaan. De gebruikers van de app hebben dus zelf hun credentials voor hun wallet ingevoerd, ze zijn niet door de app "gestolen" uit de iPhones van gebruikers. Het is in de praktijk gewoon niet goed te controleren wat er met door gebruikers zelf ingevoerde gegevens wordt gedaan door een app die verbinding kan maken met een server. Waar Apple in dit geval gefaald heeft is het toelaten van een app die zich voordeed als gemaakt door een ander bedrijf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.