ก็บอกว่าปลอดภัยไง - LastPass รายงานปัญหาแอปเลียนแบบบน App Store ล่าสุดแอปถูกถอดออกแล้ว

By: arjin
WriteriPhoneWindows
on 9 February 2024 - 08:01 Tags:
Topics: 
LastPass
Security
App Store
Apple
Node Thumbnail

LastPass โปรแกรมจัดการรหัสผ่าน ประกาศเตือนลูกค้าว่าตอนนี้พบแอปปลอมที่สร้างมาเลียนแบบ LastPass พบ App Store ของแอปเปิล โดยแอปนี้ชื่อว่า LassPass Password Manager ระบุว่า Parvati Patel เป็นผู้พัฒนาแอป ซึ่งทั้งโลโก้และหน้าตาแอปก็ทำให้ผู้ใช้สับสนว่าเป็น LastPass

LastPass บอกว่าตอนนี้กำลังดำเนินงานกับผู้เกี่ยวข้อง เพื่อให้แอปนี้ถูกถอดออกจาก App Store ซึ่งล่าสุดแอปก็ถูกนำออกไปเรียบร้อยแล้ว

Christofer Hoff หัวหน้าฝ่ายความปลอดภัยของ LastPass ให้ข้อมูลเพิ่มเติมว่า ตอนนี้บริษัทได้สอบถามแอปเปิล เพื่อทำความเข้าใจกระบวนการตรวจสอบแอป ว่าทำไมแอปปลอมที่ลอกเลียนแอปอื่นที่มีอยู่แล้ว โดยอาศัยการบิดตัวสะกดเล็กน้อย จึงสามารถผ่านกระบวนการตรวจสอบและนำขึ้น App Store ได้

เรื่องนี้อาจจะเป็นจังหวะเวลาที่ลงตัวไปหน่อย เพราะก่อนหน้านี้แอปเปิลได้ประกาศแนวทางของ iOS 17.4 สำหรับประเทศในกลุ่ม EU ที่สามารถสร้างสโตร์สำหรับดาวน์โหลดแอปแยกได้ แต่แอปเหล่านั้นก็ต้องถูกตรวจสอบจากแอปเปิลก่อนเช่นกัน รวมทั้งแอปเปิลก็บอกว่าที่ไม่เปิดฟีเจอร์นี้ในประเทศอื่นด้วย เป็นเหตุผลด้านความปลอดภัยและลดความเสี่ยงในการใช้งาน

ที่มา: LastPass ผ่าน TechCrunch

หน้าตาแอปปลอม LassPass

No Description

หน้าของแอปจริง LastPass

No Description

Get latest news from Blognone

Comments

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 9 February 2024 - 11:34 #1305480
Ford AntiTrust's picture

ตราบใดที่ App Store ใช้คนตรวจสอบยังไงก็โดนหลอกได้แหละ

ซึ่งหากเทียบเคียงเคสน่าจะแนวเรื่อง Greenbar บน browser ของ Certificate ที่ ที่เป็น EV นั่นแหละ

เพราะสุดท้ายโดนปลอมเอกสาร หรือตั้งบริษัทให้มีชื่อคล้ายกับบริษัทเป้าหมาย แล้วก็โดนสร้าง EV Certificate ไปใช้หลอกคนต่อไป

By: hisoft
ContributorWindows PhoneWindows
on 9 February 2024 - 11:48 #1305481 Reply to:1305480
hisoft's picture

หรือว่าทางออกจะเป็นแบบเว็บ ที่พอไม่ปลอดภัยก็จะมีแถบแดงขึ้นพร้อมแม่กุญแจที่ไม่ได้ล็อค แต่เปลี่ยนจากดู protocol HTTP เป็น Apple/Google ไม่ได้ตรวจสอบแทน

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 9 February 2024 - 11:58 #1305482 Reply to:1305481
Ford AntiTrust's picture

จริงๆ แค่เริ่มจาก Untrusted by default ก่อน

ขนาดเจ้าของผลิตภัณฑ์ระบบรักษาความปลอดภัยจะมีโอกาสโดนแฮกได้ นับประสาอะไรกับคนทั่วไป ต้องระวังทุกอย่างเท่าที่ทำได้

By: iamfalan
iPhoneAndroidWindows
on 9 February 2024 - 14:02 #1305493 Reply to:1305480

ผมว่าต่อให้ใช้ bot หรือ ai ตรวจ ก็ไม่น่ารอดอยู่ดีครับ เห็นชัดๆ ก็ google play store คนมันก็หาสูตรเลี่ยงได้อยู่ดี
กลับกัน ผมว่า app store นี่โอกาสผ่านง่ายๆ นี่ยังน้อยนะครับ ส่วนใหญ่ ถ้าเป็ยแอพแนวๆ สุ่มเสี่ยงนี่โดนตรวจสอบถี่ยิบ ล่าสุดผมยังโดนขอดูเอกสาร license ทุกประเทศที่เราติ๊กถูกอยู่เลย

By: big50000
AndroidSUSEUbuntu
on 9 February 2024 - 14:22 #1305498 Reply to:1305493
big50000's picture

ในบริบทที่คุณ Ford หมายถึงมันง่ายกว่านั้น เพราะปัญหาจริง ๆ คือความน่าเชื่อถือ แทนที่จะใช้คนหรือ bot/AI ตรวจสอบเป็นรายหัวไปซึ่งโอกาสหลุดสูง เราควรออกแบบระบบให้น่าเชื่อถือตั้งแต่แรก

ทางเลือกแอปเดียวกันสมัยนี้เยอะมาก และแอปต้นข่าวเองก็เป็นแอปเลียนแบบแต่ยังไม่ได้พิสูจน์ว่าเป็นแอปปลอมหรือมีจุดประสงค์ร้ายหรือไม่ แต่เจตนาชัดเจนคือต้องการให้คนเข้าใจผิดว่าเป็น LastPass ที่ผมสงสัยคือตอนที่ค้นหาออกมานี่ใช้วิธีการไหน แล้วผลลัพธ์ออกมาอย่างไร ถ้าค้นหา LastPass แล้วติด LassPass มาด้วยนี่ผมว่าเป็นปัญหาของระบบสโตร์แล้ว

ผมเชื่อว่าความน่าเชื่อถือเป็นปัจจัยสำคัญ เพราะต่อให้แอปปลอมหลุดแต่ระบบสามารถจัดการมันเองได้โดยไม่โดน search optimisation exploit แอปปลอมจะเป็นปัญหาน้อยลงมาก ซึ่ง Play Store เจอปัญหานี้เยอะกว่ามาก ๆ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 9 February 2024 - 15:09 #1305499 Reply to:1305493
Ford AntiTrust's picture

ในมุมของผมคือไม่ว่าจะเป็น App Store ของ Apple หรือ Play Store ของ Google การสร้างระบบตรวจสอบไม่ว่าจะใช้คนตรวจสอบ หรือ ai/bot ตรวจสอบ ก็ต้องสร้างความตระหนักรู้ "ระบุข้อควรทราบให้กับลูกค้าว่ามันมีโอกาสหลุดและผิดพลาดได้เสมอ ฉะนั้นอย่าไปยึดมั่นถือมั่นกับระบบตรวจสอบมากจนวางใจว่ามันดีที่สุด"

ฉะนั้นการเที่ยวโฆษณาว่าให้เชื่อ App Store แล้วมันจะปลอดภัย มันจึงเป็นการสร้างความเชื่อผิด ๆ ต่อกลุ่มลูกค้าตัวเอง (เหมือนตอนใช้ Mac OS แล้วไม่มีไวรัส) เพราะสุดท้ายเมื่อกลุ่มลูกค้าที่อยู่ใน platform ตัวเองมีมูลค่าสูงพอที่จะลงทุนหลอกระบบเพื่อมุ่งหมายความเสียหายที่คุ้มค่า มันจะแก้ไขความเชื่อผิด ๆ ตรงนั้นไม่ทันแล้วลูกค้าจะเปราะบางต่อการโจมตีมากกว่าไปสร้างความเชื่อว่า อย่าหลงเชื่อใคร แม้แต่ผู้ผลิตเอง

By: tom789
Windows Phone
on 9 February 2024 - 15:16 #1305502 Reply to:1305499

+1

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 9 February 2024 - 15:20 #1305504 Reply to:1305499
Ford AntiTrust's picture

ผมลืมไปอีกจุดคือ เมื่อเกิดเหตุหลุดแบบข้างต้นแล้ว จะทำยังไงกับมัน ระยะเวลาในการนำออกจากระบบ และแจ้งเตือนคนที่โหลดแอปเหล่านี้อย่างไรว่าตัวเองได้โหลดแอปที่สุ่มเสี่ยงซึ่งหลุดระบบการตรวจสอบไปใช้งาน

อันนี้ผมพูดรวมทุก Store เลยไม่ใช่แค่ App Store ของ Apple เพราะฝั่ง Play Store หนักกว่ามาก แต่ทุกคนเข้าใจตรงกันว่าฝั่ง Google ก็หล่ะหลวมกว่าเช่นกัน คนใช้งานฝั่ง Android เลยระวังตัวอยู่บ้าง

By: iamfalan
iPhoneAndroidWindows
on 9 February 2024 - 20:45 #1305521 Reply to:1305504

ถ้ามุมนี้เห็นด้วยครับ
คือไม่ว่าเราจะวางมาตรการมากมายขนาดไหน ไม่ว่าจะมี maker/checker หลายๆ คน หรือ bot ai ขั้นเทพแค่ไหน มันก็ทำได้แค่ “ลด” โอกาสเกิดความผิดพลาด
S/W มันมีบั๊กได้ ระบบตรวจสอบ มันมีช่องโหว่ได้ สิ่งที่สำคัญไม่แพ้กัน คือมาตรการเมื่อเกิดปัญหาไปแล้ว

ปัญหาคือในองค์กรต่างๆ (รวมถึงบ้านเรา) มักจะพยายาม “ทำให้มันไม่มีปัญหา” ซึ่งมันเป็นใปไม่ได้
การจะทำให้ “ปัญหาน้อยที่สุด” ก็จะ trade off เรื่องระยะเวลา แถมก็ไม่ได้การันตีว่าจะไม่มีปัญหา (เช่น apple store)
แต่การ “ทำให้เร็วที่สุด” แบบ google play store ก็เป็นการ trade off ในอีกทางนึง
จุดที่ดีคือหาสมดุลย์ตรงกลาง และวางมาตรการแก้ไขไว้ น่าจะดีกว่า
และควรเลิกอ้างความปลอดภัยได้แล้ว ให้คนทั่วไปตระหนักรู้ว่า พวกเอ็งก็ควรระวังตัวบ้าง

By: hisoft
ContributorWindows PhoneWindows
on 9 February 2024 - 22:59 #1305530 Reply to:1305521
hisoft's picture

+1