Apple schaut zu
Zweifelhafte Authenticator-Apps verstoßen gegen App-Store-Regeln
Wir haben ja zu Wochenbeginn erst erklärt, wie man mithilfe von Apples Passwortverwaltung iCloud-Schlüsselbund auch Codes für die 2-Faktor-Authentifizierung generieren kann. Falls ihr nicht ohnehin schon auf einen Passwort-Manager setzt, der diese Funktion inklusive hat, oder eine der bekannteren Apps für diesen Zweck wie Ravio OTP, den Google Authenticator oder Authy verwendet, greift ihr wohl besser auf Apples Bordmittel zu, anstelle jetzt nach einer Alternative im App Store zu suchen. Dort tummeln sich nämlich gerade jede Menge sogenannter Authenticator-Apps, die es allem voran auf euer Geld abgesehen haben.
Abo-Zwang mit allen Mitteln
Auf diesen Misstand macht Kevin Archer aufmerksam, seines Zeichens Entwickler der 2FA-App Authenticator. Archer ärgert sich gerade über unseriöse Neuzugänge in diesem Bereich, offenbar hat die Twitter-Ankündigung, künftig Geld für das Versenden von 2-Faktor-Codes per SMS dazu geführt, dass sich hier diverse zwielichtige Anbieter eine goldene Nase verdienen oder gar Zugang zu persönlichen Daten erschleichen wollen.
Let me show you something interesting. This app was released on 02/19/2023 and ranks 5 for "authenticator app" in the US App Store. As you can see from the video, once you tap on "X" to close the paywall, you will get triggered in subscription confirmation. pic.twitter.com/JI7XBcAy1s
— Kevin Archer (@IM_Kevin_Archer) February 21, 2023
Archer nennt eine Anwendung namens „Authenticator App – Authy 2FA“, die erst seit dem Wochenende im App Store verfügbar ist und von Apples Eingangskontrolle offenbar blind durchgewunken wurde, als besonders dreistes Beispiel. Die App lässt sich ohne Abo gar nicht verwenden und wirft ihre Nutzer auch dann auf den Bildschirm für eine Abo-Bestätigung, wenn diese dergleichen zuvor schon abgelehnt haben.
App überträgt QR-Codes an Google Analytics
Ins gleiche Horn blasen die Sicherheitsforscher von Mysk, denen zufolge die Anwendung mit Namen „Authenticator App, 2FA“ nicht nur auf ein teures Abo-Modell setzt, sondern darüber hinaus die mit der App gescannten Authentifizierungs-Codes an den Google-Analytics-Account des Entwicklers weiterleitet. Die App ist aktuell mit einer massiven Apple-Ad-Kampagne im App Store auf Kundenfang unterwegs.
You need to be careful when you search for an authenticator app. This app sends the scanned QR codes to the developer's #Google analytics service. You won't miss it. It's running an ad campaign on the #AppStore#Privacy #CyberSecurity #2FA pic.twitter.com/huvAtilUnV
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 19, 2023
App Store: Lieber Abos als seriöse Angebote?
Apples App-Store-Kontrolleure geben damit verbunden einmal mehr ein schlechtes Bild ab. Entgegen plakativer Werbeaussagen wie der gerne von Apple zitierte Fokus auf die Sicherheit seiner Kunden schaffen es offensichtlich auf den Nachteil der Nutzer ausgelegte, aber hohe Provisionen abwerfende Angebote problemlos in den App Store, während sich seriöse Entwickler immer wieder mit ungeahnten Hürden und Ablehnungen konfrontiert sehen.