Az Apple hivatalos alkalmazásboltjából letöltött alkalmazáson keresztül több magánszemélytől megközelítőleg 1,6 millió dollárnyi bitcoint loptak kiberbűnözők. Az egyik áldozat a The Washington Postnak elmondta, hogy bitcoinjait egy Trezor nevű hardveres walleten tartotta, és ahhoz akart letölteni alkalmazást az iPhone-jára, hogy a telefonján tudja nyomon követni számlája egyenlegét. Az általa letöltött Trezor alkalmazás azonban, bár minden jel arra utalt, hogy a hardveres wallethez készítették, hamis volt: miután megadta az adatait, a számlájáról rövid időn belül eltűnt az összes megtakarítása, 17,1 bitcoin, ami a bűncselekmény pillanatában nagyságrendileg 600 ezer dollárt, jelenleg közel 950 ezret ér.
A megkárosított, aki egyébként elkötelzett Apple-felhasználó, azonban nem a kiberbűnözőkre dühös, hanem az Apple-re, mert a cég szerinte becsapta. A vállalat szereti hirdetni magáról, hogy szuperbiztonságos, kiemelten védi az Apple-eszközöket használók adatait (személyes és anyagi vonatkozású információit egyaránt). Többek között erre hivatkozva kér magas jutalékot az alkalmazások fejlesztőitől, és ezért módosíthatja lényegében kénye-kedve szerint (legalábbis partnerei szempontjából) az alkalmazásokra vonatkozó szabályokat. Utóbbiból komoly csatározások kerekedtek, így némileg lassan, de többek között az Európai Unió is rászánta magát, hogy valamiféleképpen rendezze az ügyet. (Csak összehasonlításképp: a Google, amely az alkalmazásboltjával háromszor annyi letöltésből fele akkora bevételt tud realizálni, mint az Apple, sokkal óvatosabban közelített például a felhasználókövetés kérdéséhez.)
Biztonságos platform? Mint bármelyik másik...
Az Apple szereti propagálni, hogy a zárt rendszerének (ne feledjük, a Mac OS alapja egy open source operációs rendszer, a FreeBSD!), valamint annak, hogy hardver és szoftver fejlesztése egy kézben van, az egyik legnagyobb előnye a biztonság. Az App Store-ba például csak alapos ellenőrzések után kerülhet fel alkalmazás. Ennek ellenére sokadszor ismétlődik a történet: a felhasználó bízott az App Store-ban, és anyagi kár érte. A Trezor esetében is ez történt, az Apple ellenőrző mechanizmusa képtelen volt kiszúrni, hogy egy csaló alkalmazást enged át.
Az Apple ellen fellépő cégeket (köztük az Epic Gamest, és a Spotify-t) tömörítő szövetség, az App Fairness egyik vezetője azt nyilatkozta a The Washington Postnak, hogy Cupertino a felhasználók magánéletével és biztonságával kapcsolatos mítoszokkal védi versenyellenes magatartását. De ez voltaképpen azt jelenti, hogy azt ellenőrzi, és azt a szabályt tartja be, ami a számára előnyös. Az App Fairness-vezető véleményét erősíti egy régebbi ügy is: sok felhasználót vertek át iTunes ajándékkártyákkal, de az Apple nem volt hajlandó foglalkozni a károsultakkal, pedig maga is húzott hasznot az átverésükből. Végül a károsultak bírósághoz fordultak.
Most sem lesz más lehetőség, ha a felhasználók az Apple-ön akarják leverni káruk egy részét. A vállalat ugyanis az egyik Trezor-károsultnak egyértelművé tette: az Apple nem vállal felelősséget a hamis alkalmazás okozta károkért.
Csak a szokásos mantra jött vissza
Amikor a The Washington Post a hamis Trezor-alkalmazás miatt megkereste a céget, a szóvivő a szokásos mantrát nyomta le, miszerint az Apple azonnal intézkedik ilyen esetekben. Elkötelezettek (sőt egyre elkötelezettebbek) a felhasználóik biztonsága mellett, és egyébként is: tanulmányok sora bizonyítja, hogy az App Store a legbiztonságosabb alkalmazáspiac a világon, aminek további javításán is folyamatosan dolgoznak és így tovább.
A szóvivő azt azonban már nem volt hajlandó elárulni, hogy milyen gyakran találnak és távolítanak el megtévesztő appot az App Store-ból, de azt igen, hogy tavaly 6500 alkalmazást töröltek rejtett vagy dokumentálatlan funkciók miatt. És azt is elismerte, hogy történtek már kriptovalutával kapcsolatos csalások. (Megjegyzendő, a Google sem viselkedett másként, bár a Google Play-ben is találtak hamis Trezor appot.)
A Trezor-ügy pikantériája, hogy van még egy kárvallott. A Trezor nevű, hardveres walleteket fejlesztő cégnek valószínűleg közvetve üzleti kárt okoz az ügy. A Trezor ráadásul nem is kínál iOS-re alkalmazást, és mind az Apple-t, mind a Google-t jó ideje rendszeresen figyelmezteti, hogy hamis Trezor-alkalmazások vannak az alkalmazásboltjukban. Azt egyelőre azonban nem tudni, hogy ezt az ügyet jogi útra akarja-e terelni.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak