Bezpečnostní problém z posledních dní ukazuje, že ani Apple není imunní vůči podvodům ve svém obchodě s aplikacemi. Falešná aplikace napodobující oficiální kryptopeněženku totiž prošla schvalovacím procesem a způsobila škody ve výši přibližně 9,5 milionu dolarů.
Podle CoinDesk se útočníkům podařilo dostat do Mac App Store falešnou verzi aplikace Ledger Live, která se tvářila jako oficiální nástroj pro správu kryptoměn. Klíčový problém byl v tom, že aplikace vyzývala uživatele k zadání tzv. obnovovací fráze. Po zadání získali útočníci plný přístup ke kryptopeněžence. To je zásadní varovný signál – legitimní aplikace nikdy tento proces nevyžadují. Podvod probíhal mezi 7. a 13. dubnem a zasáhl více než 50 uživatelů. Někteří z nich přišli o extrémně vysoké částky: tři oběti ztratily více než 1 milion dolarů. Velková škoda dosáhla 9,5 milionu dolarů.
Jak je to možné?
Oficiální verze Ledger Live není v Mac App Storu dostupná – distribuuje se výhradně přes web výrobce. Právě toho útočníci zneužili. Zůstává otázkou, jak mohla falešná aplikace projít kontrolou Applu. Společnost se k situaci zatím nevyjádřila. Aplikace byla odstraněna až po zhruba dvou týdnech. Bezpečnostní analytik ZachXBT, který případ zveřejnil na Telegramu, upozorňuje, že kvůli rozsahu škod by Apple mohl čelit hromadné žalobě.
Jak se chránit?
Tento incident je důležitou připomínkou:
- nikdy nezadávejte obnovovací frázi do aplikací
- stahujte kryptonástroje pouze z oficiálních webů
- buďte obezřetní i v oficiálních obchodech s aplikacemi
