Apple retira da App Store aplicativos autenticadores de 2FA fraudulentos
Hoje em dia, é quase que obrigatório você ativar uma autenticação de dois fatores (2FA) em todas as suas contas da internet, sejam elas de redes sociais ou serviços que você utiliza.
Nós já explicamos aqui tudo a respeito do que é e como instalar aplicativos confiáveis que gerenciam isso:
Mas há golpistas que estão criando aplicativos suspeitos que induzem o usuário a ativar o 2FA neles, expondo assim seus dados e ainda cobrando por isso.
E a Apple essa semana resolveu fazer uma faxina em sua loja de aplicativos.
Aplicativos nada confiáveis
Já demos uma lista de poucos e bons aplicativos para autenticação 2FA. São os mais confiáveis, e não há razão para tentar outros que apareçam de repente.
Na semana passada, o novo Twitter anunciou que começaria a cobrar aqueles que fizessem autenticação da conta por SMS.
Para aqueles menos familiarizados com tecnologia, isso soou como algo ruim, e com isso, houve uma explosão na procura por aplicativos alternativos de autenticação, o que acabou dando brecha para os golpistas aproveitarem o momento.
Autenticação por SMS é inseguro
Há tempos já é consenso que o uso de mensagens SMS como um dos fatores de autenticação é algo bastante inseguro.
Isso porque hoje em dia é possível roubar o número e colocá-lo em outro chip (o famigerado SIM-swap) ou então permitir que quem rouba seu celular tenha acesso ao código.
Então, deveria ser uma coisa boa o Twitter dificultar o uso desse método, dando espaço para se usarem aplicativos de autenticação.
Mas isso gerou uma busca frenética na App Store por gente que nunca tinha ouvido em autenticação de dois fatores.
E é aí que mora o perigo.
Aplicativos que roubam 2FA
Um especialista em segurança começou a perceber vários aplicativos semelhantes que alegavam oferecer autenticação 2FA, desenvolvidos por vários desenvolvedores diferentes, mas que se mostravam idênticos quando abertos.
Todas esses apps autenticadores são gratuitas e oferecem compras dentro do aplicativo. Ao instalá-las, você descobre que não pode escanear nenhum código QR até que se inscreva, pagando $40 por ano, com 3 dias de teste gratuito. Os aplicativos são muito semelhantes.
O especialista suspeita que esses sejam aplicativos “white-labels” (ou seja, desenvolvedores compram o código base e o personalizam com sua própria marca), que muitos estão usando apenas para ganhar dinheiro de usuários desatentos.
O próprio fato de um aplicativo autenticador cobrar por seu funcionamento (enquanto o Google oferece uma alternativa segura e totalmente gratuita) é algo já bastante questionável.
E o pior de tudo é que esses aplicativos enviam o código QR da autenticação para um servidor remoto, o que significa que esse segundo fator de autenticação não é mais uma proteção eficaz, uma vez que está acessível a outras pessoas.
Apple faz a faxina
Após a repercussão do caso, a Apple finalmente tomou uma atitude e na manhã desta quinta-feira começou a limpar vários desses aplicativos, removendo-os da App Store.
No entanto, ainda existem muitos desses aplicativos fraudulentos no ar.
Saiba se proteger
Ativar a autenticação de dois fatores é muito importante, mas é crucial usar apenas aplicativos confiáveis para realizar essa autenticação.
Leia nosso artigo completo sobre aplicativos de autenticação de dois fatores e confira nossa lista de apps confiáveis para garantir a segurança de suas contas.