Apple schaut zu
Zweifelhafte Authenticator-Apps verstoßen gegen App-Store-Regeln
Wir haben ja zu Wochenbeginn erst erklärt, wie man mithilfe von Apples Passwortverwaltung iCloud-Schlüsselbund auch Codes für die 2-Faktor-Authentifizierung generieren kann. Falls ihr nicht ohnehin schon auf einen Passwort-Manager setzt, der diese Funktion inklusive hat, oder eine der bekannteren Apps für diesen Zweck wie Ravio OTP, den Google Authenticator oder Authy verwendet, greift ihr wohl besser auf Apples Bordmittel zu, anstelle jetzt nach einer Alternative im App Store zu suchen. Dort tummeln sich nämlich gerade jede Menge sogenannter Authenticator-Apps, die es allem voran auf euer Geld abgesehen haben.
Abo-Zwang mit allen Mitteln
Auf diesen Misstand macht Kevin Archer aufmerksam, seines Zeichens Entwickler der 2FA-App Authenticator. Archer ärgert sich gerade über unseriöse Neuzugänge in diesem Bereich, offenbar hat die Twitter-Ankündigung, künftig Geld für das Versenden von 2-Faktor-Codes per SMS dazu geführt, dass sich hier diverse zwielichtige Anbieter eine goldene Nase verdienen oder gar Zugang zu persönlichen Daten erschleichen wollen.
Let me show you something interesting. This app was released on 02/19/2023 and ranks 5 for "authenticator app" in the US App Store. As you can see from the video, once you tap on "X" to close the paywall, you will get triggered in subscription confirmation. pic.twitter.com/JI7XBcAy1s
— Kevin Archer (@IM_Kevin_Archer) February 21, 2023
Archer nennt eine Anwendung namens „Authenticator App – Authy 2FA“, die erst seit dem Wochenende im App Store verfügbar ist und von Apples Eingangskontrolle offenbar blind durchgewunken wurde, als besonders dreistes Beispiel. Die App lässt sich ohne Abo gar nicht verwenden und wirft ihre Nutzer auch dann auf den Bildschirm für eine Abo-Bestätigung, wenn diese dergleichen zuvor schon abgelehnt haben.
App überträgt QR-Codes an Google Analytics
Ins gleiche Horn blasen die Sicherheitsforscher von Mysk, denen zufolge die Anwendung mit Namen „Authenticator App, 2FA“ nicht nur auf ein teures Abo-Modell setzt, sondern darüber hinaus die mit der App gescannten Authentifizierungs-Codes an den Google-Analytics-Account des Entwicklers weiterleitet. Die App ist aktuell mit einer massiven Apple-Ad-Kampagne im App Store auf Kundenfang unterwegs.
You need to be careful when you search for an authenticator app. This app sends the scanned QR codes to the developer's #Google analytics service. You won't miss it. It's running an ad campaign on the #AppStore#Privacy #CyberSecurity #2FA pic.twitter.com/huvAtilUnV
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 19, 2023
App Store: Lieber Abos als seriöse Angebote?
Apples App-Store-Kontrolleure geben damit verbunden einmal mehr ein schlechtes Bild ab. Entgegen plakativer Werbeaussagen wie der gerne von Apple zitierte Fokus auf die Sicherheit seiner Kunden schaffen es offensichtlich auf den Nachteil der Nutzer ausgelegte, aber hohe Provisionen abwerfende Angebote problemlos in den App Store, während sich seriöse Entwickler immer wieder mit ungeahnten Hürden und Ablehnungen konfrontiert sehen.
Nicht nur hier wird einem das Geld aus der Tasche gezogen zum Glück gibt es den Widerruf damit man sein Geld wieder zurück bekommt wenn eine App nicht macht was sie verspricht
ich war immer einer derjenigen die das geschlossene iOS system gerne verteidigt haben, weil es ja sicher sein soll. aber mittlerweile bin selbst ich fürs sideloading. soll jeder selber entscheiden was er sich aufs gerät seiner wahl lädt…apples versprechen werden von der app store administration andauernd aufs neue torpediert. wirklich grandios >.<
Prüfungen wären natürlich noch immer gut. Man könnte vielleicht Gütesiegel vergeben (geprüft von Apple, TÜV-Süd, CCC, etc.) die nur die jeweilige Institution vergeben kann (durch entsprechend zertifizierte Zugänge). Für gute Prüfungen im Vorfeld würde ich sogar eine einstellige Jahresgebühr zahlen – wenn dafür sichergestellt ist, dass Anwendungen möglichst umfassend durchleuchtet werden.
TÜV? Ist das der Verein dem kurz nach Prüfung ein Staudamm in Brasilien gebrochen ist mit unzähligen Toten? Dann lass mal prüfen, eine ausgesprochen seriöse Quelle.
Ja, so vertreibt man mögliche Kunden…
@ifun Empfiehlt doch lieber euren eigenen Tipp von damals: Raivo OTP.
Eine super App! Werbefrei, kostenlos, open source.
Danke für DEN Tip :)
Danke, ist natürlich ergänzt :-)
Ja, in den Einstellungen Passwörter kann man auf den Account tippen und da gibt es die Tastekot generieren.
Können Boardmittel 2FA verwalten? Ist mir neu…
Unter „Passwörtern“ ist es.
OTP Auth:
Schlicht. Apple Watch, iCloud
https://apps.apple.com/de/app/otp-auth/id659877384
……und nachdem nach ca. 18 Monaten ohne Updates letzte Woche durch ein Update auch an aktuelle iOS-Versionen angepasst.
Nutze ich auch, die ist wirklich gut.
Kann ich auch empfehlen
Krass, danke dass ihr darüber informiert.
Apple hat aber im AppStore wohl kein Problem mit fragwürdiger Software, solange sie dabei mitverdienen.
Es wird zeit für alternative AppStores, dann wird Apple hoffentlich unter dem Druck der Konkurrenz wieder mehr die Qualität in den Vordergrund stellen.
Ich nutze so viel wie möglich von Apples Bordmitteln, aber der Passwortmanager ist in den Einstellungen fehl am Platz, wird Zeit dass er eine eigene App wird.
Für ein OTP dauert es viel länger dorthin zu gelangen als direkt den Google Authenticator zu öffnen.
Hattet ihr nicht mal step two empfohlen ?
Nutze DUO seit Jahrem und habe durchaus gute Erfahrungen damit.
Auch Authy sendet Daten an amazontrust.com, crashlytics.com und andere!!
Getestet mit Charles App.
Saaspass. Kein Abo, unterstützt mehrere Backup-Devices, funktioniert einfach. Nutze ich seit langem.