Француз потерял криптовалюты на $600 тысяч в поддельном iOS-приложении Trezor

[alex6999]

Из-за обилия мошенников доверия в интернете практически ноль. Хотя вообщем борьба с мошенничеством в интернете это как строительство коммунизма — бесконечный процесс

[FibYar]

Apple заявляет, что проверяет каждое приложение перед размещением

В статье, как мне кажется, очень не хватает комментариев представителей Apple, каким образом при ручной проверке в их магазине появляются приложения-подражатели. При этом, они ведь ещё и комиссию за такую проверку берут.

[aelimill]

Так вроде как оригинального приложения нет, поэтому для магазина подражатель не совсем подражатель, а вполне себе оригинал? Да и комиссию вроде как не с кого брать, так как, насколько я понял из новости, Tresor не является клиентом Apple.

[ookami_kb]

Так у них, чтобы зарегистрироваться в качестве разработчика, надо целый квест выполнить – предъявить документы на фирму, пройти телефонное интервью с каким-то индусом. Зачем тогда это всё?

[aelimill]

Это как организация, не? Чтобы как индивидуальный разработчик там не надо никаких DUNS и прочих сложностей.

[ookami_kb]

Да, возможно, но "компания уже много лет уведомляет Apple и Google о поддельных приложениях, выдаваемых за продукт Trezor" – это совсем дичь какая-то, хотя бы после первого раза можно было добавить if (appName == "Trezor") requireDocuments() в свои бизнес-процессы. Не думаю, что у них нет какого-нибудь каталога "подозрительных пользователей", когда им надо – быстро могут навечно забанить.

[aelimill]

Решил найти оригинал, в этом переводе отсутствует достаточная часть информации, судя по оригинальной статье ( www.washingtonpost.com/technology/2021/03/30/trezor-scam-bitcoin-1-million )
первая версия приложения была с другим функционалом (шифровальщик файлов) и не имела отношения к криптовалюте, потом была «изменена» (это описано как-то мутно), после репорта была удалена, дублер засабмиченный несколькими днями позже был удален судя по всему автоматически уже Apple.

[mkovalevskyi]

С таким то доходом, да достаточно анонимным и выводимым, какие проблемы сделать сколько угодно дев аккаунтов?
А эппл при работе с всякими сервисами просто требует (и то, кажись не всегда) «тест аккаунт что б мы могли проверить че там как». Завели тест аккаунт — проверка прошла )

[FibYar]

То есть, если у какой-то компании отсутствует приложение, то создание приложения с названием данной компании каким-либо сторонним разработчиком — это норма?

[aelimill]

Tresor — это в том числе и словарное слово :) Думаю у них есть какая-то проверка по trademark названиям и дубликатам приложений, но если с названием не все очевидно (условно создадим приложение Лента или Магнит, которое не позиционирует себя как официальное и имеющее отношение к этим магазинам, то шанс того что пропустят вполне есть)

[aelimill]

Черт, они Trezor.

[vmkazakoff]

Это чешское слово. Переводится как "безопасно". Так что вы правы.

[tendium]

Переводится это слово, как "сейф". А безопасно по-чешски будет "bezpečně".

P.S. Перевод с чешского на русский через Google Translate идёт через английский язык, оттуда и trezor => safe => безопасно.

[mkovalevskyi]

Там вроде больше проверок на чисто графическое исполнение, чем на имена. Логотипы, вот это вот все. Но посмотреть как это фейковое приложение выглядело на данный момент сложно (

[BioHazzardt]

+, как то у них вяло идет борьба со скамом, тем более Trezor штука более-менее известная, вряд ли приложуху под нее будет выкладывать какой-нибудь ноунейм. С другой стороны тот француз тоже молодец, на автора глядеть не стал судя по всему

[BioHazzardt]

[Port5]

В данной истории так выглядят Эпл с Гуглом.

[BioHazzardt]

да

[kAIST]

Интересно, каким образом приложение похитило биткоины, если у человека был аппаратный кошелек со всякими там защитами?

[BioHazzardt]

сгенерило транзу, попросило ввести пин и отправило через какую-нибудь ноду по rpc (первое, что пришло в голову)

[Djeux]

ПИН-а недостаточно чтобы подписывать транзакции. Там перед самой отправкой еще пару подтверждений спрашивает сам аппарат.
Поэтому чего-то статья не договаривает или сам потерпевший.

[Barnaby]

Скорее всего ввел секретную фразу — отдал все приватные ключи.

У Trezor нет watching only, как в electrum?

[afarber]

Окей, потерял как бы 600 косарей

Но за сколько он купил эти 17 биткойнов?

[Djeux]

Trezor перед подписанием транзакции высвечивает объем и адрес на который «летят» битки. Недостаточно указать один лишь PIN в программе. Полагаю что пользователь хотел отправить битки на свой адрес, но программа его подменила вместе с размером транзакции, а сам потерпевший не удосужился проверить перед подтверждением.
В какой-то степени сам себе злой буратино.