App Store : une triple arnaque se cache derrière ce faux jeu pour enfant
L’App Store fait pourtant appel à plusieurs couches de sécurité bien rodées.
Kosta Eleftheriou est de ces développeurs qui donnent du fil à retordre à Apple. Celui-ci s’est en effet spécialisé dans la recherche d’arnaque en tout genre sur l’App Store, allant même jusqu’à poursuivre directement la marque à la pomme en justice, la jugeant trop laxiste. Sa dernière trouvaille risque d’ailleurs de donner du grain à moudre à son dossier…
Comme il le détaille dans plusieurs threads sur le réseau social Twitter, l’homme explique ainsi avoir déniché une app se présentant comme un simple jeu, dédié aux utilisateurs de quatre ans et plus. Mais en s’y penchant de plus près, il s’est aperçu qu’un véritable casino virtuel se cachait en fait dans la plateforme, grâce au webapp. Alors même que c’est purement illégal dans de nombreux états américains, où la plateforme était justement disponible avant d’être finalement bannie.
De l’argent volé au nez et à la barbe d’Apple
Mais l’histoire ne s’arrête pas là. Car en plus de contrevenir à la législation des États-Unis, Jungle Runner propose des achats in-app sans passer par le système de commission imposé par iOS. C’est d’ailleurs ce qui a motivé la suspension de Fortnite sur les iPhone, elle-même débouchant sur un procès d’envergure dont l’issue reste toujours incertaine à l’heure où nous publions ces lignes.
But since the scammers are not using Apple’s IAP, and an online casino could just be a website, why are they even going through the App Store?
To take advantage of people’s misplaced trust due to Apple’s “Security! Privacy!” marketing.
In fact, this *is* just a web view! pic.twitter.com/LqKHpSOw74
— Kosta Eleftheriou (@keleftheriou) April 15, 2021
En analysant les commentaires laissés par des victimes ayant téléchargé le jeu, Eleftheriou a également remarqué qu’ils étaient plusieurs à se plaindre de n’avoir tout simplement pas reçu la contrepartie de leur paiement. Les cibles semblent par ailleurs se concentrer en Turquie, comme l’enquêteur en herbe a pu le remarquer grâce à son VPN. De faux reportages de la chaîne CNN sont même affichés à l’écran pour tenter de rassurer les joueurs…
Comment se prémunir de ce genre de danger ?
Habituellement, les procédures de vérification engagées par Apple sont censées éviter de ce retrouver face à une menace de ce type. Mais les apps se comptent par millions sur iOS, et il arrive donc parfois que certains éditeurs malintentionnés passent entre les mailles du filet. Heureusement, quelques pratiques de base permettent de les éviter :
- refuser d’utiliser le webapp et faire appel à votre navigateur usuel
- vérifier le nombre d’installations d’une app et les avis qui sont rédigés sur sa fiche
- bien lire les étiquettes de confidentialité
- se méfier des apps qui n’acceptent que les transactions en cryptomonnaie