Aplikasi Authenticator Palsu Diiklankan di App Store, Kirim Data Pengguna hingga Paksa Berlangganan

Liputan6.com, Jakarta - Langkah Twitter baru-baru ini yang membatasi fitur two-factor authentication (2FA) berbasis SMS membuat penggunanya berpindah ke aplikasi authenticator gratisan untuk mengamankan akun Twitternya.

Hal ini membuat para pengguna kebingungan dalam memilih aplikasi authenticator mana yang bisa digunakan. Kondisi ini dimanfaatkan oleh sejumlah pengembang nakal yang membuat atau memanfaatkan aplikasi authenticator palsu dan diiklankan di App Store.

Karena diiklankan, aplikasi authenticator palsu itu terlihat menonjol di hasil pencarian dan bahaya pun bisa terjadi karenanya.

Mengutip 9to5Mac, Kamis (23/2/2023), aplikasi-aplikasi authenticator palsu tersebut rupanya melakukan penipuan. Alih-alih menyimpan login penggunanya secara aman, aplikasi ini justru mengirimkan semua QR code yang dipindai oleh pengguna kepada layanan analitik pengembang.

Let me show you something interesting. This app was released on 02/19/2023 and ranks 5 for "authenticator app" in the US App Store. As you can see from the video, once you tap on "X" to close the paywall, you will get triggered in subscription confirmation. pic.twitter.com/JI7XBcAy1s
— Kevin Archer (@IM_Kevin_Archer) February 21, 2023

Selain itu, ada sejumlah aplikasi authenticator yang diklaim gratis, tetapi belakangan justru memerlukan pembelian dalam aplikasi atau in-app purchase agar pengguna bisa memindai QR code.

Tentu saja, keberadaan aplikasi-aplikasi authenticator palsu ini jadi ancaman sendiri bagi para pengguna. Pasalnya, selain bisa kehilangan data pribadi, mereka juga bisa mengalami kerugian materil berkat pembelian in-app purchase tersebut.

Informasi ini pertama kali ditemukan oleh pengembang sekaligus peneliti keamanan di Mysk. Peneliti tersebut menemukan ada banyak aplikasi serupa yang mencurigakan, di mana semuanya menuntut pembelian langganan dalam aplikasi agar pengguna bisa memindai QR code.

The timeless art of authenticators!All these authenticator apps are free and offer in-app purchases. You install them to discover that you can't scan any QR code until you subscribe, $40/year with 3 days free trial. The apps are very similar. 🧐#iOS #AppStore #2FA pic.twitter.com/OIW3XQZIwN
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 19, 2023

Puluhan jenis smartphone bakal tidak bisa mengakses aplikasi WhatsApp per tanggal 1 November 2021. Hal ini karena WhatsApp menghentikan akses pada HP Android yang menjalankan OS 4.0.4 dan iOS 9 .

2 dari 4 halaman

Penipuan

iPhone 14 Pro Max with Software iOS 16 (Photo by Jeremy Bezanger on Unsplash)

Tentu hal ini adalah suatu bentuk penipuan, pasalnya aplikasi-aplikasi authenticator palsu ini mengklaim sebagai aplikasi gratis.

Namun ketika pengguna memasang di smartphone, mereka tidak bisa memindai QR code dan menawarkan langganan USD 40 per tahun dengan uji coba gratis 3 hari.

Sang peneliti keamanan Mysk pun menemukan ada lusinan aplikasi semacam ini dan mempertanyakan, kenapa tidak ada ulasan di aplikasi ini.

Berdasarkan risetnya, peneliti keamanan menyebut, ada sejumlah aplikasi authenticator asli yang dibeli, diubah merek, dan diterapkan oleh si penipu ke App Store.

3 dari 4 halaman

Ajak Pengguna Berhati-hati

Di antara aplikasi palsu itu, salah satunya mengirimkan kode QR yang dipindai pengguna ke pengembangnya. Ada juga yang memaksa pengguna untuk berlangganan.

"Pengguna harus hati-hati saat mencari aplikasi authenticator. Pasalnya aplikasi palsu memindai kode QR ke pengembang dan menjalankan kampanye iklan di App Store," tutur sang peneliti keamanan.

4 dari 4 halaman

Aplikasi Authenticator Apa yang Aman?

Model iPhone yang kebagian update iOS 16 — Deretan model iPhone yang akan kebagian update iOS 16. (Doc: Apple)

Lantas, pengguna harus pakai aplikasi authenticator apa yang aman?

Jika kamu ingin memakai aplikasi two-factor authenticator, pengguna iOS bisa mengunduh aplikasi Google Authenticator sebagai pilihan yang baik. Mysk mengatakan, sejauh ini dia belum menemukan alasan kenapa pengguna perlu meragukannya.

(Tin/Isk)