Een paar scammy iOS applicaties maken gebruik van Apple ‘ s Touch-ID platform door te proberen om gebruikers te verleiden tot het doen van betalingen met valse beloften van het gebruik van de vingerafdruk wordt gescand voor fitness gegevens, volgens ESET WeLiveSecurity blog.
De twee apps genoemd “Fitness Balance” en “Calorieën Tracker” — werden gespot door verschillende Reddit-gebruikers over de afgelopen week, en zowel in dienst soortgelijke tactiek. Als onderdeel van hun zogenaamde “uw fitness kan bijhouden,” de apps gebruikers vragen om hun vingerafdruk op de Touch-ID scanner voor 10 seconden, op “maak een gepersonaliseerd dieet en andere dingen.” Terwijl een gebruiker de vinger wordt gelegd op het pad van de app verschijnt een in-app aankoop verzoek tot betaling voor de bedragen als $99.99. Omdat de gebruiker de vinger al op de Touch-ID pad, de aanvraag kan worden goedgekeurd bijna onmiddellijk.
Scam iOS-apps is te vinden in de Apple App Store tricking gebruikers om te betalen meer dan $100
Apps vragen voor vingerafdruk op het moment dat het betalen van een pop-up toont, die wordt aanvaard door gebruiker vingerafdruk.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD
— Lukas Stefanko (@LukasStefanko) December 3, 2018
Deze hack werkt omdat de Touch-ID is een naadloos proces. Door te proberen om zo snel en onopvallend mogelijk te zijn, de telefoon begint met het scannen van de vinger die u al op het pad van zodra het verzoek tot betaling verschijnt. De snelheid waarmee de Touch-ID werkt betekent dat door de tijd die een gebruiker heeft verwerkt, wat er aan de hand, de betaling reeds is goedgekeurd.
:no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%20320w,%20https://cdn.vox-cdn.com/thumbor/etdeHJ6nvwnG57pG7fjwcvx0cKo=/0x0:1200x800/520x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%20520w,%20https://cdn.vox-cdn.com/thumbor/X_tqYvzPLuN5f3OsrmD4UQtt6Uo=/0x0:1200x800/720x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%20720w,%20https://cdn.vox-cdn.com/thumbor/bLJTc0RLE6aVY4AKqQa4-GimPik=/0x0:1200x800/920x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%20920w,%20https://cdn.vox-cdn.com/thumbor/zJ-Bs0IgTijdoziGqVPGeTd1jIg=/0x0:1200x800/1120x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%201120w,%20https://cdn.vox-cdn.com/thumbor/Hl7SVfC8Y9xTqpJo9tBYakVXELs=/0x0:1200x800/1320x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%201320w,%20https://cdn.vox-cdn.com/thumbor/X4JufZ-eqn1JypvuOZ_37q3I2oE=/0x0:1200x800/1520x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%201520w,%20https://cdn.vox-cdn.com/thumbor/brxMAap9XDaVkXhgNx_f5wrCToE=/0x0:1200x800/1720x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%201720w,%20https://cdn.vox-cdn.com/thumbor/EcL2jzTDeuuYnaM5lM4kfIeNwg0=/0x0:1200x800/1920x0/filters:focal(0x0:1200x800):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/13597649/Untitled.png%201920w "Scammy iOS apps used Touch ID to push users toward $99 payouts")
Afbeeldingen via /u/Zackman en /u/JakeMini123 (Reddit)
Er zijn legitieme technologieën die kunnen zorgen voor fitness-informatie zoals deze, net als de Apple-Horloge-Serie 4 de komende ECG functie die gebruikers plaatsen hun vinger op een toets voor het meten van hun hartslag data. En terwijl deze functies hebben niets te maken met het scannen van vingerafdrukken, het is gemakkelijk om te zien hoe sommige gebruikers de fout gemaakt te denken dat een iPhone kan iets soortgelijks doen.
Gebaseerd op de gelijknamige UI, lijkt het waarschijnlijk dat beide apps zijn gemaakt door dezelfde ontwikkelaar. Gelukkig, beide lijken te zijn verwijderd uit de App Store, en hopelijk zal Apple dichterbij oog op dit soort van de UI-hacken in de toekomst.