Главная » Хабрахабр » [Перевод] Берегитесь хитроумного мошенничества с Touch ID, проникшего в App Store

[Перевод] Берегитесь хитроумного мошенничества с Touch ID, проникшего в App Store

Редко требуется более одного мгновения на разблокировку iPhone или одобрение покупки. Одно из достоинств системы Touch ID состоит в том, как хорошо она работает. Однако в последнее время несколько мошеннических приложений превратили эту простоту использования в оружие против всех, кому не повезло их скачать.

После того, как вы отсканируете отпечаток пальца, такое приложение быстро показывает всплывающее окно с внутренней покупкой и списывает со счёта от $90 до $120, одновременно уменьшая яркость экрана, чтобы это окно было сложно увидеть. Несколько не связанных между собой источников сообщают о приложениях, якобы связанных с отслеживанием состояния здоровья, предлагают пользователям отслеживать потребляемые калории, измерять пульс или заняться или другими легитимными действиями. Неизвестно сделал ли их один разработчик под разными учётными записями или разные. В некоторых случаях, даже если вы отказываетесь использовать Touch ID, приложение просит вас нажать кнопку, чтобы продолжить, и пытается провести внутренний платёж.
Брать непомерные, бессовестные суммы с пользователей внутри приложений нельзя по правилам работы Apple App Store; описываемые приложения, которые назывались named “Heart Rate Monitor”, “Fitness Balance app” и “Calories Tracker app”, уже удалены оттуда. В любом случае, их работа была основана не на вредоносном ПО, а на простом обмане – и на хорошем понимании того, как мы используем Touch ID.

«Кто-то хитрый придумал и воплотил способ, которым можно заставить людей делать что-то, чего они не хотели». «Как только вы располагаете на кнопке палец, оно начинает сканировать, поэтому оно готово заранее и работает очень быстро», — говорит Стивен Кобб, главный исследователь по безопасности в фирме, занимающейся информационной безопасностью ESET, писавший о двух поддельных приложениях в понедельник.

Её используют для Apple Pay и авторизации в различных приложениях. Система Touch ID давно уже используется не только для разблокировки телефона. А когда вы ставите палец на кнопку «Домой», не появляется никакого дополнительного запроса, подтверждающего, что вы сделали это специально. С ней работать быстро и легко, поэтому пользователи уже не задумываются об этом, когда их спрашивает приложение.

«Это абсолютно то же самое, — говорит он. Кобб сравнивает этот сценарий с ранней эпохой QR-кодов, когда у сканеров не было никакого защитного механизма, проверявшего, куда отправит вас квадратик с чёрными закорючками. Отсутствие этапа подтверждения позволяет вам обойти подтверждение пользователя». – Прекрасная идея, новый тип ввода, считывание отпечатка пальца, позволила нам создать огромное разнообразие программ.

Хуже, что данный подход легко воспроизвести. Неизвестно, сколько людей потеряло деньги из-за этих мошеннических действий, хотя в недавней ветке обсуждений на Reddit отозвалось, по меньшей мере, несколько человек. Возможно, изначальный отбор программ для App Store идёт и тщательно, однако мошенники смогут обойти его, особенно после получения первоначального одобрения.

«Однако мошенники часто придумывают хитрые идеи, позволяющие обойти первоначальные проверки. «Мошеннические приложения – это проблема и для iOS, и для Android, хотя для первой ОС их меньше из-за более закрытой экосистемы», — говорит Джером Сегура, глава отдела по исследованию угроз в компании Malwarebytes. Со временем они обновляют приложения, и подправляют процедуры внутренних покупок – то, где концентрируется большинство проблем».

А для использования Apple Pay через Face ID необходимо дважды нажать на боковую кнопку. Хорошая новость состоит в том, что у людей с iPhone X и более новыми моделями таких проблем не будет, прежде всего потому, что у этих моделей нет кнопки «Домой».

Лучшее, что могут сделать владельцы айфонов вплоть до 8-й модели, это оставаться начеку и использовать Touch ID только в приложениях, которым есть причины доверять. Но более старым айфонам от этого не легче – и этих моделей до сих пор ещё очень много на руках. И это, возможно, не будет иметь никакого смысла для Купертино, если только масштаб подобных проблем не увеличится до неприемлимых размеров – особенно в связи с тем, что Touch ID в последний год постепенно выводится из обращения. Apple со своей стороны тоже может уменьшить вероятность успеха подобного мошенничества, более строго оценивая приложения или введя дополнительный этап подтверждения для использования Touch ID, хотя такие меры и вызовут дополнительное раздражение.

«Подтверждение покупок касанием пальца – процедура беспроблемная, однако, к сожалению, мошенники точно так же просто могут использовать её во вред». «Повторюсь, что удобство и простота использования новых технологий могут обернуться к нам другой стороной», — говорит Сегура.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Пишем торговых роботов с помощью графического фреймворка StockSharp. Часть 1

Один из них – бесплатная платформа StockSharp, которую можно использовать для профессиональной разработки торговых терминалов и торговых роботов на языке C#. В нашем блоге мы много пишем о технологиях и полезных инструментах, связанных с биржевой торговлей. API, с целью создания ...

[Перевод] Сверхинтеллект: идея, не дающая покоя умным людям

Расшифровка выступления на конференции Web Camp Zagreb Мачея Цегловского, американского веб-разработчика, предпринимателя, докладчика и социального критика польского происхождения. В 1945 году, когда американские физики готовились к испытанию атомной бомбы, кому-то пришло в голову спросить, не может ли такое испытание зажечь ...