Einer der Vorteile von Touch ID ist, wie gut es funktioniert. In seltenen Fällen dauert es mehr als einen Augenblick, um ein iPhone zu entsperren oder einen Kauf zu bestätigen. In letzter Zeit haben jedoch mehrere betrügerische Anwendungen diese Benutzerfreundlichkeit zu einer Waffe gegen jeden gemacht, der das Pech hat, sie herunterzuladen.
Mehrere nicht verwandte Quellen berichten über Anwendungen, die angeblich mit der Gesundheitsüberwachung zusammenhängen, und schlagen Benutzern vor, den Kalorienverbrauch zu verfolgen, die Herzfrequenz zu messen oder andere legitime Maßnahmen zu ergreifen. Nachdem Sie einen Fingerabdruck gescannt haben, zeigt eine solche Anwendung schnell ein Popup-Fenster mit einem internen Kauf und Belastungen von 90 bis 120 US-Dollar an, während die Helligkeit des Bildschirms verringert wird, sodass sie schwer zu erkennen ist. In einigen Fällen fordert die Anwendung Sie auf, auf eine Schaltfläche zu klicken, um fortzufahren, und versucht, eine interne Zahlung vorzunehmen, auch wenn Sie die Verwendung von Touch ID ablehnen.
Es ist unmöglich, Benutzern innerhalb von Anwendungen gemäß den Regeln des Apple App Store exorbitante, skrupellose Beträge abzunehmen. Die beschriebenen Anwendungen mit den Namen "Heart Rate Monitor", "Fitness Balance App" und "Calories Tracker App" wurden bereits von dort entfernt. Es ist nicht bekannt, ob ein Entwickler sie unter verschiedenen Konten oder unter verschiedenen Konten erstellt hat. In jedem Fall basierte ihre Arbeit nicht auf Malware, sondern auf einer einfachen Täuschung - und auf einem guten Verständnis der Verwendung von Touch ID.
"Sobald Sie den Finger auf die Schaltfläche gedrückt haben, wird mit dem Scannen begonnen, sodass sie im Voraus bereit ist und sehr schnell funktioniert", sagte Stephen Cobb, Chef-Sicherheitsforscher bei ESET, einem Sicherheitsunternehmen, der am Montag über zwei gefälschte Anwendungen schrieb. "Jemand hat sich die Art ausgedacht und verkörpert, wie man Leute dazu bringen kann, etwas zu tun, was sie nicht wollten."
Touch ID wird seit langem nicht nur zum Entsperren des Telefons verwendet. Es wird für Apple Pay und die Autorisierung in verschiedenen Anwendungen verwendet. Die Arbeit damit ist schnell und einfach, sodass Benutzer nicht mehr darüber nachdenken, wenn die Anwendung sie dazu auffordert. Und wenn Sie Ihren Finger auf die Schaltfläche "Home" legen, gibt es keine zusätzliche Anfrage, die bestätigt, dass Sie dies absichtlich getan haben.
Cobb vergleicht dieses Szenario mit der frühen Ära der QR-Codes, als die Scanner keinen Abwehrmechanismus hatten, um zu überprüfen, wohin das Quadrat mit den schwarzen Kringeln Sie schicken würde. "Es ist genau das gleiche", sagt er. - Eine großartige Idee, eine neue Art der Eingabe, das Lesen von Fingerabdrücken, ermöglichte es uns, eine Vielzahl von Programmen zu erstellen. Das Fehlen eines Bestätigungsschritts ermöglicht es Ihnen, die Benutzerbestätigung zu umgehen. “
Es ist nicht bekannt, wie viele Menschen durch diese betrügerischen Aktivitäten Geld verloren haben, obwohl zumindest einige wenige auf einen aktuellen
Diskussionsthread zu Reddit geantwortet haben. Schlimmer noch, dieser Ansatz ist leicht zu reproduzieren. Es ist möglich, dass die anfängliche Auswahl von Programmen für den App Store gut läuft, aber Betrüger können dies umgehen, insbesondere nach Erhalt der ersten Genehmigung.
"Betrügerische Anwendungen sind sowohl für iOS als auch für Android ein Problem, obwohl sie für das erste Betriebssystem aufgrund eines geschlosseneren Ökosystems weniger sind", sagt Jerome Segura, Leiter der Bedrohungsforschung bei Malwarebytes. „Betrüger haben jedoch oft knifflige Ideen, um die ersten Überprüfungen zu umgehen. Im Laufe der Zeit aktualisieren sie Anwendungen und optimieren interne Kaufverfahren - wo sich die meisten Probleme konzentrieren. “
Die gute Nachricht ist, dass Menschen mit iPhone X und neueren Modellen solche Probleme nicht haben werden, vor allem, weil diese Modelle keine Home-Taste haben. Um Apple Pay über Face ID zu verwenden, doppelklicken Sie auf die Seitentaste.
Für ältere iPhones ist dies jedoch nicht einfacher - und es gibt immer noch viele dieser Modelle. Das Beste, was iPhone-Besitzer bis zum 8. Modell tun können, ist, wachsam zu bleiben und die Touch ID nur in Anwendungen zu verwenden, für die es Grund zum Vertrauen gibt. Apple kann seinerseits auch die Erfolgswahrscheinlichkeit eines solchen Betrugs verringern, indem es Anwendungen strenger bewertet oder einen zusätzlichen Bestätigungsschritt für die Verwendung von Touch ID einführt, obwohl solche Maßnahmen zusätzliche Belästigungen verursachen. Und dies wird für Cupertino vielleicht keinen Sinn ergeben, es sei denn, das Ausmaß solcher Probleme steigt auf eine inakzeptable Größe - zumal Touch ID im letzten Jahr schrittweise ausläuft.
„Ich wiederhole, dass sich die Bequemlichkeit und Benutzerfreundlichkeit neuer Technologien auf der anderen Seite an uns wenden kann“, sagt Segura. "Das Bestätigen von Einkäufen mit einem Fingerdruck ist ein problemloses Verfahren. Betrüger können es jedoch leider genauso leicht zum Nachteil nutzen."