Uno de los beneficios de Touch ID es lo bien que funciona. Rara vez se tarda más de un instante en desbloquear un iPhone o respaldar una compra. Recientemente, sin embargo, varias aplicaciones fraudulentas han
convertido esta facilidad de uso en un arma contra cualquiera que no tenga suerte para descargarlas.
Varias fuentes no relacionadas informan sobre aplicaciones supuestamente relacionadas con el monitoreo de la salud, sugieren a los usuarios rastrear las calorías consumidas, medir la frecuencia cardíaca o realizar otras acciones legítimas. Después de escanear una huella digital, dicha aplicación muestra rápidamente una ventana emergente con una compra interna y débitos de $ 90 a $ 120, al tiempo que reduce el brillo de la pantalla, por lo que es difícil de ver. En algunos casos, incluso si se niega a usar Touch ID, la aplicación le pide que haga clic en un botón para continuar e intenta realizar un pago interno.
Es imposible tomar cantidades exorbitantes y sin escrúpulos de los usuarios dentro de las aplicaciones de acuerdo con las reglas de la App Store de Apple; las aplicaciones descritas llamadas "Monitor de frecuencia cardíaca", "Aplicación Fitness Balance" y "Aplicación de seguimiento de calorías" ya se han eliminado de allí. No se sabe si un desarrollador los hizo con cuentas diferentes o diferentes. En cualquier caso, su trabajo no se basó en malware, sino en un simple engaño, y en una buena comprensión de cómo usamos Touch ID.
"Una vez que tiene el dedo en el botón, comienza a escanear, por lo que está listo de antemano y funciona muy rápido", dijo Stephen Cobb, investigador jefe de seguridad de ESET, una compañía de seguridad, que escribió sobre dos aplicaciones falsas el lunes. "A alguien astuto se le ocurrió y encarnó la forma en que puedes hacer que la gente haga algo que no quería".
Touch ID se ha utilizado durante mucho tiempo no solo para desbloquear el teléfono. Se utiliza para Apple Pay y la autorización en diversas aplicaciones. Trabajar con él es rápido y fácil, por lo que los usuarios ya no piensan en ello cuando la aplicación les pregunta. Y cuando coloca el dedo en el botón "Inicio", no hay ninguna solicitud adicional que confirme que lo hizo a propósito.
Cobb compara este escenario con la era temprana de los códigos QR, cuando los escáneres no tenían ningún mecanismo de protección para verificar dónde te enviaría el cuadrado con garabatos negros. "Es exactamente lo mismo", dice. - Una gran idea, un nuevo tipo de entrada, lectura de huellas digitales, nos permitió crear una gran variedad de programas. La ausencia de un paso de confirmación le permite eludir la confirmación del usuario ".
No se sabe cuántas personas perdieron dinero debido a estas actividades fraudulentas, aunque al menos algunas personas respondieron a un
hilo de discusión reciente
en Reddit . Peor aún, este enfoque es fácil de reproducir. Quizás la selección inicial de programas para la App Store se está llevando a cabo con cuidado, pero los estafadores podrán evitarlo, especialmente después de recibir la aprobación inicial.
"Las aplicaciones fraudulentas son un problema tanto para iOS como para Android, aunque son menos para el primer sistema operativo debido a un ecosistema más cerrado", dice Jerome Segura, jefe de investigación de amenazas en Malwarebytes. “Sin embargo, los estafadores a menudo presentan ideas difíciles para sortear las comprobaciones iniciales. Con el tiempo, actualizan las aplicaciones y modifican los procedimientos de compra internos, donde se concentran la mayoría de los problemas ”.
La buena noticia es que las personas con iPhone X y modelos más nuevos no tendrán tales problemas, principalmente porque estos modelos no tienen un botón de Inicio. Y para usar Apple Pay a través de Face ID, haga doble clic en el botón lateral.
Pero esto no es más fácil para los iPhones más antiguos, y todavía hay muchos de estos modelos disponibles. Lo mejor que pueden hacer los propietarios de iPhone hasta el octavo modelo es mantenerse alerta y usar el Touch ID solo en aplicaciones en las que haya razones para confiar. Apple, por su parte, también puede reducir la probabilidad de éxito de tal fraude evaluando más estrictamente las aplicaciones o introduciendo un paso de confirmación adicional para usar Touch ID, aunque tales medidas causarán molestias adicionales. Y esto, quizás, no tendrá ningún sentido para Cupertino, a menos que la escala de tales problemas aumente a un tamaño inaceptable, especialmente porque Touch ID se está eliminando gradualmente en el último año.
"Repito que la conveniencia y la facilidad de uso de las nuevas tecnologías pueden recurrir a nosotros en el otro lado", dice Segura. "Confirmar las compras con el toque de un dedo es un procedimiento sin problemas, sin embargo, desafortunadamente, los estafadores pueden usarlo en detrimento de la misma manera".