L'un des avantages de Touch ID est son bon fonctionnement. Il faut rarement plus d'un instant pour déverrouiller un iPhone ou approuver un achat. Récemment, cependant, plusieurs applications frauduleuses ont
transformé cette facilité d'utilisation en arme contre quiconque n'a pas de chance de les télécharger.
Plusieurs sources indépendantes rapportent des applications prétendument liées à la surveillance de la santé, suggèrent aux utilisateurs de suivre les calories consommées, de mesurer la fréquence cardiaque ou de faire d'autres actions légitimes. Après avoir numérisé une empreinte digitale, une telle application affiche rapidement une fenêtre contextuelle avec un achat interne et débite de 90 $ à 120 $, tout en réduisant la luminosité de l'écran de sorte qu'elle est difficile à voir. Dans certains cas, même si vous refusez d'utiliser Touch ID, l'application vous demande de cliquer sur un bouton pour continuer et essaie d'effectuer un paiement interne.
Il est impossible de prendre des montants exorbitants et sans scrupules d'utilisateurs dans les applications selon les règles de l'App Store d'Apple; les applications décrites appelées «Heart Rate Monitor», «Fitness Balance app» et «Calories Tracker app» en ont déjà été supprimées. On ne sait pas si un développeur les a créés sous différents comptes ou différents. En tout cas, leur travail n'était pas basé sur des logiciels malveillants, mais sur une simple tromperie - et sur une bonne compréhension de la façon dont nous utilisons Touch ID.
"Une fois que vous avez le doigt sur le bouton, il commence la numérisation, il est donc prêt à l'avance et fonctionne très rapidement", a déclaré Stephen Cobb, chercheur en chef de la sécurité chez ESET, une société de sécurité, qui a écrit lundi deux fausses applications. "Quelqu'un rusé est venu et a incarné la façon dont vous pouvez amener les gens à faire quelque chose qu'ils ne voulaient pas."
Touch ID a longtemps été utilisé non seulement pour déverrouiller le téléphone. Il est utilisé pour Apple Pay et l'autorisation dans diverses applications. Son utilisation est rapide et facile, de sorte que les utilisateurs n'y pensent plus lorsque l'application leur en fait la demande. Et lorsque vous placez votre doigt sur le bouton "Accueil", il n'y a aucune demande supplémentaire confirmant que vous l'avez fait exprès.
Cobb compare ce scénario avec l'ère précoce des codes QR, lorsque les scanners n'avaient aucun mécanisme de protection pour vérifier où le carré avec des gribouillis noirs vous enverrait. «C'est exactement la même chose», dit-il. - Une excellente idée, un nouveau type d'entrée, la lecture des empreintes digitales, nous a permis de créer une grande variété de programmes. L'absence d'une étape de confirmation vous permet de contourner la confirmation de l'utilisateur. »
On ne sait pas combien de personnes ont perdu de l'argent en raison de ces activités frauduleuses, bien qu'au moins quelques personnes aient répondu à un récent
fil de discussion sur Reddit . Pire encore, cette approche est facile à reproduire. Il est possible que la sélection initiale de programmes pour l'App Store se déroule bien, mais les escrocs pourront s'y déplacer, surtout après avoir reçu l'approbation initiale.
«Les applications frauduleuses sont un problème pour iOS et Android, bien qu'elles soient moins nombreuses pour le premier système d'exploitation en raison d'un écosystème plus fermé», explique Jerome Segura, responsable de la recherche sur les menaces chez Malwarebytes. «Cependant, les escrocs trouvent souvent des idées délicates pour contourner les vérifications initiales. Au fil du temps, ils mettent à jour les applications et modifient les procédures d'achat internes - là où la plupart des problèmes se concentrent. »
La bonne nouvelle est que les utilisateurs d'iPhone X et de modèles plus récents n'auront pas de tels problèmes, principalement parce que ces modèles n'ont pas de bouton d'accueil. Et pour utiliser Apple Pay via Face ID, double-cliquez sur le bouton latéral.
Mais ce n'est pas plus facile pour les iPhones plus anciens - et il y a encore beaucoup de ces modèles sous la main. La meilleure chose que les propriétaires d'iPhone puissent faire jusqu'au 8e modèle est de rester vigilant et d'utiliser le Touch ID uniquement dans les applications pour lesquelles il y a lieu de faire confiance. Apple, pour sa part, peut également réduire les chances de succès d'une telle fraude en évaluant plus strictement les applications ou en introduisant une étape de confirmation supplémentaire pour utiliser Touch ID, bien que de telles mesures provoquent une gêne supplémentaire. Et cela, peut-être, n'aura aucun sens pour Cupertino, à moins que l'ampleur de ces problèmes n'atteigne une taille inacceptable - d'autant plus que Touch ID est progressivement supprimé au cours de la dernière année.
«Je répète que la commodité et la facilité d'utilisation des nouvelles technologies peuvent se tourner vers nous de l'autre côté», explique Segura. "La confirmation des achats avec le toucher d'un doigt est une procédure sans problème, mais malheureusement, les fraudeurs peuvent tout aussi bien l'utiliser au détriment."