Touch ID的好处之一就是它的工作原理。 解锁iPhone或认可购买几乎不需要一次以上的时间。 但是,最近,一些欺诈性应用程序已将这种易用性变成了针对不愿下载它们的任何人的武器。
几个不相关的消息来源报道了据称与健康监测有关的应用程序,为用户提供了追踪所消耗的卡路里,测量心律或进行其他合法行动的信息。 扫描指纹后,此类应用程序会快速显示一个带有内部购买项的弹出窗口,并从90美元降至120美元,同时降低了屏幕的亮度,因此很难看清。 在某些情况下,即使您拒绝使用Touch ID,应用程序也会要求您单击一个按钮以继续,并尝试进行内部付款。
根据Apple App Store的规则,不可能从应用程序中的用户那里收取不菲的高额费用; 名为“心率监视器”,“健身平衡应用程序”和“卡路里跟踪器应用程序”的上述应用程序已从此处删除。 尚不清楚一个开发人员是否使用不同的帐户或不同的帐户进行开发。 无论如何,他们的工作不是基于恶意软件,而是基于简单的欺骗-以及对我们如何使用Touch ID的充分理解。
安全公司ESET首席安全研究员Stephen Cobb说:“一旦您按下按钮,它就会开始扫描,因此可以预先准备好并且运行非常迅速。” “有人狡猾地提出并体现了一种方法,可以使人们做他们不想要的事情。”
长期以来,Touch ID不仅用于解锁手机。 它用于各种应用程序中的Apple Pay和授权。 使用它既快捷又容易,因此用户在应用程序询问时不再考虑它。 并且,当您将手指放在“主页”按钮上时,没有其他要求确认您是故意这样做的。
Cobb将这种情况与QR码的早期时代进行了比较,当时QR扫描器没有任何保护机制来检查带有黑花体的正方形将发送您的位置。 他说:“完全一样。” -一个很棒的主意,一种新型的输入方式,即指纹读取,使我们能够创建各种各样的程序。 无需确认步骤,您就可以规避用户确认。”
尽管至少有少数人对最近
关于Reddit的讨论话题做出了回应,但尚不清楚有多少人因这些欺诈活动而蒙受了损失。 更糟糕的是,这种方法很容易复制。 App Store的初始程序选择可能进行得不错,但是骗子可以绕开它,特别是在获得初步批准后。
Malwarebytes威胁研究主管Jerome Segura表示:“欺诈性应用程序对于iOS和Android都是一个问题,尽管由于生态系统更加封闭,第一个OS的欺诈性应用程序较少。” “但是,骗子经常想出一些棘手的想法来绕过最初的检查。 随着时间的推移,他们会更新应用程序,并调整内部购买程序-大多数问题集中在此。”
好消息是,使用iPhone X和更新型号的人不会遇到此类问题,主要是因为这些型号没有“主页”按钮。 要通过Face ID使用Apple Pay,请双击侧面按钮。
但这对于较旧的iPhone而言并不容易-仍然有很多这样的型号。 iPhone所有者最多可以在第8款机型上做的事情就是保持警惕,并仅在有理由信任的应用程序中使用Touch ID。 苹果公司也可以通过更严格地评估应用程序或通过引入其他确认步骤来使用Touch ID来降低此类欺诈成功的可能性,尽管这样的措施会引起额外的麻烦。 除非这些问题的规模扩大到无法接受的程度,否则这对库比蒂诺毫无意义-尤其是自从去年以来逐渐淘汰Touch ID以来。
Segura说:“我重申,新技术的便利性和易用性可以求助于我们。” “用手指轻触确认购买是一个没有问题的程序,但是,不幸的是,欺诈者可以很容易地使用它,这是有害的。”