Enligt ESETs WeLiveSecurity-blogg försöker användarens Touch ID-plattform lura användare att göra betalningar med falska löften om att använda fingeravtrycksskanning för att hitta fysisk data.
De två apparna – kallade “Physical Balance” och “Calorie Tracking” – upptäcktes av flera Reddit-användare under den senaste veckan och båda använder liknande taktik. Som en del av så kallad “spårning av fysisk aktivitet” ber apparna användare att placera sina fingeravtryck på en Touch ID-skanner i 10 sekunder, för att “skapa en personlig diet och olika saker”. Medan användarens finger placeras på tangentbordet, dyker appen upp och ber om att betala för ett köp i appen till ett belopp som $99,99. Eftersom användarens finger redan är på Touch ID-plattan kan begäran godkännas nästan omedelbart.
Appar som begär fingeravtryck i det ögonblick då betalningspopupen visas, accepteras av användarens fingeravtryck.
Detta hack fungerar eftersom Touch ID är en sömlös process. Genom att försöka vara så snabb och diskret som möjligt kommer telefonen att börja skanna fingret redan på tangentbordet så fort betalningsförfrågan dyker upp. Den hastighet med vilken Touch ID fungerar gör att när användaren bearbetar det som pågår har betalningen godkänts.
Det finns legitima tekniker som kan tillhandahålla fitnessinformation som denna, som Apple Watch Series 4, en kommande EKG-funktion för användare som låter användare placera fingret på en sidoknapp för att mäta sina hjärtdata. Och även om dessa funktioner inte har något att göra med fingeravtrycksskanning, är det lätt att se hur vissa användare gjorde misstaget att tro att iPhone kunde göra något liknande.
Baserat på liknande användargränssnitt ser det ut som att båda apparna är gjorda av samma utvecklare. Lyckligtvis verkar båda ha tagits bort från App Store, och förhoppningsvis kommer Apple att hålla ett närmare öga på den här typen av UI-hack i framtiden.
Källa: theverge
