Недобросовестные разработчики iOS-приложений используют TouchID для мошенничества
Разработчики фитнес-приложений обманом заставляют жертву приложить палец к TouchID, после чего с ее счета списываются деньги.
Недобросовестные разработчики мобильных приложений нашли новый способ выуживания денег у пользователей. Схема, обнаруженная пользователями форума Reddit и описанная специалистами компании ESET, предусматривает использование датчика TouchID на iOS-устройстве, для того чтобы обманом заставить жертву совершить ненужную покупку внутри приложения. Исследователи ESET описали два случая с использованием вышеупомянутой схемы. Речь идет о фитнес-приложениях Calories Tracker и Fitness Balance (в настоящее время уже удалены из App Store), принесших своим создателям $60 тыс. и $10 тыс. соответственно.
Покупки внутри приложения осуществлялись, когда ничего не подозревавший пользователь прикладывал свой палец к TouchID якобы для снятия показателей здоровья. При первом запуске Calories Tracker и Fitness Balance запрашивали у пользователя отпечаток пальца будто бы для того, чтобы «показать ему его персонализированный счетчик калорий и рекомендации по питанию». После того, как пользователь прикладывал палец к счетчику, на экране появлялось всплывающее уведомление о списании 99,99, 119,99 долларов или $139,99 евро.
Уведомление отображалось на экране не более секунды. Если к учетной записи Apple была привязана банковская карта, транзакция считалась проверенной, и деньги отправлялись мошенникам.
Если пользователь отказывался сканировать палец, появлялось другое всплывающее уведомление, требовавшее нажать кнопку «Продолжить». После нажатия на кнопку все повторялось снова.