Одно из достоинств системы Touch ID состоит в том, как хорошо она работает. Редко требуется более одного мгновения на разблокировку iPhone или одобрение покупки. Однако в последнее время несколько мошеннических приложений превратили эту простоту использования в оружие против всех, кому не повезло их скачать.
Несколько не связанных между собой источников сообщают о приложениях, якобы связанных с отслеживанием состояния здоровья, предлагают пользователям отслеживать потребляемые калории, измерять пульс или заняться или другими легитимными действиями. После того, как вы отсканируете отпечаток пальца, такое приложение быстро показывает всплывающее окно с внутренней покупкой и списывает со счёта от $90 до $120, одновременно уменьшая яркость экрана, чтобы это окно было сложно увидеть. В некоторых случаях, даже если вы отказываетесь использовать Touch ID, приложение просит вас нажать кнопку, чтобы продолжить, и пытается провести внутренний платёж.
Брать непомерные, бессовестные суммы с пользователей внутри приложений нельзя по правилам работы Apple App Store; описываемые приложения, которые назывались named “Heart Rate Monitor”, “Fitness Balance app” и “Calories Tracker app”, уже удалены оттуда. Неизвестно сделал ли их один разработчик под разными учётными записями или разные. В любом случае, их работа была основана не на вредоносном ПО, а на простом обмане – и на хорошем понимании того, как мы используем Touch ID.
«Как только вы располагаете на кнопке палец, оно начинает сканировать, поэтому оно готово заранее и работает очень быстро», — говорит Стивен Кобб, главный исследователь по безопасности в фирме, занимающейся информационной безопасностью ESET, писавший о двух поддельных приложениях в понедельник. «Кто-то хитрый придумал и воплотил способ, которым можно заставить людей делать что-то, чего они не хотели».
Система Touch ID давно уже используется не только для разблокировки телефона. Её используют для Apple Pay и авторизации в различных приложениях. С ней работать быстро и легко, поэтому пользователи уже не задумываются об этом, когда их спрашивает приложение. А когда вы ставите палец на кнопку «Домой», не появляется никакого дополнительного запроса, подтверждающего, что вы сделали это специально.
Кобб сравнивает этот сценарий с ранней эпохой QR-кодов, когда у сканеров не было никакого защитного механизма, проверявшего, куда отправит вас квадратик с чёрными закорючками. «Это абсолютно то же самое, — говорит он. – Прекрасная идея, новый тип ввода, считывание отпечатка пальца, позволила нам создать огромное разнообразие программ. Отсутствие этапа подтверждения позволяет вам обойти подтверждение пользователя».
Неизвестно, сколько людей потеряло деньги из-за этих мошеннических действий, хотя в недавней ветке обсуждений на Reddit отозвалось, по меньшей мере, несколько человек. Хуже, что данный подход легко воспроизвести. Возможно, изначальный отбор программ для App Store идёт и тщательно, однако мошенники смогут обойти его, особенно после получения первоначального одобрения.
«Мошеннические приложения – это проблема и для iOS, и для Android, хотя для первой ОС их меньше из-за более закрытой экосистемы», — говорит Джером Сегура, глава отдела по исследованию угроз в компании Malwarebytes. «Однако мошенники часто придумывают хитрые идеи, позволяющие обойти первоначальные проверки. Со временем они обновляют приложения, и подправляют процедуры внутренних покупок – то, где концентрируется большинство проблем».
Хорошая новость состоит в том, что у людей с iPhone X и более новыми моделями таких проблем не будет, прежде всего потому, что у этих моделей нет кнопки «Домой». А для использования Apple Pay через Face ID необходимо дважды нажать на боковую кнопку.
Но более старым айфонам от этого не легче – и этих моделей до сих пор ещё очень много на руках. Лучшее, что могут сделать владельцы айфонов вплоть до 8-й модели, это оставаться начеку и использовать Touch ID только в приложениях, которым есть причины доверять. Apple со своей стороны тоже может уменьшить вероятность успеха подобного мошенничества, более строго оценивая приложения или введя дополнительный этап подтверждения для использования Touch ID, хотя такие меры и вызовут дополнительное раздражение. И это, возможно, не будет иметь никакого смысла для Купертино, если только масштаб подобных проблем не увеличится до неприемлимых размеров – особенно в связи с тем, что Touch ID в последний год постепенно выводится из обращения.
«Повторюсь, что удобство и простота использования новых технологий могут обернуться к нам другой стороной», — говорит Сегура. «Подтверждение покупок касанием пальца – процедура беспроблемная, однако, к сожалению, мошенники точно так же просто могут использовать её во вред».
Комментарии (26)
Marwin
08.12.2018 13:25А на что мошенник надеется? Деньги же не мгновенно уходят на счёт бомжа Васи. Думаю, достаточно один раз пожаловаться на прогу, и спор выйдет в пользу клиента, при этом наверно все проги apple dev аккаунта заблочат, а значит надо каждый раз делать новый за 99$ — нехилые такие вложения со слабой перспективой отбить. Или люди настолько пофигисты, что не замечают, что с них сняли кучу бабла и не жалуются?
d-stream
08.12.2018 14:59Ну на самом деле факт наличия — подразумевает что не все так плохо у мошенников.
Даже смс «мама, у меня проблемы, пополни на 100р этот номер, потом все объясню» оказываются вполне доходными, просто рентабельность ныне заметно меньше чем лет 10 назад.Am0ralist
08.12.2018 22:27+3Вот моя мама мне же и пополнила, получив такую смску в своё время) Ибо будет она еще вчитываться на какой номер деньги кидать)))
funca
08.12.2018 23:17С 90-120$ они окупаются с первой покупки. При достаточной степени автоматизации, снижающей издержки на клонирование и публикацию приложений это может быть прибыльным чисто статистически.
FiLunder7
09.12.2018 11:59+1Так деньги в конце отчетного периода на счет перечисляются. А за это время 10 раз пожалуются.
Goodkat
09.12.2018 15:35Видимо, всё-таки оплата идёт не через Apple Store, а через Apple Pay на каком-то сайте, для которого это как оплата кредитной картой.
Причём это может быть и совершенно непричастный сайт-посредник.FiLunder7
09.12.2018 16:13При Эппл пей возникает стандартное системное окно для оплаты же, там нужно нажать — оплатить и прижать палец.
DrPass
09.12.2018 00:27Деньги же не мгновенно уходят на счёт бомжа Васи.
Не мгновенно, но в общем случае быстрее, чем пользователь заметит транзакцию, сообразит, что за программулина его кинула, отреагирует, пожалуется, развернет спор и выиграет его.
Скорее всего, пара-тройка дней с момента первой транзакции и до удаления приложения и блокировки эккаунта у мошенника точно есть. Этого вполне достаточно — всего несколько транзакций, и профит.Enchi
09.12.2018 08:12т.е. мы живем в мире без смс/push уведомлений от банка по транзакциям...
barbanel
10.12.2018 13:22Возможно вы удивитесь, но в
этой вашей гейропеГермании, не приходят смс о оплате. Более того, наши банки предлагают в разы лучший сервис чем многие европейские.
Лично мне например чтобы увидеть движения на кредитной карте за прошлый-позапрошлый месяц пришлось звонить в банк и ругаться с ними.
Знаете какая у них была отмазка? «Нет технической возможности»! На что пришлось им доходчиво пояснить, что если я не увижу эти данные то я лично найду техническую и физическую возможность пообщаться с их начальником о их квалификации и занимаемом месте.
FiLunder7
09.12.2018 12:00Несколько лет назад деньги перечислялись в конце отчетного периода только. Сейчас не знаю как.
Goodkat
08.12.2018 13:48внутренней покупкой и списывает со счёта от $90 до $120, одновременно уменьшая яркость экрана
Слишком заметно, легко оспорить. Умные мошенники списывают 2 бакса, но абонементом раз в неделю.andrewdrone
09.12.2018 03:09+1При этом, предоставляется "триальный период" во время которого деньги не снимаются
Ilya81
09.12.2018 12:06Удивительно другое — на моей памяти в Apple всегда review делался тщательно, покуда всё не сделаешь, как положено, приложение не опубликуют. Возможно, частыми обновлениями «эти самые» обошли бдительность reviewer'ов.
pronvit
09.12.2018 01:32Мне почему-то казалось, что раньше надо было палец приложить к кнопке после показа запроса. Сейчас попробовал, нет, можно один палец уже держать на кнопке, другим нажать на купить, и сработает. Требовать убрать палец и положить снова было бы лучше.
Но фиг с ним с тач айди, его скоро нигде не будет. Как там фейс айди активируется?
FiLunder7
09.12.2018 12:01+1При покупке, нужно подтвердить двойным нажатием на кнопку питания. Так что Фэйс айди получается безопаснее в данном случае.
roscomtheend
10.12.2018 15:28Коснитесь дважды кнопки для определения ваших биоритмов.
FiLunder7
10.12.2018 15:33Там вылезает GUI-шка поверх программы: Для подтверждения оплаты нажмите два раза — и стрелочка к кнопке питания. Это системный оверлей.
REKTOR_RG
09.12.2018 19:17Эх… А вот представте, человек впервые покупает каой-нибудь седьмой айфон, ставит туда сразу кучу приложений, радуется. Потом таким не хитрым образом с него списывают часть денег. Человек в панике: «Что произошло? Где мои деньги?».
А потом такие люди идут хейтить Apple за плохую защиту…
Ведь если ты уже достаточно пользовался Apple Pay, ты знаешь, что деньги уйдут не сразу, что транзакцию можно оспорить, а когда ты новенький в этом деле, то тут будет паника.
А если так какой-нибудь дедушка попадётся? Старые айфоны же популярны у пенсионеров (простые в использовании, и если Б/У, то стоят не дорого)…
В принципе исправить сей недочёт можно например дополнительным предупреждением при транзакциях больше 10$.
motpac
Хорошо, что оспорить такую лже-покупку в приложении достаточно легко. Но сколько раз я сталкивался со встроенными покупками, в них каждый раз система просит ввести пароль на AppleID. Видимо, в данной ситуации используется как раз не in-app purchase, а покупка товара или услугу как в интернет-магазине, там-то и выходит окошко Apple Pay. Но опять же, написав в ТП и объяснив им ситуацию, они скорее всего вернут деньги.
Amihailov
Да, описанный вами сценарий с паролем — он по-умолчанию, но многие включают разрешение покупки по пальцу, без ввода пароля, чтобы каждый раз не вводить пароль даже при скачивании бесплатных приложений (в терминологии апстора это тоже покупка).