Szerző: Asztalos Olivér

2018. december 5. 11:00

Rafinált trükkel kopasztottak meg óvatlan iPhone tulajdonosokat

Két félrevezető iOS alkalmazás a készülékek ujjlenyomat-olvasójával gyűjtött be több száz dollárt.

Rafinált módszerrel késztette esetenként 100 dollár feletti vásárlásokra Reddit felhasználókat két iOS-es alkalmazás. Az App Store pajzsán átférkőzött Fitness Balance és Calories Tracker appok olyan ujjrátétel-alapú futurisztikus képességekkel ámították a naiv közönséget, mint a testtömeg-index mérés vagy épp a kalória bevitel monitorozása. A tájékozottabbak számára nevetségesnek tűnő ajánlatnak sokan bedőltek, amely esetenként 100, 120 dollárral, vagy akár 139 euróval rövidítette meg a felhasználók bankszámláit. Bár a panaszokat követően az Apple mindkét alkalmazást száműzte az App Store-ból, a károsultaknak pedig kompenzációt ígért, az eset ismét felveti az iOS, illetve a alkalmazásbolt egyes módszereinek gyengeségeit.

A szóban forgó két alkalmazás ügyesen lovagolta meg az App Store vásárlási procedúrájának egyik sajátosságát. Az ujjrátétel alapján nyilvánvalóan lehetetlen mérésekhez egy 10 másodpercig tartó érintést kértek az appok, melyek a visszaszámlálás megkezdésével párhuzamosan elindították a fizetési folyamatot. Az ujjlenyomat-olvasóval (Touch ID) szerelt Apple okostelefonok esetében (iPhone 5s-től 8-ig bezárólag) ezt jó eséllyel instant jóváhagyta a gyanútlan felhasználó, hisz annak ujjbegye a kör alakú olvasón ülve várta a csodát. Testtömeg-index vagy kalória helyett azonban csak egy háromjegyű összeg bukkant fel a kijelzőn, amit a jóváhagyás miatt az Apple annak melegében le is vont a fiókhoz kapcsolt bankkártyáról.

iphone_app

A csalók körültekintését erősíti, hogy a két alkalmazást előzetesen felmagasztalták. Ehhez hamis iCloud fiókokat készítettek, melyekkel 4-es értékelés fölé srófolták fel az appok tetszési indexét. Ez alapján a felhasználók többsége alappal hihette azt, hogy a hangzatos szuperképességeket ígérő alkalmazás valóban képes pusztán ujjlenyomat alapján méréseket végezni. Erre azonban már csak a hardver egyszerűsége, illetve az olvasó implementálása miatt sincs lehetőség. A alkalmazások készítői még az ujjlenyomathoz sem tudnak hozzáférni, azt ugyanis az Apple terminológiája szerint egy Secure Enclave-nek nevezett zárt terület tárolja az iPhone. A biometrikus azonosítónk matematikai leképezését kizárólag a chip szóban forgó része láthatja annak ellenőrzéséhez, hogy a beolvasott ujjlenyomat egyezik-e a korábban regisztrálttal.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Kérdés, hogy a két alkalmazásnál tapasztalt csalás miatt az Apple újragondolja-e a fizetések jóváhagyását. Cupertinóban nem kellene messzire menni ötletekért, a Face ID-val (arcazonosítással) szerelt iPhone X és Xs készülékek esetében a bekapcsológomb kétszeri megnyomásával kell jóváhagyni a tranzakciót, így előzve meg az esetleges önkéntelen vásárlásokat. Bár jelen állás szerint úgy fest, az Apple-nél az ujjlenyomatos azonosítást idővel teljesen felváltja a Face ID, még évekig a piacon lesznek Touch ID-val szerelt iPhone-ok, így nem lenne meglepő, ha a cég a közeljövőben ezeknél is egy direktebb jóváhagyást vezetne be.

a címlapról