Mellékleteink: HUP | Gamekapocs
Keres

Rafinált trükkel kopasztottak meg óvatlan iPhone tulajdonosokat

Asztalos Olivér, 2018. december 05. 11:00

Két félrevezető iOS alkalmazás a készülékek ujjlenyomat-olvasójával gyűjtött be több száz dollárt.

hirdetés

Rafinált módszerrel késztette esetenként 100 dollár feletti vásárlásokra Reddit felhasználókat két iOS-es alkalmazás. Az App Store pajzsán átférkőzött Fitness Balance és Calories Tracker appok olyan ujjrátétel-alapú futurisztikus képességekkel ámították a naiv közönséget, mint a testtömeg-index mérés vagy épp a kalória bevitel monitorozása. A tájékozottabbak számára nevetségesnek tűnő ajánlatnak sokan bedőltek, amely esetenként 100, 120 dollárral, vagy akár 139 euróval rövidítette meg a felhasználók bankszámláit. Bár a panaszokat követően az Apple mindkét alkalmazást száműzte az App Store-ból, a károsultaknak pedig kompenzációt ígért, az eset ismét felveti az iOS, illetve a alkalmazásbolt egyes módszereinek gyengeségeit.

A szóban forgó két alkalmazás ügyesen lovagolta meg az App Store vásárlási procedúrájának egyik sajátosságát. Az ujjrátétel alapján nyilvánvalóan lehetetlen mérésekhez egy 10 másodpercig tartó érintést kértek az appok, melyek a visszaszámlálás megkezdésével párhuzamosan elindították a fizetési folyamatot. Az ujjlenyomat-olvasóval (Touch ID) szerelt Apple okostelefonok esetében (iPhone 5s-től 8-ig bezárólag) ezt jó eséllyel instant jóváhagyta a gyanútlan felhasználó, hisz annak ujjbegye a kör alakú olvasón ülve várta a csodát. Testtömeg-index vagy kalória helyett azonban csak egy háromjegyű összeg bukkant fel a kijelzőn, amit a jóváhagyás miatt az Apple annak melegében le is vont a fiókhoz kapcsolt bankkártyáról.

iphone_app

A csalók körültekintését erősíti, hogy a két alkalmazást előzetesen felmagasztalták. Ehhez hamis iCloud fiókokat készítettek, melyekkel 4-es értékelés fölé srófolták fel az appok tetszési indexét. Ez alapján a felhasználók többsége alappal hihette azt, hogy a hangzatos szuperképességeket ígérő alkalmazás valóban képes pusztán ujjlenyomat alapján méréseket végezni. Erre azonban már csak a hardver egyszerűsége, illetve az olvasó implementálása miatt sincs lehetőség. A alkalmazások készítői még az ujjlenyomathoz sem tudnak hozzáférni, azt ugyanis az Apple terminológiája szerint egy Secure Enclave-nek nevezett zárt terület tárolja az iPhone. A biometrikus azonosítónk matematikai leképezését kizárólag a chip szóban forgó része láthatja annak ellenőrzéséhez, hogy a beolvasott ujjlenyomat egyezik-e a korábban regisztrálttal.

Kérdés, hogy a két alkalmazásnál tapasztalt csalás miatt az Apple újragondolja-e a fizetések jóváhagyását. Cupertinóban nem kellene messzire menni ötletekért, a Face ID-val (arcazonosítással) szerelt iPhone X és Xs készülékek esetében a bekapcsológomb kétszeri megnyomásával kell jóváhagyni a tranzakciót, így előzve meg az esetleges önkéntelen vásárlásokat. Bár jelen állás szerint úgy fest, az Apple-nél az ujjlenyomatos azonosítást idővel teljesen felváltja a Face ID, még évekig a piacon lesznek Touch ID-val szerelt iPhone-ok, így nem lenne meglepő, ha a cég a közeljövőben ezeknél is egy direktebb jóváhagyást vezetne be.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.