[Перевод] Берегитесь хитроумного мошенничества с Touch ID, проникшего в App Store
Одно из достоинств системы Touch ID состоит в том, как хорошо она работает. Редко требуется более одного мгновения на разблокировку iPhone или одобрение покупки. Однако в последнее время несколько мошеннических приложений превратили эту простоту использования в оружие против всех, кому не повезло их скачать.
Несколько не связанных между собой источников сообщают о приложениях, якобы связанных с отслеживанием состояния здоровья, предлагают пользователям отслеживать потребляемые калории, измерять пульс или заняться или другими легитимными действиями. После того, как вы отсканируете отпечаток пальца, такое приложение быстро показывает всплывающее окно с внутренней покупкой и списывает со счёта от $90 до $120, одновременно уменьшая яркость экрана, чтобы это окно было сложно увидеть. В некоторых случаях, даже если вы отказываетесь использовать Touch ID, приложение просит вас нажать кнопку, чтобы продолжить, и пытается провести внутренний платёж.
Брать непомерные, бессовестные суммы с пользователей внутри приложений нельзя по правилам работы Apple App Store; описываемые приложения, которые назывались named «Heart Rate Monitor», «Fitness Balance app» и «Calories Tracker app», уже удалены оттуда. Неизвестно сделал ли их один разработчик под разными учётными записями или разные. В любом случае, их работа была основана не на вредоносном ПО, а на простом обмане — и на хорошем понимании того, как мы используем Touch ID.
«Как только вы располагаете на кнопке палец, оно начинает сканировать, поэтому оно готово заранее и работает очень быстро», — говорит Стивен Кобб, главный исследователь по безопасности в фирме, занимающейся информационной безопасностью ESET, писавший о двух поддельных приложениях в понедельник. «Кто-то хитрый придумал и воплотил способ, которым можно заставить людей делать что-то, чего они не хотели».
Система Touch ID давно уже используется не только для разблокировки телефона. Её используют для Apple Pay и авторизации в различных приложениях. С ней работать быстро и легко, поэтому пользователи уже не задумываются об этом, когда их спрашивает приложение. А когда вы ставите палец на кнопку «Домой», не появляется никакого дополнительного запроса, подтверждающего, что вы сделали это специально.
Кобб сравнивает этот сценарий с ранней эпохой QR-кодов, когда у сканеров не было никакого защитного механизма, проверявшего, куда отправит вас квадратик с чёрными закорючками. «Это абсолютно то же самое, — говорит он. — Прекрасная идея, новый тип ввода, считывание отпечатка пальца, позволила нам создать огромное разнообразие программ. Отсутствие этапа подтверждения позволяет вам обойти подтверждение пользователя».
Неизвестно, сколько людей потеряло деньги из-за этих мошеннических действий, хотя в недавней ветке обсуждений на Reddit отозвалось, по меньшей мере, несколько человек. Хуже, что данный подход легко воспроизвести. Возможно, изначальный отбор программ для App Store идёт и тщательно, однако мошенники смогут обойти его, особенно после получения первоначального одобрения.
«Мошеннические приложения — это проблема и для iOS, и для Android, хотя для первой ОС их меньше из-за более закрытой экосистемы», — говорит Джером Сегура, глава отдела по исследованию угроз в компании Malwarebytes. «Однако мошенники часто придумывают хитрые идеи, позволяющие обойти первоначальные проверки. Со временем они обновляют приложения, и подправляют процедуры внутренних покупок — то, где концентрируется большинство проблем».
Хорошая новость состоит в том, что у людей с iPhone X и более новыми моделями таких проблем не будет, прежде всего потому, что у этих моделей нет кнопки «Домой». А для использования Apple Pay через Face ID необходимо дважды нажать на боковую кнопку.
Но более старым айфонам от этого не легче — и этих моделей до сих пор ещё очень много на руках. Лучшее, что могут сделать владельцы айфонов вплоть до 8-й модели, это оставаться начеку и использовать Touch ID только в приложениях, которым есть причины доверять. Apple со своей стороны тоже может уменьшить вероятность успеха подобного мошенничества, более строго оценивая приложения или введя дополнительный этап подтверждения для использования Touch ID, хотя такие меры и вызовут дополнительное раздражение. И это, возможно, не будет иметь никакого смысла для Купертино, если только масштаб подобных проблем не увеличится до неприемлимых размеров — особенно в связи с тем, что Touch ID в последний год постепенно выводится из обращения.
«Повторюсь, что удобство и простота использования новых технологий могут обернуться к нам другой стороной», — говорит Сегура. «Подтверждение покупок касанием пальца — процедура беспроблемная, однако, к сожалению, мошенники точно так же просто могут использовать её во вред».