近日有研究人員發現兩個看起來很正常的 iOS 健體應用程式,具備一般健體應用程式的功能,但暗地裡卻透過 Apple 的 Touch ID 功能,向疏於防範的用戶下手,盜取受害者的金錢。
正常健體功能作為掩飾
兩個被發現存在問題的健體應用程式是「Fitness Balance App」和「Calories Tracker App」,兩款應用程式看起來都很正常,具備計算 BMI、追蹤每日汲取卡路里或提醒用戶飲水等功能,兩者在 App Store 上都獲得好的評語。然而,有研究人員發現,以上兩款應用程式會偷錢!每一次接近 120 美元,透過偷偷彈出的內容含涉及 Touch ID 功能。
根據受害者公開的內容,在啟動以上其中一個應用程式之後,它要求掃瞄用戶的指紋才能觀看他們的個人卡路里紀錄和減肥建議,當用戶使用 Touch ID 後便會彈出確定付費 119.99 美元的確定,但是彈出的顯示只維持 1 秒。如果用戶把信用卡或預付卡連結到 Apple 帳號,步驟就會當作確定步驟,把錢發送到騙途帳號。如果用戶拒絕掃瞄指紋,應用程式會彈出其他畫面要求用戶按「Continue」鍵以繼續使用程式,按下之後又會再次出現掃瞄指紋的畫面。
獲得 5 星評級和用戶好評
其中一個令用戶更容易墮入陷阱的原因,是兩個應用程式在 App Store 上都獲得 5 星和 4.3 星的高度評價,而且至少有 18 個用戶正面評價。製作價評語是騙徒常用的手法,令應用程式看起來更加可信。當受害者嘗試聯絡應用程式以取得退款時,應用程式會出現公式回應和承諾在將來的 1.1 版本修復問題。
相似手法日後可能繼續增加
現時兩個應用程式已經從 App Store 下架,研究人員認為,日後可能有更多想似的行騙應用程式出現,因為行騙的手法在執行上十分簡單。而 Apple 方面並沒有對事件作出回應,雖然 Apple 以嚴格核實 App Store 上架應用程式而聞名,但是過去亦層經面對過違反私隱和保安應用程式的問題,在今年 9 月,Apple 從 Mac Store 移除一款名為 Adware Doctor 的高排名應用程式,因為有研究人員發現該應用程式違反 Apple 的沙盒保安政策,也曾經發生應用程式收集瀏覽器紀錄等情況。
其實 Android 也面對相同情況,近日有研究人員聲稱發現 7 款來自「Kika Tech」公司的應用程式,盜取用戶超過百萬美元。用戶只能夠在瀏覽用戶評語時,額外提高警覺,尋找騙徒的蛛絲馬跡。
資料來源:ThreatPost