6.12.2018 13:33 | Bezpečnosť

Podvodná aplikácia pre iPhone zneužila otlačok prsta na potvrdenie platby

Okrem Cellebrite disponuje nástrojom na odomknutie iPhonov ďalšia firma.
Apple zrejme vráti všetkým obetiam peniaze (Ilustračný obrázok). Zdroj: EverythingApplePro

Obete lákali na pozitívne recenzie a relatívne vysoké hodnotenia aplikácií.

Používatelia sociálnej siete Reddit upozornili na podozrivé aplikácie, ktoré sa nachádzali v oficiálnom internetovom obchode Apple App Store. Dvojica nástrojov slúžiaca pre podporu zdravého životného štýlu sa totiž tajne pokúsila odcudziť peniaze z prepojenej platobnej karty.

Bližšie informácie o hrozbe zverejnil portál Ars Technica.

Pozitívne hodnotenia boli návnadou

Aplikácie „Fitness Balance“ a „Calories Tracker“ boli určené najmä pre športových nadšencov, keďže sledovali základné atribúty zdravia, akými je pohyb, fitness aktivity či spálené kalórie.

Podľa bezpečnostnej spoločnosti Eset sa nachádzali v oficiálnom App Store, pričom mali niekoľko 5-hviezdičkových hodnotení a minimálne 18 pozitívnych recenzií. Priemerné hodnotenie pritom dosahovalo úrovne 4,3 z 5. Na prvý pohľad tak tieto fitness nástroje nevzbudzovali žiadne podozrenie.

Pozitívne hodnotenie aplikácií. fotogaléria / 3
Pozitívne hodnotenie aplikácií. Zdroj: Bleeping Computer

Pri prvom spustení niektorej z uvedených aplikácií sa zobrazí vyskakovacie okno požadujúce zosnímanie odtlačku prsta. Pod zámienkou personalizácie (sledovanie spálených kalórií, zobrazenie odporúčaní týkajúcich sa stravovania a podobne) sa má používateľ autentifikovať svojim odtlačkom prsta.

Odtlačkom prsta sa podpíše platba

Po úspešnom overení sa však aplikácia pokúsi odcudziť z prepojenej platobnej karty čiastku od 99,99 do 119,99 dolárov, prípadne 139,99 eura. Zosnímanie odtlačku prsta tu totiž slúži na podpísanie platby, o čom sa používateľ dozvie až keď je neskoro. Detailné informácie o platbe sa totiž zobrazia len na malý moment.

Informácie o platbe sa zobrazia len na krátky okamih. fotogaléria / 3
Informácie o platbe sa zobrazia len na krátky okamih. Zdroj: Eset

V prípade, ak má používateľ ku svojmu účtu prepojenú platobnú kartu, tak sa transakcia považuje za overenú. Peniaze sú v okamihu odoslané autorovi záškodníckej aplikácie - bez ďalšieho potvrdenia či autentifikácie.

V rámci názornej ukážky zverejnil Lukáš Štefanko zo spoločnosti Eset video:

Aplikácie už z obchodu odstránili

Jeden z používateľov Redditu sa pokúsil kontaktovať autora záškodníckych aplikácií. Odpoveď ale bola zrejme len automatická, v ktorej vývojár sľuboval opravenie „chyby“ v novej verzii. Spoločnosť Apple medzičasom problémové aplikácie odstránila. Navyše, podľa portálu Bleeping Computer môžu všetci dotknutí ľudia požiadať o vrátenie peňazí cez nasledujúci odkaz.

Predbežné výsledky vyšetrovania poskytli aj odpoveď na otázku, ako môže mať takáto záškodnícka aplikácia toľko pozitívnych používateľských recenzií. Ide totiž o falošné recenzie, ktorých cieľom je zviditeľniť aplikáciu a navodiť dojem, že ide o bezpečný a užitočný fitness nástroj.

A ako sa chrániť pred podobnými hrozbami? Používatelia najnovšieho iPhone X si môžu aktivovať voliteľnú funkciu „Double Click to Pay“. Ostatní sa musia vzdať komfortu a jedinou možnosťou je deaktivácia Touch ID pre obchody iTunes Store a App Store. Návod ako na to nájdete v oficiálnej dokumentácií na tomto odkaze.

Diskusia 8 Príspevkov