אפליקציות לאייפון מבטיחות מעקב אחר נתוני כושר אבל בפועל גונבות כסף
מאת:
מערכת Telecom News, 4.12.18, 15:05
אפליקציות למעקב אחר כושר משתמשות בתשלומים מפוקפקים בתוך האפליקציה כדי לגנוב כסף ממשתמשי אפל בעוד שהם לא מודעים לכך בכלל. לשימוש מתלווה תג מחיר כבד ולא צפוי. איך זה עובד? מה משתמשים יכולים לעשות כדי להימנע מאיומים דומים?
מספר אפליקציות, המתחזות לכלים לניטור נתוני כושר גופני ובריאות, נתפסו כשהן מנצלות לרעה את פיצ'ר ה-
Touch ID של אפל כדי לגנוב כסף ממשתמשי
iOS (מערכת ההפעלה של מכשירי אפל).
מנגנון התשלום החמקמק בו משתמשות האפליקציות הוא מהיר ומפתיע, והוא מופעל בזמן שהקורבנות סורקים את טביעות אצבעותיהם, לכאורה ,כדי לעקוב אחר נתוני הכושר שלהם.
יש אפליקציות רבות המבטיחות, שתסייענה למשתמשים שלהן להגיע לסגנון חיים בריא יותר. האפליקציות, שהיו זמינות עד לא מזמן בחנות האפליקציות של אפל (
Appel Store) ונקראו "
Fitness Balance app" ו-"
Calories Tracker app", נראו כאילו זה בדיוק מה שהן עושות - הן מחשבות את ה-
BMI, מתעדות את הצריכה הקלורית היומית, או מזכירות למשתמשים לשתות יותר מים. עם זאת, על פי דבריהם של
משתמשי Reddit, לשירותים אלה התלווה תג מחיר כבד ולא צפוי.
לאחר שהמשתמש מפעיל כל אחת מהאפליקציות שהוזכרו, האפליקציות מבקשות לסרוק את טביעת האצבע שלו כדי שיוכל "לראות את יומן הקלוריות האישי והמלצות לדיאטה".
מספר רגעים לאחר שהמשתמש מסכים לבקשה ומניח את אצבעו על סורק טביעות האצבע, האפליקציות מקפיצות חלון חמקמק המציג בקשה לתשלום של 99.99 דולר, 119.99 דולר או 139.99 יורו.
ניתן להבחין בחלון הקופץ הזה רק למשך שנייה, אך אם כרטיס האשראי או כרטיס החיוב של המשתמש מחוברים באופן ישיר לחשבון שלו באפל, ההעברה נחשבת להעברה מאושרת והכסף מועבר לגוף העומד מאחורי תרמיות אלה.
סביר להניח, ש-2 האפליקציות נוצרו ע"י אותו המפתח. זאת, בהתבסס על ממשק המשתמש ועל פעולות האפליקציה. בנוסף, משתמשי
Reddit העלו סרטונים של האפליקציות "
Fitness Balance app" ו-"
Calories Tracker app".
אפליקציה זדונית בחנות האפליקציות של אפל דורשת מהמשתמשים לסרוק את טביעת האצבע שלהם על מנת לעקוב אחר נתוני הכושר הגופני שלהם (מקור התמונה:
Reddit):
מסך תשלום מופיע באפליקציות
"Fitness Balance app" ו
-"Calories Tracker app" (מקור התמונה:
Reddit):
אם המשתמש מסרב לסרוק את האצבע באפליקציה הראשונה, "
Fitness Balance app", קופץ חלון נוסף, שמבקש מהמשתמש ללחוץ על כפתור "המשך" כדי שיוכל להשתמש באפליקציה. במידה והמשתמש מסכים, האפליקציה מנסה לגרום לו לשלם פעם נוספת, באותה השיטה בדיוק.
למרות האופי הזדוני שלה, האפליקציה "
Fitness Balance app"
קיבלה דירוג של 5 כוכבים מספר פעמים, היה לה דירוג ממוצע של 4.3 כוכבים והיא קיבלה כמעט 18 ביקורות חיוביות יחסית. פרסום של ביקורות מזויפות היא טכניקה ידועה בקרב עברייני רשת, והיא נועדה לחזק את המוניטין של האפליקציות שלהם.
הקורבנות כבר דיווחו ל-אפל על 2 האפליקציות האלו, מה שהוביל להסרתן מחנות האפליקציות. חלק מהמשתמשים אף ניסו ליצור קשר ישירות עם המפתח של אפליקציית "
Fitness Balance app", אך קיבלו תשובה לקונית, שבה הוא מבטיח לטפל ב"באגים" האלה בגרסה הקרובה, 1.1.
משתמשים שיצרו קשר ישיר עם המפתח קיבלו תשובה שנראית כמו תגובה אוטומטית:
מה משתמשים יכולים לעשות כדי להימנע מאיומים דומים?
מכיוון שאפל לא מאפשרת להכניס מוצרי אבטחה לחנות האפליקציות שלה, המשתמשים נדרשים להסתמך על אמצעי האבטחה, שהוטמעו במכשיר ע"י אפל.
לוקאש סטפנקו, חוקר אבטחה בחברת אבטחת המידע
ESET, ממליץ למשתמשים:
1) לקרוא את הביקורות, שכתבו משתמשים אחרים. תמיד קל לזייף ביקורת חיובית, ולכן סביר שדווקא הביקורות השליליות יחשפו את האופי האמתי של האפליקציה.
2) משתמשי
iPhone X יכולים להפעיל פיצ'ר נוסף הנקרא "לחץ פעמיים כדי לשלם", שדורש מהם לבצע לחיצה כפולה על הלחצן הצידי של האייפון כדי לאשר את התשלום.
3) מי שכבר נפל בתרמית הזאת יכול לנסות ולדרוש החזר מחנות האפליקציות של אפל.
פיצ'ר האישור באמצעות לחיצה על הכפתור הצידי במכשיר
iPhone X.: