0
利用人的弱点来赚钱一直是黑客的保留招式,现在他们居然把邪恶的种子撒布到“燃烧我的卡路里”的“健身追踪工具”里去了,而且你没想到的是,黑客在利用苹果的 Touch ID 从 iOS 用户那里偷钱。
“神坛”Reddit 用户发现,有多个应用会伪装成健身追踪工具,当受害者扫描他们的指纹时,应用程序使用的狡猾支付机制会被激活,而此时用户完全被蒙在鼓里,他们还以为自己即将开始疯狂甩肉呢。
健康的生活方式是当下人人追求的时尚,而健身则是通往这种生活方式的不二法门,App Store 上琳琅满目的健身应用就是最好的证明。不过,一向审核颇为严格的 App Store 最近却混进来不少李鬼(有的虚假应用现在还能下载)。这些应用有叫“健身平衡 app”的,也有叫“卡路里追踪器 app”的,乍一看是要将用户引上健康之路的良师益友,但 Reddit 用户却发现,这些能测体脂,追踪卡路里消耗或提醒用户多喝水的应用会从用户那里“吸钱”。
在用户首次启动这些健身应用后,便会看到请求指纹扫描“查看其个性化卡路里跟踪器和饮食建议”的画面(如上图)。一旦你按照提示将手指放上 Touch ID,就会有弹窗跳出来。不好意思,这时你已经中了圈套。
这个弹窗显示的时间连 1 秒都不到,如果你的苹果账户连着信用卡或借记卡,就会自动将钱转给这些应用的幕后黑手(由于验证过指纹,苹果系统默认这些交易是安全的),价格可是相当的不菲,黑客不从你身上“割”下 100 美元绝不会罢休(如下图)。
从用户界面和功能来看,有两个被揭穿的健身应用肯定出自同一个开发者之手。有些上当的用户还在 Reddit 上发了此类应用的视频。
如果用户警惕性高,拒绝扫描自己的手指,就会有另一个弹窗出现,告诉用户需要点按“继续”按钮来使用应用。如果你乖乖照做,应用就会重复刚刚的过程,直到你就范为止。
虽然“健身平衡app”是明显的恶意软件,它依然得到了不少五星评价,有不少用户还像模像样的写了评价,其平均得分更是高达 4.3 分。不过,这一切都是假的,对网络罪犯来说,用虚假评论来提升应用的声望已经是个通用招式了。
由于愤怒的受害者将问题投诉给了苹果,因此这两款应用已经下架。有的用户试图联系“健身平衡 app”的开发者,得到的回复是会尽快对问题进行修复并随后更新 1.1 版(如下图)。
由于 App Store 里没有安全工具类应用,因此用户只能依靠苹果的安全措施来守护自己,而这些措施有失灵的时候。
在这种情况下,ESET 推荐用户多看看应用评价,尤其是那些负面评价,毕竟高分评价太容易造假了。
iPhone X 之后机型的用户还能激活一个名叫“双击支付”的功能,这时只有双击侧边按键才能完成验证和付款(如下图)。
如果你已经不幸上了这些黑客的圈套,还有一种方法能追回损失,那就是向苹果官方投诉。
Via. We Live Security.com
雷锋网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。