Az Apple meglehetősen biztonságos ökoszisztémát épített ki iOS-felhasználói számára, főleg összehasonlítva rivális Androidjával. A biztonság szempontjából azonban nincs semmi, ami 100% -ban biztonságosnak tekinthető, és az Apple-nek olyan alkalmazásokkal is meg kell küzdenie, amelyek megpróbálnak visszaélni az eszközeikben található bizonyos funkciókkal, például a Touch ID fizetésével.
Rosszindulatú fitneszalkalmazások az App Store-ban
A közelmúltban feltételezett fitneszalkalmazások sorozatát fedezték fel az App Store-ban, amelyek rosszindulatúan kihasználnák az Apple iPhone és iPad eszközeiben található Touch ID funkciót, hogy pénzt lopjanak el a felhasználóktól. Ezt a kutatást az ESET munkatársa, Lukas Stefanko, a mobileszközök fenyegetéseire szakosodott malware elemző végezte.
A bűnözők által alkalmazott technika ötletes és hatékony, aktivizálja a fizetési folyamatot, miközben a felhasználók úgy vélik, hogy az ujjlenyomatukat olyan értékek mérésére használják, mint a pulzus. Az ilyen típusú alkalmazások, amelyek az egészségesebb életmód elősegítését javasolják, meglehetősen gyakoriak a hivatalos Apple áruházban, és ezért a bűnözők megragadták az alkalmat, hogy felvegyék a fitneszalkalmazások rosszindulatú verzióit.
Olyan szuggesztív nevekkel, mint a „Fitness Balance alkalmazás” és a „Kalóriakövető alkalmazás”, ezek az alkalmazások első ránézésre nem tűnnek rosszindulatúnak, és állítólag nagyon hasznos információkat nyújtanak, mint például a napi bevitt kalóriák száma, a testtömeg-index vagy emlékeztetőket, hogy igyon több vizet. Ennek az információnak azonban magas ára van, ha ragaszkodik a Reddit különböző felhasználói észrevételeihez.
Amikor egy felhasználó először futtatja az említett alkalmazások bármelyikét, ez az alkalmazás kéri az ujjlenyomat beolvasását, hogy "megtekinthesse a kalóriaszámlálót és a személyre szabott diétás ajánlásokat".
Ujjlenyomat-beolvasási kérelem a csalárd fizetések engedélyezéséhez - Forrás: Reddit
Néhány perccel azután, hogy a felhasználó követi a képernyőn megjelenő lépéseket, és az ujjával az eszköz ujjlenyomat-leolvasójára helyezi az alkalmazást, egy rövid ideig megjelenik egy tolóablak, amelyben engedélyt kérnek 99,99, 119, 99 dolláros vagy 139,99 eurós befizetéshez.
Felugró ablak, ahol a fizetési kérelem megjelenik - Forrás: Reddit
Ez az előugró ablak rövid ideig egy másodpercig megjelenik, de ha a felhasználónak hitel- vagy betéti kártyája van társítva az Apple-fiókjához, és a beolvasott ujj megegyezik a Touch ID azonosítójával, akkor a tranzakció engedélyezettnek tekintendő. pénzt veszünk fel a kártyáról.
A két alkalmazás felületének és funkcionalitásának elemzése után minden azt jelzi, hogy mindkét alkalmazást ugyanaz a fejlesztő hozta létre. Néhány olyan videót is közzétett a Reddit-en, amely bemutatja az egész folyamatot annak érdekében, hogy figyelmeztesse a többi potenciális áldozatot és megakadályozza őket, hogy ebbe a csapdába essenek.
Példa ennek az átverésnek a működésére - Forrás: Lukas Stefanko
Ezeknek az alkalmazásoknak nem szűnik meg a csalárd fizetés Touch ID-n keresztül történő megszerzése, és ha a felhasználó nem járul hozzá az ujj beolvasásához az alkalmazásban, megjelenik egy másik felugró ablak, amelyben arra kéri őket, hogy kattintson a "Folytatás" gombra hogy továbbra is használja az alkalmazást. Ebben az esetben ez az alkalmazás megpróbálja megismételni az ujjlenyomat-fizetési engedélyezési folyamatot.
Nyilvánvalóan rosszindulatú szándékai ellenére a „Fitness Balance alkalmazás” több pozitív 5 csillagos minősítést kapott, átlagosan 4,3 csillagot kapott az App Store-ban. Nem furcsa csalárd pozitív megjegyzéseket látni az ilyen típusú alkalmazásokról, ez egy jól ismert technika, amelyet a csalók az alkalmazásuk hírnevének növelésére használnak.
Ezt a két alkalmazást már jelentették az Apple-nek, ami miatt eltávolították őket a hivatalos áruházból. Néhány felhasználó megpróbálta felvenni a kapcsolatot a „Fitness Balance alkalmazás” fejlesztőjével, de csak egy általános választ kapott, amely ígéretet tett a következő verzióban észlelt problémák megoldására.
Hogyan lehet elkerülni az ilyen típusú fenyegetéseket?
Mivel az Apple nem engedélyezi az iOS rendszerében olyan biztonsági megoldásokat, mint például a víruskereső, a felhasználóknak erőszakkal kell bízniuk az Apple által végrehajtott biztonsági intézkedésekben, olyan intézkedésekben, amelyek, mint az imént láttuk, nem garantálják a biztonság 100% -át.
Ezenkívül az alkalmazások telepítésekor az ESET azt javasolja, hogy figyelmesen olvassa el a felhasználói megjegyzéseket, mert bár a csalárd pozitív megjegyzéseket könnyű közzétenni, a negatív megjegyzések inkább az alkalmazás valódi szándékait tárják fel.
Mivel néhány újabb iPhone modell már nem használja az ujjlenyomatot a fizetés megerősítéséhez, biztosítanunk kell, hogy a bűnözők ne tévesszenek meg minket, amikor más műveletekkel, például az oldalsó gomb kétszeri megnyomásával próbálják megerősíteni a fizetést, amint azt a következő példában láthatjuk.
Következtetés
Az Apple ökoszisztéma, pontosabban az iOS operációs rendszer még mindig elég biztonságos, ha összehasonlítjuk más alternatívákkal. Az imént látott példák azonban azt mutatják, hogy a bűnözőknek is sikerül elkerülniük az Apple által alkalmazott biztonsági intézkedéseket, ezért ébernek kell lennünk, hogy elkerüljük az ilyen típusú csapdákba kerülést.
- Fogyás fitnesz a Verv Apps-től 2020-ban
- Az Androidon futó Messages alkalmazások karcsúsítanak, hozzáadhatnak Duo-hívásokat és még sok minden mást
- Az Androidon futó Messages alkalmazások karcsúsítanak, hozzáadhatnak Duo-hívásokat és még sok minden mást
- Modulok és alkalmazások, segítenek-e a fogyásban
- La Tiquetera Store redukáló és feszesítő gél narancssal és koffeinnel