Touch ID bị nhiều ứng dụng trên App Store “bẫy” người dùng trả 99 USD cho ứng dụng lừa đảo

Theo blog WeLiveSecurity của hãng bảo mật ESET, một số ứng dụng lừa đảo trên iOS đang lợi dụng tính năng bảo mật Touch ID của Apple để cố gắng lừa người dùng sử dụng quét vân tay thực hiện thanh toán bên trong các dữ liệu tập thể dục.

Hai ứng dụng có tên gọi là Fitness Balance và Calories Tracker – được phát hiện bởi nhiều người dùng khác nhau trên Reddit trong tuần qua và chúng dường như sử dụng cùng một thủ thuật để lừa đảo. Theo đó, là một phần của việc "theo dõi hoạt động tập thể dục", hai ứng dụng này sẽ yêu cầu người dùng đặt dấu vân tay vào máy quét Touch ID trong 10 giây, để "tạo ra thực đơn ăn chay và những thứ khác được cá nhân hóa."

Tuy nhiên, khi người dùng thực hiện điều này thì ứng dụng này hiện lên một thông báo yêu cầu người dùng thanh toán số tiền 99.99 USD trong ứng dụng. Do ngón tay của người dùng đã đặt sẵn trên Touch ID nên yêu cầu này có thể được chấp nhận gần như ngay lập tức.

Thủ thuật hack này trở nên đáng sợ bởi vì Touch ID là một quá trình gần như liền mạch. Bằng cách thực hiện mọi việc nhanh và tiện lợi nhất có thể, điện thoại sẽ bắt đầu quét dấu vân tay đặt trên máy quét ngay khi yêu cầu thanh toán hiện ra. Tốc độ nhanh của Touch ID đồng nghĩa với việc khi người dùng nhận ra điều gì đang diễn ra, thì mọi việc đã quá trễ.

Dựa trên các điểm tương đồng về UI và chiến thuật lừa đảo, nhiều khả năng cả hai ứng dụng này đều được một nhà phát triển tạo ra. Thật may mắn, cả hai ứng dụng này đều đã bị xóa khỏi App Store, và hy vọng Apple sẽ giám sát chặt chẽ loại hình tấn công qua giao diện này trong tương lai.

Theo: TheVerge