Дві оманливі програми iOS збирають сотні доларів за допомогою пристрою для зчитування відбитків пальців.

Витончено користувачі Reddit іноді робили покупки на суму понад 100 доларів за допомогою двох додатків для iOS. Перетнувши Щит App Store, програми Fitness Balance і Calories Tracker обдурили наївну аудиторію футуристичними можливостями, що базуються на пальцях, таких як вимірювання індексу маси тіла або просто контроль споживання калорій. Багато хто відмовився від пропозиції, яка здалася смішною для більш обізнаних, скоротивши банківські рахунки користувачів на 100, 120 або навіть 139 євро. Незважаючи на те, що Apple вилучила обидва додатки з App Store після скарг і пообіцяла компенсацію жертвам, справа знову піднімає слабкі місця iOS та деяких методів магазину додатків.

Ці два додатки спритно використовували одну з особливостей процедури покупки в App Store. Для мабуть неможливих вимірювань на основі відбитків пальців програми вимагали 10-секундного дотику, який запускав процес оплати паралельно з початком зворотного відліку. Для смартфонів Apple, обладнаних зчитувачем відбитків пальців (Touch ID) (iPhone 5s до 8 включно), є велика ймовірність, що це негайно схвалив нічого не підозрюючий користувач, оскільки його кінчик пальця, сидячи на круговому зчитувачі, чекав дива. Однак замість індексу маси тіла або калорій на дисплеї з’явилася лише тризначна кількість, яку Apple відрахувала з кредитної картки, пов’язаної з рахунком, у запалі схвалення.

hwsw

Обережність шахраїв підсилюється тим фактом, що дві заявки були підняті заздалегідь. Для цього були створені підроблені облікові записи iCloud, які перевищили індекс сподобань додатків вище рейтингу 4. Виходячи з цього, більшість користувачів могли обґрунтовано вважати, що програма, яка обіцяє звукові наддержави, може насправді проводити вимірювання лише на основі відбитків пальців. Однак це можливо не лише завдяки простоті апаратного забезпечення або реалізації зчитувача. Розробники додатків навіть не можуть отримати доступ до відбитка пальця, оскільки термінологія Apple зберігає його у закритій зоні, що називається Secure Enclave на iPhone. Математичне відображення нашого біометричного ідентифікатора може побачити лише частина чіпа, про який йде мова, щоб перевірити, чи відсканований відбиток пальця відповідає попередньо зареєстрованому.

Це питання, чи не перегляне Apple затвердження платежів через шахрайство в обох додатках. У Купертіно не варто далеко ходити за ідеями, для iPhone X та Xs з Face ID потрібно підтвердити транзакцію, двічі натиснувши кнопку живлення, запобігаючи таким чином будь-яким ненавмисним покупкам. Хоча, схоже, автентифікація відбитків пальців від Apple буде повністю замінена Face ID, з часом на ринку з'являться iPhone з Touch ID, тому не буде дивно, якщо компанія отримає більш пряме схвалення для них у найближчим часом.