מבלי ששמתם לב אפליקציות כושר לאייפון גונבות לכם כסף

למאמר הבא
ESET

אפליקציות למעקב אחר כושר משתמשות בתשלומים מפוקפקים בתוך האפליקציה כדי לגנוב כסף ממשתמשי אפל בעוד שהם לא מודעים לכך בכלל.

מספר אפליקציות המתחזות לכלים לניטור נתוני כושר גופני ובריאות נתפסו כשהן מנצלות לרעה את פיצ'ר ה-Touch ID של אפל על מנת לגנוב כסף ממשתמשי iOS (מערכת ההפעלה של מכשירי אפל). מנגנון התשלום החמקמק בו משתמשות האפליקציות הוא מהיר ומפתיע, והוא מופעל בזמן שהקורבנות סורקים את טביעות אצבעותיהם, לכאורה כדי לעקוב אחר נתוני הכושר שלהם.

ישנן אפליקציות רבות שמבטיחות שיסייעו למשתמשים שלהן להגיע לסגנון חיים בריא יותר. האפליקציות, שהיו זמינות עד לא מזמן בחנות האפליקציות של אפל (Appel Store) ונקראו "Fitness Balance app" ו-"Calories Tracker app", נראו כאילו זה בדיוק מה שהן עושות – הן מחשבות את ה-BMI, מתעדות את הצריכה הקלורית היומית, או מזכירות למשתמשים לשתות יותר מים. עם זאת, על פי דבריהם של משתמשי Reddit, לשירותים אלה התלווה תג מחיר כבד ולא צפוי.

לאחר שהמשתמש מפעיל כל אחת מהאפליקציות שהוזכרו, האפליקציות מבקשות לסרוק את טביעת האצבע שלו על מנת שיוכל "לראות את יומן הקלוריות האישי והמלצות לדיאטה". מספר רגעים לאחר שהמשתמש מסכים לבקשה ומניח את אצבעו על סורק טביעות האצבע, האפליקציות מקפיצות חלון חמקמק המציג בקשה לתשלום של 99.99 דולר, 119.99 דולר או 139.99 יורו.

ניתן להבחין בחלון הקופץ הזה רק למשך שנייה, אך אם כרטיס האשראי או כרטיס החיוב של המשתמש מחוברים באופן ישיר לחשבון שלו באפל, ההעברה נחשבת להעברה מאושרת והכסף מועבר לגוף שעומד מאחורי תרמיות אלה.

סביר להניח ששתי האפליקציות נוצרו ע"י אותו המפתח, זאת בהתבסס על ממשק המשתמש ועל פעולות האפליקציה. בנוסף, משתמשי Reddit העלו סרטונים של האפליקציות "Fitness Balance app" ו-"Calories Tracker app".

אפליקציה זדונית בחנות האפליקציות של אפל דורשת מהמשתמשים לסרוק את טביעת האצבע שלהם על מנת לעקוב אחר נתוני הכושר הגופני שלהם (מקור התמונה: Reddit)

מסך תשלום מופיע באפליקציות "Fitness Balance app" ו-"Calories Tracker app" (מקור התמונה: Reddit).

אם המשתמש מסרב לסרוק את האצבע באפליקציה הראשונה, "Fitness Balance app", קופץ חלון נוסף שמבקש מהמשתמש ללחוץ על כפתור "המשך" על מנת שיוכל להשתמש באפליקציה. במידה והמשתמש מסכים, האפליקציה מנסה לגרום לו לשלם פעם נוספת, באותה השיטה בדיוק.

למרות האופי הזדוני שלה, האפליקציה "Fitness Balance app" קיבלה דירוג של 5 כוכבים מספר פעמים, היה לה דירוג ממוצע של 4.3 כוכבים והיא קיבלה כמעט 18 ביקורות חיוביות יחסית. פרסום של ביקורות מזויפות היא טכניקה ידועה בקרב עברייני רשת, והיא נועדה לחזק את המוניטין של האפליקציות שלהם.

הקורבנות כבר דיווחו ל-אפל על שתי האפליקציות האלה, מה שהוביל להסרתן מחנות האפליקציות. חלק מהמשתמשים אף ניסו ליצור קשר ישירות עם המפתח של אפליקציית "Fitness Balance app", אך קיבלו תשובה לקונית שבה הוא מבטיח לטפל ב"באגים" האלה בגרסה הקרובה, 1.1.

משתמשים שיצרו קשר ישיר עם המפתח קיבלו תשובה שנראית כמו תגובה אוטומטית.

מה משתמשים יכולים לעשות כדי להימנע מאיומים דומים?

מכיוון שאפל לא מאפשרת להכניס מוצרי אבטחה לחנות האפליקציות שלה, המשתמשים נדרשים להסתמך על אמצעי האבטחה שהוטמעו במכשיר ע"י אפל.

לוקאש סטפנקו, חוקר אבטחה בחברת אבטחת המידע ESET ממליץ למשתמשים לקרוא את הביקורות שכתבו משתמשים אחרים. תמיד קל לזייף ביקורת חיובית, ולכן סביר שדווקא הביקורות השליליות יחשפו את האופי האמיתי של האפליקציה.

בנוסף ממליץ סטפנקו, כי משתמשי iPhone X יכולים להפעיל פיצ'ר נוסף הנקרא "לחץ פעמיים כדי לשלם", שדורש מהם לבצע לחיצה כפולה על הלחצן הצידי של האייפון כדי לאשר את התשלום.

מי שכבר נפל בתרמית הזאת יכול לנסות ולדרוש החזר מחנות האפליקציות של אפל.

פיצ'ר האישור באמצעות לחיצה על הכפתור הצידי במכשיר iPhone X.