Theo blog WeLiveSecurity của hãng bảo mật ESET, một số ứng dụng lừa đảo trên iOS đang lợi dụng nền tảng Touch ID của Apple để đánh lừa người dùng sử dụng dấu vân tay thực hiện thanh toán bên trong các dữ liệu tập thể dục.
Hai ứng dụng này – với tên gọi Fitness Balance và Calories Tracker – được hàng loạt người dùng Reddit phát hiện vào cuối tuần qua và dường như cả hai đều cùng sử dụng các chiến thuật lừa đảo tương tự nhau.
Được xem như một phần của việc “theo dõi hoạt động tập thể dục“, hai ứng dụng này sẽ yêu cầu người dùng đặt dấu vân tay vào máy quét Touch ID trong 10 giây, để “tạo ra thực đơn ăn chay và những thứ khác được cá nhân hóa.”
Khi ngón tay của người dùng được đặt trên máy quét, một thông báo pop up của ứng dụng sẽ xuất hiện, yêu cầu người dùng thực hiện thanh toán số tiền 99,99 USD trong ứng dụng. Do ngón tay người dùng đã được đặt sẵn trên máy quét vân tay, yêu cầu thanh toán sẽ được chấp thuận gần như ngay lập tức.
Thủ thuật hack này trở nên đáng sợ bởi vì Touch ID là một quá trình gần như liền mạch. Bằng cách thực hiện mọi việc nhanh nhất và tiện lợi nhất có thể, điện thoại sẽ bắt đầu quét dấu vân tay đặt trên máy quét ngay khi yêu cầu thanh toán hiện ra. Tốc độ nhanh của Touch ID nghĩa là đến khi người dùng nhận ra điều gì đang diễn ra, thì việc thanh toán đã được thực hiện rồi.
Không những vậy, hiện đã có những công nghệ có thể cung cấp thông tin sức khỏe bằng cách này, ví dụ như tính năng EKG trên Apple Watch Series 4 mới ra mắt, cho phép người dùng đặt ngón tay lên nút bấm bên cạnh thiết bị để đo dữ liệu nhịp tim của họ. Mặc dù tính năng này không liên quan gì đến máy quét vân tay, nhưng rõ ràng nó đã đánh lừa được người dùng khi họ nghĩ rằng một chiếc iPhone cũng có thể làm điều tương tự như vậy.
Dựa trên các điểm tương đồng về UI và chiến thuật lừa đảo, nhiều khả năng cả hai ứng dụng này đều được một nhà phát triển tạo ra. Thật may mắn, cả hai ứng dụng này đều đã bị xóa khỏi App Store, và hy vọng Apple sẽ giám sát chặt chẽ loại hình tấn công qua giao diện này trong tương lai.
Nguồn: Sưu tầm từ internet via Genk