iOS: Touch ID utilisé à l'insu des utilisateurs pour des achats malveillants

07 décembre 2018 à 19h22
7
App Store

Des applications malveillantes ont trompé la vigilance des utilisateurs. Les victimes ont perdu entre 100 et 140 dollars.

Apple a été victime d'un problème de sécurité sur l'App Store. L'entreprise, qui vante régulièrement la protection de ses produits et services, a laissé passer des applications malveillantes qui ont escroqué des utilisateurs.

Une arnaque bien rodée qui utilise TouchID

Ces dernières se faisaient passer pour des applications de suivi d'activité physique. Une fois installées, les logiciels demandaient à l'utilisateur de confirmer son identité en scannant son empreinte digitale via le capteur TouchID, afin de lui prodiguer des « recommandations personnalisées en matière de calories et d'alimentation ».

C'est à ce moment que le piège se referme. L'application valide auprès d'Apple un achat en ligne, allant de 99,9$ à 139,99$. Le montant est immédiatement débité sur la carte bancaire enregistrée sur le compte Apple de l'usager. Le logiciel l'invitait à s'identifier à nouveau, s'il avait refusé une première fois de poser son doigt sur TouchID.



La prudence est de rigueur avant d'installer une application

Apple a été contacté dès la découverte de cette escroquerie par Lukas Stefanko, expert en sécurité. Les deux applications, « Fitness Balance app » et « Calories Tracker app » ont été retirées immédiatement de l'App Store. Cependant le chercheur ne cache pas ses craintes quand au développement de cette arnaque facile à mettre en oeuvre et complexe à repérer pour les équipes de validation de la boutique.

Les logiciels étaient pourtant bien notés dans l'App Store et les commentaires étaient particulièrement élogieux. C'est malheureusement une technique bien connues des escrocs de noyer d'avis positifs la description de l'application. La prudence pour les logiciels moins connus reste de lire en priorité les avis négatifs afin de voir si quelque chose cloche dans le fonctionnement du service.

Apple conseille de son côté d'activer la fonction « Double clic pour payer ». Elle permet d'afficher une alerte qui indique le montant du paiement avant de confirmer l'achat, et de bien comprendre pourquoi une application vous demande de vous identifier.

Mathieu Grumiaux

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les n...

Lire d'autres articles

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (7)

avandoorine
Sont pas censé vérifier les applications chez Apple qu’on a pas le droit de faire n’importe quoi et tout et tout ?
Nissart
ça serait intéressant de savoir si Apple a poursuivi en justice les sociétés en question et surtout si les utilisateurs ont été remboursés
BetaGamma
Faut rendre le propriétaire du store d’où vient l’ appli pénalement responsable de toute malveillance …
Kaggan
BetaGamma: Dans ce cas, Android ferait couler Alphabet et la plupart des stores alternatifs sur Android ferait de même.
Rapidkiller
Personne n’a lu l’article original ?<br /> Le second popup est tout de même assez parlant non ?<br /> Figure-2.jpg1216×1082 189 KB<br /> Bref, que peux faire votre banque si à chaque fois qu’on vous demande sans raison de mettre votre carte bleue dans l’appareil et de taper le code… vous le faites ?<br /> Sur la seconde vidéo on voit bien le popup d’Apple Pay qui se lance et qui ne se valide pas si vous ne maintenez pas votre doigt sur TouchID.<br /> Quant aux scammeurs, l’argent transitant d’abord par Apple, il y a peu de chances qu’ils touchent des sous et les clients seront remboursés
bmustang
les apps sont validées par appstore propriété apple… donc ceux qui ont été escroqués savent vers se retourner
TNZ
Demander à un utilisateur Apple d’être prudent : savoureux, l’Apple maniac a un iphone justement parce que cela lui permet de ne pas réfléchir. S’il avait réfléchi, il n’aurait pas pris d’iphone.
Voir tous les messages sur le forum
Haut de page

Sur le même sujet