iOS: Touch ID utilisé à l'insu des utilisateurs pour des achats malveillants

07 décembre 2018 à 19h22
7
App Store

Des applications malveillantes ont trompé la vigilance des utilisateurs. Les victimes ont perdu entre 100 et 140 dollars.

Apple a été victime d'un problème de sécurité sur l'App Store. L'entreprise, qui vante régulièrement la protection de ses produits et services, a laissé passer des applications malveillantes qui ont escroqué des utilisateurs.

Une arnaque bien rodée qui utilise TouchID

Ces dernières se faisaient passer pour des applications de suivi d'activité physique. Une fois installées, les logiciels demandaient à l'utilisateur de confirmer son identité en scannant son empreinte digitale via le capteur TouchID, afin de lui prodiguer des « recommandations personnalisées en matière de calories et d'alimentation ».

C'est à ce moment que le piège se referme. L'application valide auprès d'Apple un achat en ligne, allant de 99,9$ à 139,99$. Le montant est immédiatement débité sur la carte bancaire enregistrée sur le compte Apple de l'usager. Le logiciel l'invitait à s'identifier à nouveau, s'il avait refusé une première fois de poser son doigt sur TouchID.



La prudence est de rigueur avant d'installer une application

Apple a été contacté dès la découverte de cette escroquerie par Lukas Stefanko, expert en sécurité. Les deux applications, « Fitness Balance app » et « Calories Tracker app » ont été retirées immédiatement de l'App Store. Cependant le chercheur ne cache pas ses craintes quand au développement de cette arnaque facile à mettre en oeuvre et complexe à repérer pour les équipes de validation de la boutique.

Les logiciels étaient pourtant bien notés dans l'App Store et les commentaires étaient particulièrement élogieux. C'est malheureusement une technique bien connues des escrocs de noyer d'avis positifs la description de l'application. La prudence pour les logiciels moins connus reste de lire en priorité les avis négatifs afin de voir si quelque chose cloche dans le fonctionnement du service.

Apple conseille de son côté d'activer la fonction « Double clic pour payer ». Elle permet d'afficher une alerte qui indique le montant du paiement avant de confirmer l'achat, et de bien comprendre pourquoi une application vous demande de vous identifier.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
0
avandoorine
Sont pas censé vérifier les applications chez Apple qu’on a pas le droit de faire n’importe quoi et tout et tout ?
Nissart
ça serait intéressant de savoir si Apple a poursuivi en justice les sociétés en question et surtout si les utilisateurs ont été remboursés
BetaGamma
Faut rendre le propriétaire du store d’où vient l’ appli pénalement responsable de toute malveillance …
Kaggan
BetaGamma: Dans ce cas, Android ferait couler Alphabet et la plupart des stores alternatifs sur Android ferait de même.
Rapidkiller
Personne n’a lu l’article original ?<br /> Le second popup est tout de même assez parlant non ?<br /> Figure-2.jpg1216×1082 189 KB<br /> Bref, que peux faire votre banque si à chaque fois qu’on vous demande sans raison de mettre votre carte bleue dans l’appareil et de taper le code… vous le faites ?<br /> Sur la seconde vidéo on voit bien le popup d’Apple Pay qui se lance et qui ne se valide pas si vous ne maintenez pas votre doigt sur TouchID.<br /> Quant aux scammeurs, l’argent transitant d’abord par Apple, il y a peu de chances qu’ils touchent des sous et les clients seront remboursés
bmustang
les apps sont validées par appstore propriété apple… donc ceux qui ont été escroqués savent vers se retourner
TNZ
Demander à un utilisateur Apple d’être prudent : savoureux, l’Apple maniac a un iphone justement parce que cela lui permet de ne pas réfléchir. S’il avait réfléchi, il n’aurait pas pris d’iphone.
Voir tous les messages sur le forum

Actualités du moment

⚡️ Bon Plan : ASUS Zenfone Live à 89,99 euros
Le rover Mars 2020 sera doté d'intelligence artificielle
La voici, la saison 7 de Fortnite, avec le Père Noël en guest
D'après DxO, l'iPhone XR est très performant en photo malgré l'unique objectif
Qualcomm travaille à une intégration native de Firefox sur Windows on ARM
⚡️ Sélection Amazon : 5 casques audio à offrir pour Noël
⚡️ Banque mobile N26 : votre compte courant et carte MasterCard à 0€
Google Traduction propose désormais une version pour chaque sexe
Une première bande annonce pour Avengers EndGame
🔥 Free lance une nouvelle promo surprise en vente privée ce vendredi soir
Haut de page