Demonstrando uma vez mais que nem na App Store da Apple se pode confiar cegamente nas apps, foram encontradas algumas que abusavam do Touch ID para fazer cobranças indevidas aos utilizadores.
As apps "Fitness Balance" e "Calories Tracker", entretanto já removidas, recorriam a um método simples mais eficaz para roubar mais de uma centena de euros aos utilizadores. As apps apresentavam um pedido de leitura da impressão digital assim que se arrancava a app, dizendo que seria para ter acesso a informação personalizada... mas isso não passava de uma táctica para lhes roubar dinheiro.
Com o dedo pousado no sensor, a app logo de seguida efectuava uma compra in-app no valor de 139 euros, que era imediatamente validada devido ao facto do utilizador ter o dedo sobre o leitor de impressões digitais.
Curiosamente, fico intrigado porque é que demorou tanto tempo a surgirem apps a tentarem esta coisa, pois já por diversas vezes me tinha acontecido validar coisas por acidente, precisamente por ter o dedo "no sítio errado à hora errada". Nos iPhones com Face ID isto torna-se mais difícil de explorar, uma vez que o sistema exige que se validem as compras com um duplo clique no botão de power, mas há apps que não seguem essa regra: por exemplo, quem usar a app MB Way com validação via Face ID, validará a transacção apenas por estar a olhar para ela! Mesmo que veja que algo está errado e não a queira confirmar.
Quanto à questão do Touch ID, seria fácil de resolver, qualquer pedido de autenticação via impressão digital deveria esperar que o utilizador levantasse o dedo do sensor e o pousasse novamente, se fosse detectado que já lá estava um dedo pousado no início do processo de validação.
A falsa ideia que os utilizadores de IOS têm de segurança muitas vezes dão em concordar com tudo cegamente.
ResponderEliminarEstive a ver o vídeo. O que dizem é:
ResponderEliminar- A app induz a que se deixe o dedo no botão "home" como se estivesse a ler impressões digitais
- Quando aparece a janela pop-up "Quer fazer a compra integrada?" como já se tem o dedo no botão "home" dá-se autorização de compra sem se dar por isso.
Tenho dúvidas, mas ... pelo "crivo/navalha de Occam", a explicação mais simples tende a ser verdadeira (em ciência, o que não é o caso). Que a coisa era simples, era ... se, de facto, funcionasse como é dito.