利用人的弱點來賺錢一直是黑客的保留招式，現(xiàn)在他們居然把邪惡的種子撒布到“燃燒我的卡路里”的“健身追蹤工具”里去了，而且你沒想到的是，黑客在利用蘋果的 Touch ID 從 iOS 用戶那里偷錢。

“神壇”Reddit 用戶發(fā)現(xiàn)，有多個應(yīng)用會偽裝成健身追蹤工具，當(dāng)受害者掃描他們的指紋時，應(yīng)用程序使用的狡猾支付機(jī)制會被激活，而此時用戶完全被蒙在鼓里，他們還以為自己即將開始瘋狂甩肉呢。

健康的生活方式是當(dāng)下人人追求的時尚，而健身則是通往這種生活方式的不二法門，App Store 上琳瑯滿目的健身應(yīng)用就是最好的證明。不過，一向?qū)徍祟H為嚴(yán)格的 App Store 最近卻混進(jìn)來不少李鬼（有的虛假應(yīng)用現(xiàn)在還能下載）。這些應(yīng)用有叫“健身平衡 app”的，也有叫“卡路里追蹤器 app”的，乍一看是要將用戶引上健康之路的良師益友，但 Reddit 用戶卻發(fā)現(xiàn)，這些能測體脂，追蹤卡路里消耗或提醒用戶多喝水的應(yīng)用會從用戶那里“吸錢”。

在用戶首次啟動這些健身應(yīng)用后，便會看到請求指紋掃描“查看其個性化卡路里跟蹤器和飲食建議”的畫面（如上圖）。一旦你按照提示將手指放上 Touch ID，就會有彈窗跳出來。不好意思，這時你已經(jīng)中了圈套。

這個彈窗顯示的時間連 1 秒都不到，如果你的蘋果賬戶連著信用卡或借記卡，就會自動將錢轉(zhuǎn)給這些應(yīng)用的幕后黑手（由于驗證過指紋，蘋果系統(tǒng)默認(rèn)這些交易是安全的），價格可是相當(dāng)?shù)牟环?，黑客不從你身上“割”?100 美元絕不會罷休（如下圖）。

從用戶界面和功能來看，有兩個被揭穿的健身應(yīng)用肯定出自同一個開發(fā)者之手。有些上當(dāng)?shù)挠脩暨€在 Reddit 上發(fā)了此類應(yīng)用的視頻。

如果用戶警惕性高，拒絕掃描自己的手指，就會有另一個彈窗出現(xiàn)，告訴用戶需要點按“繼續(xù)”按鈕來使用應(yīng)用。如果你乖乖照做，應(yīng)用就會重復(fù)剛剛的過程，直到你就范為止。

雖然“健身平衡app”是明顯的惡意軟件，它依然得到了不少五星評價，有不少用戶還像模像樣的寫了評價，其平均得分更是高達(dá) 4.3 分。不過，這一切都是假的，對網(wǎng)絡(luò)罪犯來說，用虛假評論來提升應(yīng)用的聲望已經(jīng)是個通用招式了。

由于憤怒的受害者將問題投訴給了蘋果，因此這兩款應(yīng)用已經(jīng)下架。有的用戶試圖聯(lián)系“健身平衡 app”的開發(fā)者，得到的回復(fù)是會盡快對問題進(jìn)行修復(fù)并隨后更新 1.1 版（如下圖）。

怎樣識別并預(yù)防此類騙局？

由于 App Store 里沒有安全工具類應(yīng)用，因此用戶只能依靠蘋果的安全措施來守護(hù)自己，而這些措施有失靈的時候。

在這種情況下，ESET 推薦用戶多看看應(yīng)用評價，尤其是那些負(fù)面評價，畢竟高分評價太容易造假了。

iPhone X 之后機(jī)型的用戶還能激活一個名叫“雙擊支付”的功能，這時只有雙擊側(cè)邊按鍵才能完成驗證和付款（如下圖）。

如果你已經(jīng)不幸上了這些黑客的圈套，還有一種方法能追回?fù)p失，那就是向蘋果官方投訴。

Via. We Live Security.com

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。