App Store 現新型偽裝應用，這卡路里燃燒起來可真貴

利用人的弱點來賺錢一直是黑客的保留招式，現在他們居然把邪惡的種子撒布到「燃燒我的卡路里」的「健身追蹤工具」里去了，而且你沒想到的是，黑客在利用蘋果的 Touch ID 從 iOS 用戶那裡偷錢。

「神壇」Reddit 用戶發現，有多個應用會偽裝成健身追蹤工具，當受害者掃描他們的指紋時，應用程序使用的狡猾支付機制會被激活，而此時用戶完全被蒙在鼓裡，他們還以為自己即將開始瘋狂甩肉呢。

健康的生活方式是當下人人追求的時尚，而健身則是通往這種生活方式的不二法門，App Store 上琳琅滿目的健身應用就是最好的證明。不過，一向審核頗為嚴格的 App Store 最近卻混進來不少李鬼（有的虛假應用現在還能下載）。這些應用有叫「健身平衡 app」的，也有叫「卡路里追蹤器 app」的，乍一看是要將用戶引上健康之路的良師益友，但 Reddit 用戶卻發現，這些能測體脂，追蹤卡路里消耗或提醒用戶多喝水的應用會從用戶那裡「吸錢」。

在用戶首次啟動這些健身應用後，便會看到請求指紋掃描「查看其個性化卡路里跟蹤器和飲食建議」的畫面（如上圖）。一旦你按照提示將手指放上 Touch ID，就會有彈窗跳出來。不好意思，這時你已經中了圈套。

這個彈窗顯示的時間連 1 秒都不到，如果你的蘋果賬戶連著信用卡或借記卡，就會自動將錢轉給這些應用的幕後黑手（由於驗證過指紋，蘋果系統默認這些交易是安全的），價格可是相當的不菲，黑客不從你身上「割」下 100 美元絕不會罷休（如下圖）。

從用戶界面和功能來看，有兩個被揭穿的健身應用肯定出自同一個開發者之手。有些上當的用戶還在 Reddit 上發了此類應用的視頻。

如果用戶警惕性高，拒絕掃描自己的手指，就會有另一個彈窗出現，告訴用戶需要點按「繼續」按鈕來使用應用。如果你乖乖照做，應用就會重複剛剛的過程，直到你就範為止。

雖然「健身平衡app」是明顯的惡意軟體，它依然得到了不少五星評價，有不少用戶還像模像樣的寫了評價，其平均得分更是高達 4.3 分。不過，這一切都是假的，對網路罪犯來說，用虛假評論來提升應用的聲望已經是個通用招式了。

由於憤怒的受害者將問題投訴給了蘋果，因此這兩款應用已經下架。有的用戶試圖聯繫「健身平衡 app」的開發者，得到的回復是會儘快對問題進行修復並隨後更新 1.1 版（如下圖）。

由於 App Store 里沒有安全工具類應用，因此用戶只能依靠蘋果的安全措施來守護自己，而這些措施有失靈的時候。

在這種情況下，ESET 推薦用戶多看看應用評價，尤其是那些負面評價，畢竟高分評價太容易造假了。

iPhone X 之後機型的用戶還能激活一個名叫「雙擊支付」的功能，這時只有雙擊側邊按鍵才能完成驗證和付款（如下圖）。

如果你已經不幸上了這些黑客的圈套，還有一種方法能追回損失，那就是向蘋果官方投訴。

Via. We Live Security.com

雷鋒網雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！