iOS-Apps missbrauchen Touch ID für Betrug

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • iOS-Apps missbrauchen Touch ID für Betrug

    Die Fitness-Apps drängten die Nutzer, mit dem Fingerabdruckscanner Touch ID ein persönliches Profil einzurichten. Tatsächlich ließen sie sich im Hintergrund Zahlungen in dreistelliger Höhe genehmigen.

    Zwei Fitness-Apps haben iOS-Nutzer getäuscht und den Fingerabdrucksensor Touch ID für betrügerische Zwecke genutzt. Über das hinterlistige Verhalten der aus dem App Store bezogenen Anwendungen „Fitness Balance app“ und „Calories Tracker app“ berichteten zuerst Nutzer auf der Social-News-Plattform Reddit.
    Der iPhone-Hersteller hat inzwischen reagiert und die genannten Anwendungen aus seinem App Store entfernt.

    Die Apps versprachen Fitness-Hilfen wie BMI-Berechnung, die Summierung der täglich aufgenommenen Kalorien und Diät-Empfehlungen. Nach ihrer Installation forderten sie dazu auf, den Finger auf den im Home-Button integrierten Fingerabdruckleser zu legen, um die Anwendung einzurichten und personalisierte Informationen zu erhalten. Tatsächlich aber nutzten die Apps Touch ID, um heimlich im Hintergrund eine Bezahlung anzustoßen und sie per Fingerabdruck genehmigen zu lassen.

    Wer eine Bezahlkarte mit seinem Apple-Konto verbunden hatte, autorisierte damit unwissend Zahlungen in der Höhe von 99,99 Dollar, 119,99 Dollar oder 139,99 Euro. Nur für eine Sekunde blitzte eine Pop-up-Meldung über die getätigte Transaktion auf dem Display auf, bevor sie automatisch wieder verschwand.

    Zögerte ein vorsichtiger Nutzer mit dem Fingerscan, forderte die App immer wieder erneut dazu auf, bis der Nutzer entweder aufgab oder die App deinstallierte. Lukas Stefanko von der Sicherheitsfirma ESET, der die Apps analysierte, geht aufgrund des ähnlichen Verhaltens davon aus, dass beide vom selben Entwickler stammen. Die überwiegend guten Nutzerbewertungen der Apps trotz der Betrugsmasche erklärt er mit der gängigen Praxis von positiven Fake-Bewertungen, um potentielle Opfer in Sicherheit zu wiegen.

    Zum eigenen Schutz sei daher immer auch ein Blick auf die schlechten Einschätzungen und nicht nur die Gesamtwertung ratsam. „Da Apple keine Sicherheitsprodukte im App-Store zulässt, können wir Nutzern nur raten, Reviews und Apps kritisch zu prüfen“, empfiehlt der Sicherheitsforscher. „Besitzer des iPhone X können auch das Feature Double Click to Pay aktivieren, damit die einfache Touch-ID-Bestätigung nicht ausreicht.“

    Quelle: iOS-Apps missbrauchen Touch ID für Betrug