Des applications malveillantes ont trompé la vigilance des utilisateurs. Les victimes ont perdu entre 100 et 140 dollars.
Apple a été victime d'un problème de sécurité sur l'App Store. L'entreprise, qui vante régulièrement la protection de ses produits et services, a laissé passer des applications malveillantes qui ont escroqué des utilisateurs.
Une arnaque bien rodée qui utilise TouchID
Ces dernières se faisaient passer pour des applications de suivi d'activité physique. Une fois installées, les logiciels demandaient à l'utilisateur de confirmer son identité en scannant son empreinte digitale via le capteur TouchID, afin de lui prodiguer des « recommandations personnalisées en matière de calories et d'alimentation ».C'est à ce moment que le piège se referme. L'application valide auprès d'Apple un achat en ligne, allant de 99,9$ à 139,99$. Le montant est immédiatement débité sur la carte bancaire enregistrée sur le compte Apple de l'usager. Le logiciel l'invitait à s'identifier à nouveau, s'il avait refusé une première fois de poser son doigt sur TouchID.
Scam iOS apps has been found on Apple App Store tricking users to pay over $100
— Lukas Stefanko (@LukasStefanko) 3 décembre 2018
Apps ask for fingerprint right at the moment when paying pop-up shows, which is accepted by user fingerprint.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD
La prudence est de rigueur avant d'installer une application
Apple a été contacté dès la découverte de cette escroquerie par Lukas Stefanko, expert en sécurité. Les deux applications, « Fitness Balance app » et « Calories Tracker app » ont été retirées immédiatement de l'App Store. Cependant le chercheur ne cache pas ses craintes quand au développement de cette arnaque facile à mettre en oeuvre et complexe à repérer pour les équipes de validation de la boutique.Les logiciels étaient pourtant bien notés dans l'App Store et les commentaires étaient particulièrement élogieux. C'est malheureusement une technique bien connues des escrocs de noyer d'avis positifs la description de l'application. La prudence pour les logiciels moins connus reste de lire en priorité les avis négatifs afin de voir si quelque chose cloche dans le fonctionnement du service.
Apple conseille de son côté d'activer la fonction « Double clic pour payer ». Elle permet d'afficher une alerte qui indique le montant du paiement avant de confirmer l'achat, et de bien comprendre pourquoi une application vous demande de vous identifier.
