iOS-Apps missbrauchen Touch ID für Betrug

Die Fitness-Apps drängten die Nutzer, mit dem Fingerabdruckscanner Touch ID ein persönliches Profil einzurichten. Tatsächlich ließen sie sich im Hintergrund Zahlungen in dreistelliger Höhe genehmigen.

Zwei Fitness-Apps haben iOS-Nutzer getäuscht und den Fingerabdrucksensor Touch ID für betrügerische Zwecke genutzt. Über das hinterlistige Verhalten der aus dem App Store bezogenen Anwendungen „Fitness Balance app“ und „Calories Tracker app“ berichteten zuerst Nutzer auf der Social-News-Plattform Reddit. Der iPhone-Hersteller hat inzwischen reagiert und die genannten Anwendungen aus seinem App Store entfernt.

(Screenshot: Reddit / ESET)

Die Apps versprachen Fitness-Hilfen wie BMI-Berechnung, die Summierung der täglich aufgenommenen Kalorien und Diät-Empfehlungen. Nach ihrer Installation forderten sie dazu auf, den Finger auf den im Home-Button integrierten Fingerabdruckleser zu legen, um die Anwendung einzurichten und personalisierte Informationen zu erhalten. Tatsächlich aber nutzten die Apps Touch ID, um heimlich im Hintergrund eine Bezahlung anzustoßen und sie per Fingerabdruck genehmigen zu lassen.

Wer eine Bezahlkarte mit seinem Apple-Konto verbunden hatte, autorisierte damit unwissend Zahlungen in der Höhe von 99,99 Dollar, 119,99 Dollar oder 139,99 Euro. Nur für eine Sekunde blitzte eine Pop-up-Meldung über die getätigte Transaktion auf dem Display auf, bevor sie automatisch wieder verschwand.

Zögerte ein vorsichtiger Nutzer mit dem Fingerscan, forderte die App immer wieder erneut dazu auf, bis der Nutzer entweder aufgab oder die App deinstallierte. Lukas Stefanko von der Sicherheitsfirma ESET, der die Apps analysierte, geht aufgrund des ähnlichen Verhaltens davon aus, dass beide vom selben Entwickler stammen. Die überwiegend guten Nutzerbewertungen der Apps trotz der Betrugsmasche erklärt er mit der gängigen Praxis von positiven Fake-Bewertungen, um potentielle Opfer in Sicherheit zu wiegen.

Die überwiegend guten Nutzerbewertungen der Apps trotz der Betrugsmasche erklärt er mit der gängigen Praxis von positiven Fake-Bewertungen, um potentielle Opfer in Sicherheit zu wiegen. Zum eigenen Schutz sei daher immer auch ein Blick auf die schlechten Einschätzungen und nicht nur die Gesamtwertung ratsam: „Da Apple keine Sicherheitsprodukte im App-Store zulässt, können wir Nutzern nur raten, Reviews und Apps kritisch zu prüfen.“

Themenseiten: Apple, Apps, Cybercrime, Eset, Sicherheit, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu iOS-Apps missbrauchen Touch ID für Betrug

Kommentar hinzufügen
  • Am 5. Dezember 2018 um 20:41 von Hi, hi...

    …seit wann hat das iPhone X Touch ID???

    • Am 6. Dezember 2018 um 11:49 von Bernd Kling

      Sie haben recht, hat es nicht. Das irreführende Statement eines Sicherheitsexperten wurde entfernt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *