App-Store-Betrug mit Touch-ID-Geräten
Verschiedene Entwickler versuchen, Nutzer zum Kauf teurer In-App-Angebote zu bringen – mittels "Fingerabdruckklau". Apple reagiert.
Mit Face ID funktioniert der Scam zum Glück weniger einfach.
(Bild: Screenshot via 9to5Mac)
Wer in einer App Inhalte oder Premiumangebote auf Apple-Geräten mit Touch-ID-Sensor kaufen möchte, kennt das Prozedere: Zur Autorisierung muss der Finger auf den Home-Knopf gelegt werden. Mehrere augenscheinlich betrügerisch agierende Entwickler haben die Funktion nun dazu verwendet, User zum Erwerb teurer In-App-Einkäufe zu bewegen. Betroffen waren mindestens drei Programme, die von Apple mittlerweile aus dem Store genommen worden sind.
Einmal Fingerauflegen, bitte
Bei den Apps, die offenbar aus Südamerika sowie Osteuropa stammen, handelt es sich um einen angeblichen Herzfrequenzmonitor, sowie zwei falsche Kalorien- und Fitnesstracker. Sie zeigten im App Store jeweils gute Durchschnittsbewertungen an, da die Entwickler offenbar mit gekauften Reviews arbeiteten. Scrollte man sich durch die Bewertungen, fand man aber weiter hinten sehr viele Klagen betrogener User.
Das Prinzip der Scamming-Apps war dabei stets gleich: Die App versuchte, User dazu zu bewegen, ihren Finger auf den Home-Knopf zu legen, währenddessen ein Fake-Prozess – das Erkennen der Herzfrequenz, das Ermitteln der verbrauchten Kalorien oder die Anzeige von Diättipps – durchgeführt werden sollte. Angezeigt wurde dabei sogar ein Countdown oder eine andere Animation. Im Hintergrund startete die App dann eine Bezahlanfrage für einen In-App-Kauf. Dabei erschienen hohe Beträge, beispielsweise 90 US-Dollar. Da der Finger der Nutzer auf dem Home-Knopf verblieb, wurde die Zahlung bestätigt, was teilweise sehr schnell erfolgte und von manchem User übersehen werden konnte. Zudem wurde in einem der Fälle auch der Bildschirm dunkler geschaltet.
Face-ID-Geräte besser abgesichert
Von dem Scam nicht betroffen sind Geräte mit Face-ID-Gesichtserkennung. Hier läuft der Bestätigungsprozess für eine Zahlung weniger einfach: User müssen zum Start der Zahlung den Seitenknopf zweimal betätigen, erst dann wird das Gesicht überprüft. Apple sollte erwägen, eine ähnliche Funktionalität auch für Touch-ID-Zahlungen zu implementieren, selbst wenn diese dann etwas weniger nutzerfreundlich sind.
Wie es möglich war, dass die Scammer-Apps überhaupt zugelassen wurden, ist bislang unklar – Apple hat ein eigenes App-Store-Review-Team, dass neue Programme vor der Freigabe prüft. Nutzer sollten außerdem wissen, dass es technisch schlicht nicht möglich ist, den Touch-ID-Sensor für Messzwecke zu verwenden – er dient beim iPhone und iPad schlicht zur Authentifizierung des Nutzers und kann von Apps sonst nicht angesprochen werden. (bsc)
