iPhone : attention, des applications malveillantes utilisent vos empreintes pour valider des achats
Attention à une nouvelle arnaque qui peut faire mal au portefeuille, si vous disposez d'un iPhone. En effet, des applications pour iPhone scannent votre doigt discrètement et valident des paiements dans votre dos.
Ceux qui ont l’habitude de défendre Apple et l’App Store concernant la sécurité devraient lire ces quelques lignes, car cette fois la menace est sérieuse et touche des applications qui semblent populaires sur la plateforme de téléchargement de la firme de Cupertino. Des applications qui utilisent à votre insu la fonction de reconnaissance d’empreintes pour valider des paiements.
Des achats in-app réalisés à votre insu via Touch ID
On doit cette découverte une nouvelle fois au chercheur Lukas Stefanko qui a découvert des applications malveillantes, ayant recours à une stratégie plutôt efficace pour détourner les fonds de certains propriétaires d’iPhone. Ces applications malveillantes sollicitent la reconnaissance d’empreintes pour valider des actions liées au fonctionnement de l’application, par exemple pour solliciter des conseils ou pour accéder à des données au sein du téléphone.
Aux premiers abords, si l’application obtient un joli 4.5 / 5 sur l’App Store, on pourrait se dire que l’application est prudente et qu’elle veut protéger vos données, sauf qu’en réalité ce recours aux empreintes digitales est fait pour authentifier des paiements dans votre dos et les valider… D’après les retours de Lukas Stefanko, les sommes prélevées sont de 99, 119, jusqu’à 139 euros. Avouez que cela pique un peu…
Sur ce tweet du spécialiste en sécurité, on peut voir l’opération se dérouler sans encombre, ce qui n’est pas très rassurant. Certains diront que ce n’est pas une attaque discrète car on peut voir apparaître une fenêtre de validation du paiement, sauf qu’à cette étape il est déjà trop tard pour réagir, l’opération est passée !
Scam iOS apps has been found on Apple App Store tricking users to pay over $100
Apps ask for fingerprint right at the moment when paying pop-up shows, which is accepted by user fingerprint.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD
— Lukas Stefanko (@LukasStefanko) December 3, 2018
Parmi les applications concernées, on retrouve principalement des applis de fitness comme « Fitness Balance » ou « Calories Tracker », mais il ne fait aucun doute que cette nouvelle stratégie devrait se démocratiser chez les hackers pour tenter de prélever des fonds chez les utilisateurs d’iPhone, réputés comme ayant une tendance à plus facilement réaliser des achats in-App.
La menace est temporairement dégagée, car Apple a fait le ménage depuis, mais il ne fait aucun doute que d’autres applications malveillantes passeront entre les mailles du filet. La vigilance est donc de mise…