2394579

Betrugs-Apps missbrauchen Touch ID

04.12.2018 | 10:20 Uhr |

Manche App-Entwickler orientieren sich an Autokonzernen, um Nutzer hinters Licht zu führen.

Der App Store ist generell eine sicher Quelle für Software für iPhone, iPad und Apple Watch, doch ab und an schaffen es immer wieder Anbieter, ihre unlauteren Mittel an der Überprüfung vorbei zu schmuggeln und derart Kunden zu schädigen. Apple reagiert in der Regel recht schnell und entfernt die Scam-Apps, der Schaden ist dann aber angerichtet.

Von einer besonders fiesen Methode schreibt nun "9to5Mac" : Eine App versprach, den Puls über den Finger zu messen, den man auf den Home-Button legen sollte. Dabei wurde der Screen stark verdunkelt, damit man nicht erkennt, dass die App den Fingerabdruck nimmt, um sich einen völlig nutzlosen In-App-Kauf von 90 US-Dollar zu genehmigen. Gewiss ist ein Teil des Problems auch hier der arglose Anwender, doch scheinen derartige Schlupflöcher im Prüfprozess häufiger aufzutreten.

Das Problem schient hier gewesen zu sein, dass die App "Heart Rate Measurement" ihre bösartige Funktion erst nach der Freigabe erhalten hatte – hier hätte eine weitere Prüfung stattfinden sollen. Womöglich haben die Entwickler den Preis für den In-App-Kauf auch erst nachher erhöht. Zudem könnte die Anwendung, die sich vorwiegend an ein portugiesischsprachiges Publikum richtete, unter dem Radar in Cupertino geflogen sein – mindestens unschön.

Die Masche kopiert haben laut "The Verge" auch gleich die zwei – ebenfalls aus dem App Store entfernten – Anwendungen “Fitness Balance” und “Calories Tracker”. Beide forderten die User dazu auf, ihren Finger für zehn Sekunden auf den Home-Button zu legen, um dafür Daten für die Fitness und die Ernährung zu erhalten.

An dieser Stelle sei noch einmal gesagt: Der Fingerabdrucksensor kann zwar vieles, aber gewiss nicht den Puls messen oder andere Gesundheitsdaten erheben. Ähnliches verspricht nur die Apple Watch Series 4 mit der EKG-Messung an der digitalen Krone – und die ist noch nicht einmal in den USA freigeschaltet. Eine derartige Fake-Funktion hätte im Prüfprozess vor der Freigabe der App durchaus auffallen müssen.

Um Apples Prüfer zu täuschen, haben sich die Entwickler solcher Apps eine Gemeinheit überlegt: Im Quellcode einer der Apps hat der Entwickler Guilherme Rambo eine Ausschluss-Liste von IP-Adressen gefunden, die Cupertino zugewiesen werden konnten. Offenbar verhielt sich die App in Apples Test-Zentrum anders als bei den Nutzern weltweit – eine von VW etablierte Vorgehensweise.

Bei Geräten mit Face ID funktioniert der Trick natürlich nicht. Hier müsste man, um den In-App-Kauf auszulösen, beim Blick auf den Bildschirm noch die Seitentaste drücken. Wir sind aber gespannt, wann dem nächsten Scammer einfällt, den Puls vermeintlich am Ein/Aus-Schalter messen zu lassen - und ob Apple das früher durchschaut.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2394579