Touch IDの利点の1つは、Touch IDがどれだけうまく機能するかです。 iPhoneのロックを解除したり、購入を承認したりするのに複数のインスタントが必要になることはほとんどありません。 しかし、最近、いくつかの不正なアプリケーションが、この使いやすさを、それらをダウンロードするのに不運な人に対する武器に変えました。
ヘルスモニタリングに関連すると思われるアプリケーションに関するいくつかの無関係な情報源が、消費カロリーの追跡、心拍数の測定、またはその他の正当なアクションの実行をユーザーに提案しています。 指紋をスキャンすると、そのようなアプリケーションは内部購入のポップアップウィンドウをすばやく表示し、90ドルから120ドルの借方に記入しますが、画面の明るさを減らして見にくくします。 場合によっては、Touch IDの使用を拒否した場合でも、アプリケーションはボタンをクリックして続行するように求め、内部支払いを試みます。
Apple App Storeの規則に従って、アプリケーション内のユーザーから法外で不当な金額を受け取ることは不可能です。 「心拍数モニター」、「フィットネスバランスアプリ」、「カロリートラッカーアプリ」という名前の説明されているアプリケーションは、すでにそこから削除されています。 1人の開発者が別のアカウントで作成したか、別のアカウントで作成したかは不明です。 いずれにせよ、彼らの仕事はマルウェアに基づくのではなく、単純な詐欺に基づいており、Touch IDの使用方法をよく理解しています。
「ボタンに指を置くと、スキャンが開始されるため、事前準備が完了し、非常に高速に動作します」と、セキュリティ会社のESETの主任セキュリティ研究者であるStephen Cobbは、月曜日に2つの偽アプリケーションについて書いています。 「だれかが、思いがけないことを人々にやらせる方法を考え出し、具体化した。」
タッチIDは、携帯電話のロックを解除するためだけでなく、長い間使用されてきました。 Apple Payおよびさまざまなアプリケーションでの認証に使用されます。 作業は迅速かつ簡単であるため、ユーザーはアプリケーションから要求されたときにそれについて考えなくなります。 また、「ホーム」ボタンに指を置いても、意図的にそれを行ったことを確認する追加のリクエストは表示されません。
Cobbは、このシナリオを初期のQRコードの時代と比較します。QRコードは、スキャナに黒の波状の正方形がどこに送られるかを確認する保護メカニズムがありませんでした。 「まったく同じです」と彼は言います。 -素晴らしいアイデア、新しいタイプの入力、指紋読み取りにより、膨大な種類のプログラムを作成できました。 確認ステップがないため、ユーザーの確認を回避できます。
少なくとも数人がRedditの最近のディスカッションスレッドに応答しましたが、これらの不正行為により何人の人々がお金を失ったかはわかりません。 さらに悪いことに、このアプローチは簡単に再現できます。 App Storeのプログラムの最初の選択はうまくいく可能性がありますが、詐欺師は、特に最初の承認を受けた後、それを回避することができます。
Malwarebytesの脅威調査責任者であるJerome Segura氏は次のように述べています。 「しかし、詐欺師はしばしば最初のチェックを回避するために巧妙なアイデアを思いつきます。 時間の経過とともに、彼らはアプリケーションを更新し、ほとんどの問題が集中する内部購入手順を微調整します。」
良いニュースは、主にこれらのモデルにはホームボタンがないため、iPhone X以降のモデルを使用しているユーザーにはこのような問題は発生しないことです。 また、Face ID経由でApple Payを使用するには、サイドボタンをダブルクリックします。
しかし、これは古いiPhoneにとっては簡単ではありません-そして、これらのモデルの多くはまだ手元にあります。 iPhoneの所有者が8番目のモデルまでできる最善のことは、信頼を維持する必要があるアプリケーションでのみ注意を払い、Touch IDを使用することです。 Appleは、アプリケーションをより厳密に評価するか、Touch IDを使用するための追加の確認手順を導入することにより、このような不正の成功の可能性を減らすこともできますが、こうした措置は追加の迷惑を引き起こします。 そして、これはおそらく、そのような問題の規模が容認できないほど大きくならない限り、特にTouch IDが昨年昨年徐々に段階的に廃止されているため、Cupertinoにとって意味をなさないでしょう。
「繰り返しますが、新しい技術の利便性と使いやすさは、私たちの向こう側に向いています」とセグラは言います。 「指でタッチして購入を確認するのは問題のない手順ですが、残念ながら、詐欺師はそれを簡単に損なうことができます。」