播放GIF
近日,一款在AppleStore應用市場上的 「Heart Rate Measurement」心率測試APP被發現誘騙用戶付費,以測量心率的借口來誘導用戶使用Apple Pay的喚出確認方式,最高可一次騙走90美元,約600多人民幣。
那用戶的錢是怎樣一步一步被騙走的呢?
用戶若想啟用iPhone X 上的Apple Pay,需要先按兩下手機右側邊按鈕(啟用 Apple Pay 的雙擊設定應該在默認情況下啟用),打開默認的 Apple Pay 支付界面,並使用 Face ID 進行身份驗證,完成付款。
Apple Pay操作影片如下:
這款APP正是利用iPhone X手勢啟動Apple Pay這一特點,聲稱用戶需要通過側邊按鈕來測量心率,而實際上,按側邊按鈕並不能實現心率感應,實際上是為了讓用戶喚出ApplePay並進行內購確認。
該應用利用了蘋果程式內購的特點進行誘騙,被發現後,目前已被下架。但是這個新的應用欺騙手段反應了蘋果審核機制的不足,值得警惕,希望用戶提高安全意識,小心騙局。
惡意心率測量APP為什麼可以「成功」?
HeartRate Measurement心率測試APP正是準確地把握了Apple Pay 在iphone X上的操作特點,以及人們對身體健康的關注,才設計出了這款有相當成功率的惡意軟體。
從iPhone X來看:
iPhone X一經上市,就面臨不少國際知名媒體的轟炸:「銷量差」、「令人失望」、「貴是原罪」。然而,儘管如此,無論是蘋果官方新發布的財報,還是 IDC、Strategy Analytics 等專業調研機構的數據,均顯示 iPhone X 是今年(2018)第一季度最賣座的手機,即使定價999美元,依然成為了該季度銷量最高的智能手機。
如果此款惡意APP就是專門針對iPhone X的用戶,那麼用戶量並不會小,由此可預見入坑用戶也會有相當數量。
從Apple Pay來看:
研究機構Juniper Research 的報告估計,到了 2020 年,Apple Pay 將會佔全球流動錢包市場的 50%。到2020 年,全球會有 4.5 億名流動錢包用戶,其中2.25 億為 Apple Pay 用戶。
目前,Apple Pay已經可應用於很多場景,包括商場、超市、餐廳等和人們生活密切相關的場景,數百萬家商家以及海量的App和網頁都支持使用Apple Pay。
如此大的使用流量,也使得Apple Pay被這款心率測量惡意軟體盯住。
可預見的是,將會有更多的黑客會把目光聚焦到Apple Pay上,這需要蘋果在支付上設計實施更嚴格的審核機制來保障用戶的安全。
從心率測量來看:
人們對死亡的恐懼,對健康的重視是一個恆久的主題。
世界衛生組織在2017年稱:心血管疾病是全球的頭號死因,每年死於心血管疾病的人數多於任何其它死因。
圖片來自:ourworldindata | 心血管疾病死亡率(每100,000人)
2016年心血管疾病的年齡標準化死亡率,以每兩萬名男性和女性的死亡人數衡量。
事實上,在國內我們也能發現,可穿戴設備越來越流行,從蘋果手環到小米手環,「心率測量」也成為了可穿戴設備的標配。
如此看來,惡意軟體Heart Rate Measurement的設計者可謂煞費苦心了。
但最終為此番苦心買單的還是缺乏足夠安全意識的用戶自己。
對於用戶而言,應該提高自己的安全意識,尤其在涉及支付環節的時候,更加需要謹慎。無論是條款內容的同意簽署,抑或支付操作手段,都需要更加慎重。
參考來源:
- End -
往期熱門資訊:
- 看雪CTF.TSRC 2018 團隊賽 第一題 『初世紀』 解題思路
- 有光就能上網的 LiFi,或將取代WiFi?
- 萬豪剛剛深陷數據洩露醜聞,陌陌3000萬數據就在暗網被廉價售賣
- 還怕Web 安全編程學不會?來這裡,準沒錯!
香港九龍灣馬來街興發大廈15樓D室