Touch ID đang bị hacker lợi dụng để lừa đảo

Theo trang The Verge, dù là lớp bảo vệ chắc chắn cho người dùng, nhưng công nghệ cảm biến vân tay Touch ID đang bị hacker lợi dụng để lừa lấy tiền người dùng.

Cụ thể, theo blog WeLiveSecurity của hãng bảo mật ESET, một số ứng dụng lừa đảo trên hệ điều hành iOS đang lợi dụng nền tảng công nghệ cảm biến vân tay Touch ID của Apple để đánh lừa người dùng trong việc sử dụng dấu vân tay của họ để thực hiện các thanh toán bên trong các dữ liệu tập thể dục.

Công nghệ cảm biến vân tay - Touch ID, đang bị nhiều ứng dụng khai thác để lừa đảo và "bẫy" người dùng.

Hai ứng dụng lừa đảo này có tên gọi Fitness Balance và Calories Tracker hiện đang được nhiều người dùng sử dụng, nhưng mới đây - vào cuối tuần qua, hàng loạt người dùng Reddit đã phát hiện ra rằng, dường như cả hai ứng dụng này đều cùng sử dụng các chiến thuật lừa đảo tương tự nhau.

Được xem như một phần của việc "theo dõi hoạt động tập thể dục", hai ứng dụng này sẽ yêu cầu người dùng đặt dấu vân tay vào máy quét Touch ID trên thiết bị của họ trong 10 giây để "tạo ra thực đơn ăn chay và những thứ khác được cá nhân hóa."

Khi ngón tay của người dùng được đặt trên máy quét, một thông báo pop up của ứng dụng sẽ xuất hiện, yêu cầu người dùng thực hiện thanh toán số tiền 99,99 USD trong ứng dụng. Nhưng do ngón tay người dùng đã được đặt sẵn trên máy quét vân tay, thế nên yêu cầu thanh toán kia sẽ được chấp thuận gần như ngay lập tức.

Các chuyên gia cho rằng, thủ thuật hack này thật đáng sợ, bởi vì Touch ID là một quá trình gần như liền mạch. Bằng cách thực hiện mọi việc nhanh nhất và tiện lợi nhất có thể, điện thoại sẽ bắt đầu quét dấu vân tay đặt trên máy quét ngay khi yêu cầu thanh toán hiện ra. Tốc độ quét rất nhanh của Touch ID cũng đồng nghĩa với việc: khi người dùng nhận ra có điều gì đó bất thường đang diễn ra, thì việc thanh toán đã được thực hiện rồi.

Không những vậy, hiện đã có mặt trên App Store những công nghệ có thể cung cấp thông tin sức khỏe bằng cách này. Ví dụ như tính năng EKG trên Apple Watch Series 4 mới ra mắt chẳng hạn, nó cho phép người dùng đặt ngón tay lên nút bấm bên cạnh thiết bị để đo dữ liệu nhịp tim của họ. Mặc dù tính năng này không liên quan gì đến máy quét vân tay, nhưng rõ ràng nó đã đánh lừa được người dùng khi họ nghĩ rằng một chiếc iPhone cũng có thể làm điều tương tự như vậy.

Theo các chuyên gia bảo mật của ESET, dựa trên các điểm tương đồng về UI và chiến thuật lừa đảo, nhiều khả năng cả hai ứng dụng lừa đảo nói trên đều được một nhà phát triển tạo ra. Tuy nhiên, thật may mắn là cả hai ứng dụng này đều đã bị xóa khỏi App Store, và hy vọng Apple sẽ giám sát chặt chẽ loại hình tấn công qua giao diện này trong tương lai.